« 久しぶりの海釣り | トップページ | 発見 »

パソコンが起動できないときは

今月半ば頃から、パソコン起動時にWindowsのロゴが表示された後、マウスポインタが表示されただけとなって、その後の操作ができなくなる、セーフモードでの起動も不可、と言うような症状が数多く報告されているようです。

大手のパソコンメーカーでは、サポートセンターの電話がパンクして悲鳴を上げている状態とか。

どうやら原因はマルウェアのようで、各メーカーで「Trojan.Win32/Daonol.H」、「TROJ_DELF.WQD」、「Infostealer.Daonol」、「Lando」などいろいろな名前で呼ばれているよう。

ただ、原因がわかっても「マウスポインタが表示されただけとなって、その後の操作ができなくなる」「セーフモードでの起動も不可」となってはなかなか対処のしようがないのが実情。

仕事場でも何台か報告があったので、対応法をいくつかあげてみました。

★HDDが取り外せて、他にパソコンがある場合
・取り外したHDDを玄箱等を使って、他のパソコンの外付けドライブとする
・外付けドライブに対してウイルス検索を行なう
・ウイルスが検索/駆除できた場合、取り外したHDDから起動できるようになるかも知れない

この方法でうまくいかない場合、レジストリが書き換えられていますので、以下の方法に倣ってレジストリの変更を行います。

★Windows XPのインストールCDがある場合
・Windows XPのインストールCDからパソコンを起動する
・「R」を押して、回復コンソール画面に移行する
・日本語キーボードを選択する
・Windowsを選択し、administratorのパスワードを入力する

注)ここから先はレジストリファイルをいじります。最悪パソコンが二度と起動しなくなるかも知れませんが、自己責任でお願いします。

<修復用レジストリの用意>
・C:\Windows\tempの下に「hozon」フォルダを作る(フォルダ名は何でも良い)
・C:\system volume informationフォルダへ移動する
・「_restore{......}」フォルダへ移動する(名前が長いので注意)
・RP***フォルダへ移動する(異常が起こった日の数日前のものが良い)
・snapshotフォルダへ移動する
・「_REGISTRY_MACHINE_SAM」、「_REGISTRY_MACHINE_SECURITY」、「_REGISTRY_MACHINE_SOFTWARE」、「_REGISTRY_MACHINE_SYSTEM」の4つのファイルを、上で作った「C:\Windows\temp\hozon」へコピーする(一つずつしかコピーできないので注意)
・コピーした上記4つのファイルをそれぞれ「SAM」、「SECURITY」、「SOFTWARE」、「SYSTEM」にリネームする

<今のレジストリの退避>
・C:\Windows\System32\Configフォルダへ移動する
・上記フォルダの下位に「bak」フォルダを作る(フォルダ名は何でも良い)
・C:\Windows\System32\Configフォルダ内の「SAM」、「SECURITY」、「SOFTWARE」、「SYSTEM」を「C:\Windows\System32\Config\bak」へコピーする(一つずつしかコピーできない)

<修復用レジストリのコピー>
・C:\Windows\System32\Configフォルダ内の「SAM」、「SECURITY」、「SOFTWARE」、「SYSTEM」を削除する
・C:\Windows\temp\hozon内の「SAM」、「SECURITY」、「SOFTWARE」、「SYSTEM」をC:\Windows\System32\Configにコピーする(一つずつしかコピーできない)
・「EXIT」と入力し修復コンソールを終了する

<パソコンの起動>
・上記作業完了後、念のためセーフモードで起動しシャットダウンする
・その後再度正常起動を確認したら、ウイルススキャンを行なうこと

最初の「HDDが取り外せて、他にパソコンがある場合」でもこの方法を使うと、うまく行く可能性があります。ただし、外付けHDDの「system volume information」フォルダにアクセスできないと思いますので、アクセス権限を付与する必要があります。

また、起動するCDはOSのインストールCDで、市販パソコンについているリストア用CDではダメと思います(できるものもあるかも知れませんが...)

★Windows VistaのインストールCDがある場合
・Windows VIstaのインストールCDからパソコンを起動する
・適切な言語設定を行い、[次へ] をクリックする
・[Windows のインストール] ダイアログ ボックスが表示されたら、[コンピューターを修復する] をクリックする
・[システム回復オプション] ダイアログ ボックスで、[次へ] をクリックする
・[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] をクリックする

注)ここから先はレジストリファイルをいじります。最悪パソコンが二度と起動しなくなるかも知れませんが、自己責任でお願いします。

・以下のコマンドを実行し、レジストリのバックアップを取得する
 copy c:\windows\system32\config\software c:\windows\system32\config\software.daonol
・以下のコマンドを実行し、レジストリを確認する
 reg load HKLM\infected c:\windows\system32\config\software
・以下のコマンドを実行し、midi9のエントリーを確認する
 reg query "HKLM\infected\Microsoft\Windows NT\CurrentVersion\Drivers32"
・以下のコマンドを実行し、レジストリの値を削除する
 reg delete "HKLM\infected\Microsoft\Windows NT\CurrentVersion\Drivers32" /v midi9
・"レジストリ値 midi9 を削除しますか? (Yes/No)" を聞かれた場合、Yes を入力する
・「EXIT」と入力し、Windowsを再起動する
・その後再度正常起動を確認したら、ウイルススキャンを行なうこと

このマルウェア、感染元がいまいち良くわからないのが現状です。
ウイルススキャンの定義ファイルを最新にしていても感染してしまう例があるみたい。

ですので、「Windows Updateで最新のパッチを当てる」「Adobe系製品(Acrobat Reader、Flash Player)を最新バージョンとする」などの対策は、最低とっておいた方が良さそうです。

|

« 久しぶりの海釣り | トップページ | 発見 »

パソコン・インターネット」カテゴリの記事

コメント

I have been reading your posts lately, just want to say thanks for all informative stuff i have found here, helped me learn alot lately.

Much Regards, Mark

投稿: Spyware Blockers | 2009年11月13日 (金) 01時16分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: パソコンが起動できないときは:

« 久しぶりの海釣り | トップページ | 発見 »