ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 危険!セキュリティ対策機能がすべて停止しています! by ウイルスバスター。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?またまた。 »

2010年2月 3日 (水)

Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは遠方のお客様。
フリーダイヤル受付で引取修理もやってますので、全国から修理依頼が舞い込みます。今回もそのうちの一件。

「Windowsロゴが出てから、画面が真っ暗のまま起動しないんです」

パソコンは、WindowsXP HomeEdition。
うーん、最近はいわゆるガンブラーも攻撃方法が変わったみたいで、

2009年10月22日 (木) Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。

この症状はかなり減ってるみたいではあるんですが…。

マウスカーソルだけになるのとそうでないのとでは、原因にかなりの違いがあるので、マウスカーソル(矢印)が出ているか出ていないかをお聞きしたんですが、どうもご依頼いただく方がご本人からの伝聞であることもあり、ちょっとはっきりしません。
ただ、

「なるべくリカバリは避けてください。ご本人は初期状態から元通りのセットアップができる人ではありませんので」

とのこと。
まぁそうですよねぇ。

単にリカバリで済むのなら、ウチになんか依頼しないでしょうから。

とりあえず、送っていただいての対処となったわけですが…。

届いたパソコンを起動してみた。

Windowsロゴが出た後、真っ黒の画面。
マウスカーソルは…ありません。

うーむむむむ…これじゃ原因が違うから、ガンブラーの「マウスカーソルだけ」の対処では多分治らないだろうけど…。

-----

とりあえず、例の方法を試してみる。

2009年11月19日 (木) Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

VistaのDVD-ROMをセットしてVistaのコマンドプロンプトからregコマンドを使ってレジストリ編集を行なう、という手法です。
しかし、今回は現象が違うので、同じ修正では治らないでしょう。
一応、regコマンドのサブコマンド「query」を使って、修正前のレジストリを確認してみます。

reg□query□"HKLM\infected\Microsoft\Windows□NT\
CurrentVersion\Drivers32"

(「□」は半角スペース)

これで例の症状のレジストリを確認はできるわけですが…やはり原因となる「midi9」というレジストリはありません。

まぁ症状が違うわけですから、同じ原因ではないのは最初からわかっていたわけですが。

ここで振り出しに戻ったことになります…。
うーん、じゃ、なんなんだろう?

ちょっと症状は違いますが、XPにログオンできない症状は、以前にもありました。

2006年1月20日 (金) 勝手にログオフします。

なんとなくコレに近いニオイを感じ取ったので、reg queryでチェックしてみました。

reg□query□"HKLM\infected\Microsoft\Windows□NT\
CurrentVersion\Winlogon"

(「□」は半角スペース)

先の記事の現象では、「Userinit」というレジストリキーの値がおかしいことで、「勝手にログオフ」現象が発生していたんですが…。

「Userinit」というレジストリキー自体がありません。

…( ̄△ ̄;

正常に起動しているXPマシンでレジストリエディタを起動して確認してみたら、

Userinit REG_SZ C:\windows\system32\userinit.exe,

正常に起動しているXPマシンにはあるはずの、このキーがないようである。
何度か確認しましたが、どうやら本当にない。

うーむ、ないものであれば、こりゃ入れてやった方がいいでしょ。

先の記事の別記事、

2006年12月23日 (土) 勝手にログオフします。外科手術編

こちらでは「外科手術」として手動システム復元を施術したわけですが、あれからいろんな事例をこなした今では、そこまでやる必要もないことがわかってますので、今回はregコマンドでレジストリ編集を行ないました。
regコマンドは、こちらの記事を参考にしました。

Windows TIPS コマンド・プロンプトでレジストリを操作する :@IT

ということで、本来あるはずのレジストリを追加です。

reg□add□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\Winlogon"
□/v□Userinit□/t□REG_SZ□/d□"C:\windows\system32\userinit.exe,"□/f

(「□」は半角スペース)

さて、どうだ!!

…無事起動しました。

…でも、いろいろ挙動が怪しい。

まずはSpywareDoctorさんがいらっしゃいました。
迷わずアンインストール。さよーならー。

再起動してみたものの、まだ怪しげだ。
Ctrl + Shift + Esc でタスクマネージャを起動しようとしてみたら…。

タスクマネージャは管理者によって使用不可にされています

んあー…。
「タスクマネージャは管理者によって使用不可にされています」と表示されて、タスクマネージャが起動できない。

ぐぐってみたら、どうやらこの手のマルウェアにありがちな症状らしい。
ポリシーエディタで変更できる範囲らしいけど、XPのHomeEditionでは使えないので、直接レジストリをいじります。

HKEY_Current_User\Software\Microsoft\Windows
\CurrentVersion\Policies\System

ここの「DisableTaskMgr」を「0」にする。

…はい。これでタスクマネージャが起動しました。

次にMsconfigを探っていると、また不審物が。
Msconfigのチェックで外してもいいんですけど、目障りな残り方をするので、レジストリをいじって削除。

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run

Internet Security 2010"C:\Program Files\InternetSecurity2010\IS2010.exe" をキーごと削除。

smss32.exeって怪しげなのもいましたが、どうもマルウェア(ファイルはすでに削除済み)っぽいので、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

smss32.exe の "C:\WINDOWS\system32\smss32.exe"

このレジストリも削除。

で、レジストリエディタに限らないのですが、

Disabletaskmgr03

メニューバーの文字が白くなるのが、どうにも「やられてる」っぽいので、ちょっと調べてみたら、どうも画面テーマの問題らしい。

Windows XP SP2 のテーマを変更するとアプリケーションのメニュー バーが白抜きで表示される :マイクロソフト サポートオンライン

画面テーマを「WindowsXP」にすればいいらしい。
白抜きはコレで治りました。

その延長で画面のプロパティで「デスクトップ」タブを見てみると…。

Wallpaper01

意味なく、壁紙変更が利かない状態です…。

コレもマルウェアのせいでしょう。
壁紙変更が利かないのでクレームが入るのもイマイチなので、レジストリ変更で対処。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\ActiveDesktop

HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion
\policies\ActiveDesktop

NoChangingWallpaper の1を「0」に。
HKEY_CURRENT_USERの方はどちらでも変化なかったんですがとりあえず0に。

Wallpaper02

これで無事、壁紙の変更もできるようになりました。

ということで、すでにインストール済みのノートンでフルスキャン。
なぜか特定のファイル(なにやら音楽ゲームのデータ?)で必ず引っかかる(スキャン動作がフリーズする)ので、とりあえずそこを除外してスキャン。

とりあえず、これで何も検出されなかったので、お客様にご報告。

原因について聞かれましたが、今回はどうやらノートン先生のチョンボが原因と見て間違いなさそうです。

Trojan.FakeAV

ウイルス駆除ログを見ると、症状の発生した日の直前に「Trojan.FakeAV」というマルウェアで削除していたレジストリの一番最後に、今回起動で引っかかっていた「Userinit」というレジストリキーを削除した跡がありましたので、どうも「Userinit」改変を、ノートン先生が見境なく削除だけで済ませたせいだと思われます。
いらんことを…。

ということで、原因と今回の対処作業をご説明の上、

  • ウイルス対策ソフトが検出しないからといって完全に感染がないという保証にはならない(完全駆除はリカバリを推奨)
  • ウイルス対策ソフトがあってもリカバリで完全駆除しても再感染しない保証はどこにもない
  • ファイル共有ソフトなどを違法ファイル取得目的で使用しないように
といった説明をし、ご納得いただいて返却です。

とはいえ、いろいろ怪しげなファイル共有っぽいソフトの存在も見受けられましたので、別のウイルスとかで再発しなければいいんですけどねぇ…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2010年02月03日(水) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« 危険!セキュリティ対策機能がすべて停止しています! by ウイルスバスター。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?またまた。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/47572166/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?:

コメント

SpywareDoctorの削除理由はなんなのでしょうか?
Google パックから入れたのですが、あまりメリットが無いのでしょうか?
差し支えなければ、教えてください。

投稿: くやまん | 2010/02/15 14:17:55

くやまん さん

とりあえず多くは語りません。

>「なるべくリカバリは避けてください。ご本人は初期状態から元通りのセットアップができる人ではありませんので」

この辺がポイントです。

投稿: ささもと | 2010/02/16 7:19:07

ささもとさんはサイトの運営上、個別の質問には答えられないのです
理解して上げてください。
かわりに私がコメントさせていただきますが、SpywareDoctorで検索
してみて下さい、情報は豊富なはずです。
いわゆる偽ソフトではありませんが、かなりグレーだと認識しています。
我々サポートマンは初心者の方に操作し易い環境を提供するのが仕事
ですので、少しでも怪しい動きをする物は避けたいのです。
Google推奨なのに何故?については自己責任をとれる方がお使いに
なる分には差し支えないでしょう。

投稿: ミナミのネコ | 2010/02/16 8:13:48

ミナミのネコ さん
いつもどうも。

>Google推奨なのに何故?については自己責任をとれる方がお使いになる分には差し支えないでしょう。

「有名どころが推奨する」っていうのは、要は宣伝費をもらっている、金さえ払えば推奨する、というもの。
こういうのって、ユーザーの意向なんてこれっぽっちも考慮してません。
http://orbit.cocolog-nifty.com/supportdiary/2009/04/kingsoft-e296.html
こういった詐欺まがいの押し付けも同列。
初心者にはこの辺の境目(本当に必要なものなのかどうか)を見極めるのは、かなり難しいと言えます。
FlashPlayerやAdobeReaderをアップグレードしようとしたら、(Googleツールバーがインストール済みの場合)マカフィーセキュリティースキャンをインストールさせようとしてきますが、これも同レベルですね。
毎回チェックを外すのが鬱陶しいです…。

投稿: ささもと | 2010/02/17 7:57:09

回答ありがとうございました。
事情はよく分かりました。

投稿: くやまん | 2010/02/17 21:23:49

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 危険!セキュリティ対策機能がすべて停止しています! by ウイルスバスター。 | トップページ | Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?またまた。 »