ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« Yahoo!BB with フレッツ光ネクストには気をつけろ。 | トップページ | Macで無線LANプリントのトラップ。 »

2010年5月19日 (水)

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。またまた。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

さてさて、最近は依頼ベースでは下火になった感のある、「真っ黒画面にマウスカーソルだけ」のトラブル。
久々に来ました。

「ブログ見ました。同じ症状なので修理を依頼したいのですが…」

とのことで、いろいろ問診していると、どうやら何かのひょうしにフリーズしてしまい、強制的に電源を切って、もう一度起動したらそうなったらしい。

まぁ例の「ガンブラー」タイプなら、ネットをあちこち見ている最中に…というのが定番ですが、問診からではその辺はなんとも言えませんし、一応Vistaなので、何かしらUACで不意にインストール確認をしてくるはずですから、そこはわかるはずですが…。

一応、

  • 元通りに復旧できることを保証するわけではない
  • リカバリでの復旧になる場合もある
ということをお伝えし、引取修理をお引き受けしました。

モノが届いてチェックしてみたら、確かに「真っ暗画面にマウスカーソルだけ」という、そのまんまの症状。
しかし、チェックしていくと、どうにも意外な状況が。

-----

基本的な作業の流れはこちらの記事の通り。

2009年11月19日 (木) Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

Vistaの起動DVDをセットしてそちらから起動するのは同じ。
今回はVistaのPCなので、HDDにインストール済みのVistaを検知して、それの修復を選択。

そしてコマンドプロンプトからレジストリ操作をするわけですが…とりあえずガンブラーかどうかを確認しましょう。
この辺のアプローチは、

2010年2月 3日 (水) Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?

この記事と同じ。
まずは該当するレジストリのチェックです。

  • copy□c:\windows\system32\config\software□c:\windows\system32\
    config\software.daonol
    (万が一に備え、レジストリハイブの「software」を、名前を変えてコピー)
  • reg□load□HKLM\infected□c:\windows\system32\config\software
    (起動不良の「software」レジストリハイブを読み込み)
  • reg□query□"HKLM\infected\Microsoft\Windows□NT\
    CurrentVersion\Drivers32"

    (ガンブラー感染部分のレジストリを表示)
(「□」は半角スペース)

…どうやら感染の印である「midi9」のレジストリキーは見当たりません。
最盛期のガンブラーではなさそうです。
というよりは、ガンブラーの感染状況を考えると、いつまでも同じ攻撃手法を続けているわけではないので、多分、同じ現象でも、もうこの対処(「midi9」レジストリの削除)で治るものはないと考えてもいいのかも知れません。

では何なんだろう?

先の記事で、

2010年2月 3日 (水) Windowsロゴが出た後、真っ黒の画面にマウスカーソルが…ない?

この現象は、マウスカーソルがないとは言え、起動時に引っかかった「何か」によって引き起こされた、同じような現象。
具体的には、WinlogonレジストリのUserinit記述が、ノートンのマルウェア駆除動作によりさっくり削除されていた、というノートンのチョンボ。
今回も似たようなところがないかと見てみた。

reg□query□"HKLM\infected\Microsoft\Windows□NT\
CurrentVersion\Winlogon"

(「□」は半角スペース)

Userinitのレジストリ記述を見たら、なにやら怪しげな記述が。

UserInit REG_SZ C:\WINDOWS\system32\userinit.exe,c:\program files\g data internetsecurity\avkkid\avkcks.exe

…うーむむむむむ。
普通は「userinit.exe,」までのはずなんだけど、その後の怪しげな記述は…なんなんだ?

ぐぐってみたら、どうやらG-DATAというウイルス対策ソフトのものらしい。
なんとも怪しげな場所に食い込んでいるもんだ。

情報源としてよくお世話になっている「アダ被」サイトにも、

【アダ被】フォーラム :: トピックを表示 - 善玉 F2 について

2年以上も前ですが、その存在は確認されているようです。
やはり、マルウェアの利用する手法に似たやり方でシステムの監視を行なうことが問題視されていることと、事例が少ないために、どうしてもノウハウが蓄積されづらいようです。

とりあえず「怪しげなものではない」ということはわかりましたが、動作的にかなりクサイ部分であることだけは間違いありません。
しかし、本当にそこに問題があった場合、このレジストリだけを書き換えても、他にも関連するレジストリがあるはずなので、問題の解決とはなりにくいでしょう。

ここは一丁、消極的ではありますが、システム復元で対処してみましょう。

Vistaは、起動用DVDから起動して、回復オプションからシステムの復元が使えます。
XPのように、手動システム復元という、危険の伴う手作業をする必要はありません。

復元ポイントはいくつもありましたが、全てWindowsUpdateのもの。
お客様に現象の発生した日をお聞きし、それよりも前の日に復元してみました。

結果から言えば、すんなり起動するようになりました。

うーん…もしかして、勝手なWindowsUpdateによる起動不良?

イベントビューアをチェックしていくと、どうもおかしくなった日あたりに、「AVKWCtl」のエラーが多数見られます。

どうやら、G-DATAのアップデートか何かで、致命的な問題が発生していた模様です。

とにかくG-DATAの手動アップデート。
なにやらずいぶんと時間がかかってますが、なんとか最新版に更新完了。
再起動してアップデートを繰り返し、最新版になっていることを確認。

WindowsUpdateも手動で実施し、再起動と更新チェックを繰り返して、最新版になっていることを確認。

改めてG-DATAでシステムのスキャンをかけてみましたが、全く検出なし。

イベントビューアを見ても、G-DATA関連のエラーは出なくなっていたので大丈夫かと思ったんですが…。

なにやらWMIでイベントIDが10の見慣れないエラーが。

クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" のイベント フィルタを名前空間 "//./root/CIMV2" 内で再度使用できませんでした。原因はエラー 0x80041003 です。問題が解決されなければ、このフィルタではイベント表示できません。

…どうも以前から出ているようだけど…。

エラーコードから調べてみたら、こういう情報に行き当たった。

Windows Vista Service Pack 1 または Windows Server 2008 のインストール後にイベント ID 10 がアプリケーション ログに記録されます。 :マイクロソフトサポートオンライン

どうも原因は、「WMI フィルター権限なくアクセスする場合に発生します」ということらしいんだけど…。

詳細
このエラー メッセージは無視してかまいません。
…だそうだ。あっそ。
なんかスクリプトで何とかできるようなことを書いてあるけど、機械翻訳版だし、ホントに直す必要があったら、いずれWindowsUpdateで修正してくれるでしょう。今回は「無視していい」とのことで、あえて触らず放置です。

これで今回の修復作業は完了です。

それにしても、システムをフックする場所から考えて、G-DATAは、ちょっと曲者かもしれませんね。
何か問題があったら、今回のように、いともあっさりシステムが起動しなくなる危険性があるのかもしれません。
欧米あたりでは評判がいいらしいですが、個人的には、様子見のソフトですね…。

Gdataインターネットセキュリティ2010 1年版3台用
Gdataインターネットセキュリティ2010 1年版3台用
ジャングル 2009-09-17
売り上げランキング : 2199

おすすめ平均 star
starとにかくひたすら重い!ストレス溜まりまくりんぐ!
starこの安心感はいい!
star大分軽くなったんじゃない?

Amazonで詳しく見る
by G-Tools

以前はなんか高価だったようなイメージがあったのですが、一般的なウイルス対策ソフトと変わりませんね。

で、何が原因かは、ハッキリしたところは不明ですが、

G-DATAもしくはWindowsUpdateの更新にまつわるものである可能性はかなり高いでしょう。

まぁウイルス感染の可能性は捨てきれないので、一応「バックアップ後にリカバリを推奨します」とお伝えをしておきました。

-----

ウイルス感染って、最近はホント、ウイルスというよりは「トロイの木馬」が多くて、何が潜んでいるかわからないので、完全駆除にはリカバリ以外にありません。
でも、リカバリ直後でも、ネットにつないだ瞬間に感染するリスクがありますし、「本当に感染していない」という状態の証明って、誰にもできない現状が面倒ですよね。
リカバリ状態で返却するのは簡単ですが、ウチに依頼の来るお客様は、リカバリ状態から各種アップデートやサービスパック適用、ソフトウェア設定やネット環境の再構築などを的確にできるとは限りません。

確かにリカバリは、ウイルス感染に対する最も効果的で、かなり確実かつ簡単な対処方法です。

しかし、お客様のニーズは、「マルウェアの完全駆除」という作業者の安っぽい自己満足ではないのです。

そこまでやったら、確かに安いパソコンが買えるぐらいの修理費になるでしょう。
一部の売り上げ最重視の悪徳業者は、そうやってもっともらしい理屈で「完全駆除か買い換えか」を迫り、自社のパソコン売り上げにつなげようとします。
ウチがパソコン販売をやらないのは、そういう部分があるからです。
「前に頼んでたところは連絡が取れなくなったので」とお客様が言う業者は、すべて例外なくそれでしたから。
作業者の自己満足を押し付けた上に粗悪な中古PCを売りつけているような業者であれば、潰れて当然かと思われます。

本当にリカバリでいいのかどうか、きちんとお客様の状況やご意向を汲み、いろんなご提案をし、その結果のリカバリならなんら問題はないでしょう。
しかし、お客様のご意向に沿わないリカバリを押し付けるのは誰にでもできること。
それで高い料金を取って、したり顔をしていては、未来はないと考えています。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2010年05月19日(水) ウィルス・スパイウェア関連, ソフトウェアアップグレード関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« Yahoo!BB with フレッツ光ネクストには気をつけろ。 | トップページ | Macで無線LANプリントのトラップ。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェアアップグレード関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/48399292/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。またまた。:

コメント

妹のPCも結構前にそんな状態になってました。(他2,3件遭遇もしてますが)
復元ポイントも利用できなかった&system volume informationにも使えるレジストリが残っていなかったので、リカバリすることに。HDDがおかしくなっていたようなので、リカバリシステムも動かず、高速大容量HDDに交換して、データのみ移行しましたが。
曰く「昨日、電源切るときに一生懸命アップデートを適応して、電源切れたと思った。朝つけたらこんなんだったw」そうです。
どうもHDDの不良セクタか何かが問題でアップデート失敗→機動できない(マウスカーソルのみ)みたいです。

投稿: しおんちゃん | 2010/06/10 8:30:38

ヘルプを見ると、標準では入らないフィルタリングオプションみたいですね。
ここしばらくアップデートに非常に時間が掛かって居ますので、気付かずに途中で落としてしまったのかも。
アップデート中には、他のインターネット接続を遮断しますし。
偶にOSから起動していないと警告されることも。

期限切れたら乗り換える予定です。

投稿: ウォルフ | 2010/06/11 13:19:33

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« Yahoo!BB with フレッツ光ネクストには気をつけろ。 | トップページ | Macで無線LANプリントのトラップ。 »