ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。 »

2009年11月19日 (木)

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは引き取り修理のお客様。
毎度同じく、「画面真っ暗でマウスカーソルしか出てない」という症状。

ウチは宅配便による送付での引き取り修理も受け付けておりますので、全国から問い合わせが来てます。
特にここ最近は、この現象によるものが非常に多い状態です。

当社のご案内サイト pcdoc.jp のメールフォームからのメールをいただき、電話とメールにて問診などをさせていただき、

  • データは消さない方向で作業はしますがデータ保全の100%保証はいたしかねるということ
  • リカバリしない方向で作業はしますがリカバリせずに復旧できる保証はいたしかねるということ
  • データのバックアップは可能ですがご希望のデータが取り出せるとは限らないということ
などをお伝えして、クロネコヤマト便にて送っていただきました。

パソコン宅急便 :ヤマト運輸

一般的なノートパソコンの場合、クロネコヤマトの営業所で「BOX-A」という箱を600円で販売していますので、その箱で安全に送ることができます。
パソコン自体の重さや添付品の重さや、発信元から当社までの距離で違ってきますが、ノートパソコン本体とACアダプタ程度なら、片道1500円程度+BOX-Aの箱代600円で送付可能です。

ということで、お客様からノートパソコンが到着したのでチェック開始です。

今回は、修復の過程を画像入りでお届けいたします。

-----

電源を入れてみたら…メーカーロゴの後、(前回が強制終了なので)「ご迷惑をおかけしております」画面で「通常起動」を選び、Windowsロゴの後、真っ暗画面にマウスカーソルがぽつん…。
そこから全く変化がありません。

真っ暗画面にマウスカーソルがぽつん…

はい、典型的なGENOウイルス、Daonol、gumblarの症状です。
まぁ、GENOウイルス全てがこうなるわけでもないですが…。

それでは早速、VistaのDVD-ROMをセットして、パソコンを再起動。

※注意
この作業で当該の症状が改善されることを保証するものではありません。
実施される場合はあくまで自己責任でお願いします。
実施されて、どんな結果に終わっても、当方は一切関知いたしません。
結果についての質問もお受けいたしません。

Press any key to boot from CD or DVD ...

Press any key to boot from CD or DVD ...
ということで、ここでほたっておくとハードディスクから通常起動を始めてしまいますので、Enterキーなりスペースキーなりを押します。

Windows is loading files...

Windows is loading files...
てな具合にDVD-ROMを読み込み始めて…。

Windows Vistaのセットアップ初期画面

Windows Vistaのセットアップ初期画面になります。
「次へ」を押してみたら…。

D1000483

ここで「今すぐインストール」をクリック…いやいや(笑)。
左下の「コンピュータを修復する(R)」をクリックです。お間違えなきよう。

システム回復オプション Windowsインストールを検索しています…

システム回復オプションが、すでにインストール済みのVistaを探してくれます。
いや、XPのパソコンなんで無駄なんですが…。

システム回復オプション Vista検知せず

当然のようにVistaは検知しませんので、そのまま「次へ」をクリック。

システム回復オプション 回復ツールを選択

回復ツールの選択画面になりますので、ここでは「コマンドプロンプト」を選択。

コマンドプロンプトから修復するコマンドを入力

ここで例の3つのコマンドを入力です。

  • copy□c:\windows\system32\config\software□c:\windows\system32\
    config\software.daonol
    (万が一に備え、レジストリハイブの「software」を、名前を変えてコピー)

  • reg□load□HKLM\infected□c:\windows\system32\config\software
    (感染している「software」レジストリハイブを読み込み)

  • reg□delete□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\
    Drivers32"□/v□midi9□/f
    (感染ファイルの起動レジストリを削除)

  • ※ コマンド内の □ は半角スペースです。
      行が長いのでコマンドは折り返してあります。
3つ目のコマンドで「この操作を正しく終了しました。」とならなかった場合は、コマンドの打ち間違いか、残念ながら今回のウイルスではありませんので、この手順では改善できません。
「この操作を正しく終了しました。」と出たなら、おめでとうございます。今回のウイルスにほぼ間違いありません。

いずれにしても、exitと打ち込んでコマンドプロンプトを終了です。

システム回復オプション 再起動を選択

システム回復オプションの画面に戻りますので、右下の「再起動(R)」ボタンをクリック。

再起動がかかったら、DVD-ROMを抜いてしばし待ちます。

WindowsXP 起動画面

コレがまたヘンに長く感じてしまいます…。

例の真っ暗画面に突入して、次の瞬間!

D1000490

「ようこそ画面」前のユーザー選択画面と相成りました。

これで一安心です…。

-----

タスクトレイを見てみると…ノートンの最新版が入ってます。
最新版が入っているのに…はて?

とりあえずスキャンをかけてみたら…いくつも出てきましたねぇ…。

Trojan.FakeAV 危険度 1: ほとんど影響なし :Symantec セキュリティレスポンス
Trojan.Virantix 危険度 1: ほとんど影響なし :Symantec セキュリティレスポンス

こっちは偽セキュリティソフトが2種類も。
相変わらず「ほとんど影響なし」とか、過小評価です…。

W32.Gammima 危険度 1: ほとんど影響なし :Symantec セキュリティレスポンス

このワームが実行されると、次のファイルとして自分自身をコピーします。
%Windir%\Help\D563BA79B410.exe
[ドライブ文字]:\Shell.exe
続いて、このワームは次のファイルを作成します。
[ドライブ文字]:\autorun.inf

注意: ファイル Shell.exe と autorun.inf は、コンピュータに新しいドライブが追加されるたびに作成されます。

[中略]

このワームは、Internet Explorer を監視し、次の情報を盗み取ります。
MapleStory オンラインゲームのアカウントとパスワード
ゲームのロールとアイテム情報
盗み取られた情報は、電子メールと HTTP を介して作成者に送信されます。

…( ̄△ ̄;
どこが「ほとんど影響なし」ですか…Autorunで広げまくりじゃないですか…。

しかし、例のGENOウイルスは検出してませんねぇ…。

よくよく考えたら、こういったワームの存在を懸念して、まだネットにつないでませんでした。
改めてネットにつないで、パターンファイルの更新をかけました。
で、再度スキャンしてみたら…。

Bloodhound.PDF.17 危険度 1: ほとんど影響なし :Symantec セキュリティレスポンス

Bloodhound.PDF.17 は、Adobe Acrobat の脆弱性を悪用して悪質な操作を行う可能性がある、潜在的に悪質なファイルのヒューリスティック手法による汎用検出名です。

…( ̄△ ̄;
やっぱり出ましたか…。

それにしても、何が「ほとんど影響なし」だよ…。
んなわけねーじゃんよ…。

お客様に問診したところでは、この検出パターンをリリースした日と発生日が非常に微妙です。

  • Rapid Release 初回バージョン 2009 年 10 月 29 日 改訂 024
  • Rapid Release 最新バージョン 2009 年 10 月 29 日 改訂 024
  • Daily Certified 初回バージョン 2009 年 10 月 29 日 改訂 025
  • Daily Certified 最新バージョン 2009 年 10 月 29 日 改訂 025
  • Weekly Certified 初回リリース日 2009 年 11 月 4 日
ちょうどこの「Weekly Certified」の日前後だとお聞きしてます。

これはたまたま更新がちょっと遅れたがために感染してしまったという、本当に不運な事例と言えます…。

「『ウイルス対策ソフトが入っているから大丈夫!』と過信はできない」という典型的な事例だということです…。
皆さん、気をつけましょう…。といっても気のつけようがありませんが…。
気をつけるとすれば、

http://www.gred.jp/ :株式会社セキュアブレイン

こんなチェックサイトでチェックできたりしますが、なかなかねぇ…。

特に今回のお客様は、とある通販サイトを見ていて感染したらしいです。
普通に検索結果で飛んでいってコレですので、油断も隙もあったもんじゃないですね…。

とにかく、FlashPlayerの更新Adobe Readerの更新をしてない人は今すぐ!ですね。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年11月19日(木) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/46863276/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。:

コメント

はじめまして。いつも技術情報、お客様への対応姿勢等参考にさせて頂いています。

XPログオン直後に勝手にログオフする症状で、本サイトの別記事を参考にセーフモード、回復コンソールからレジストリ復元、userinit.exeの上書きと作業しましたが復元できませんでした。

この記事のVista起動ディスクでXPレジストリを編集する方法と「アットマークIT」のCUIでのレジストリ編集を参考に作業したところ、
hklm\software\microsoft\windows nt\currentversion\winlogon に「Userinit」値が存在しなかったためc:\windows\system32\userinit.exe で追加してやったところ起動するようになりました。

ただし、動作が重くタスクマネージャが無効にされているなど正常動作している様子ではありませんでした。Norton360がウィルス駆除時に上記レジストリ値を誤って削除してしまったのかもしれません。

既知の情報でしたらすいません。ご参考になればと思います。

アットマークIT該当情報
http://www.atmarkit.co.jp/fwin2k/win2ktips/391cmdreg/cmdreg.html

投稿: なか | 2009/12/28 17:30:12

大変に細かな回答ありがとうございました。
新規ハードディスクを接続してのトラブルでした。
まだ、ウイルスかどうかわかりません
結構細かな操作であるため(私には)難しそうです。
ご返事をいただいたばかりで、実行していませんが
すぐに行う予定です。」

本当にありがとうございました。

投稿: 鈴木 | 2010/01/11 7:34:33

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。 »