« DVDドライブが認識しません。 | トップページ | フレッツ光プレミアム。インターネットに接続出来ません。 »

2007年11月 6日 (火)

起動後にWindowsMediaPlayerが起動して再起動。

本日のトラブルはウィルス駆除依頼です。

富士通のノートPCなのですがファイル共有ソフトを使って音楽データなどをダウンロードしていたら突然おかしくなったとの事。ウィルスで間違い無さそうです。

一晩中ファイル共有ソフトを2種類起動させっぱなしで置いておいたらしいのです。しかもウィルス対策ソフトらしきものも見当たりません。

これでは仕方ありません・・・。

電源を入れてみると壁紙にマウスカーソルでストップ。

アイコンやタスクバーも表示されません。

仕方ないのでタスクマネージャを起動し、タスクマネージャから一度ログオフしてログオンし直すと起動します。

またはタスクマネージャでexplorer.exeを終了して再度explorer.exeを実行でも起動します。

そして起動直後、今度はWindowsMediaPlayerが起動してブルースクリーン後再起動してしまいます。

しかしWindowsMediaPlayerが起動してすぐに終了してやれば問題なく再起動せず使用出来ます。

初めてみる症状です。

スタートアップにWindowsMediaPlayerが入っているのかと調べてみましたがそれらしいものはありません。

ちなみにブルースクリーンのエラーは以下の通り。

PAGE_FAULT_IN_NONPAGED_AREA

STOP:0x00000050(0xE22EB066.0x00000000

内容からするとメモリかハードディスクっぽいのですが・・・。

とにかく何らかのウィルスに感染している事は間違い無さそうなのでHijackThisでログを確認してみました。

すると怪しい項目がひとつ。

O4 - HKLM\..\Run: [fromJASRAC] C:\WINDOWS\fromJASRAC.mid

ネット調べてみるとまさに同じ症状のサイトが見つかりました。

検索するとかなりヒットするのでメジャーなウィルスのようですね。

とにかくHijackThisで上記ログをFIX。

次にWindowsファイル内のfromJASRAC.midを削除。

From

するとWindowsMediaPlayerの起動とブルースクリーンの症状は治まりましたが壁紙でストップの症状は治まらず・・・。

セーフモードでは問題なくログイン出来るのでサービスやスタートアップを無効にしてみましたが結果は変わらず。通常起動だと壁紙表示の時点で止まります。

アカウントの問題かと思い試しに別アカウントを作成してみましたが同様に壁紙以降ログイン出来ません。

よく見ると常駐アイコンに表示されていなかったので分かりませんでしたがノートンインターネットセキュリティーがインストールされています。実行してもエラー表示で起動しません。

ノートンインターネットセキュリティーの不具合もありそうなのでアンインストールしようとするとエラーでアンインストール出来ず。

削除ツールでようやくアンインストール完了。

実はこれで一度は起動出来るようになったのですが、もう一度再起動するとやはり壁紙で止まってしまいました。

もしかしたらまだ何かウィルスが残っているのかも知れません。

そこでトレンドマイクロのシステムクリーナーを実行してみました。

すると以下のレポート。

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Owner\デスクトップ\auto_tsc\tsc.ptn" (version 842) [success]
PE_PARITE.A[virus found]
-->delete process("EXPLORER.EXE","","") success
-->delete process("C:\WINDOWS\system32\Ati2evxx.exe","","") success
-->delete process("C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe","","") success
-->delete process("C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe","","") success
-->delete registry value("n/a","Software\Microsoft\Windows\CurrentVersion\Explorer","PINF") success
-->create process("C:\WINDOWS\EXPLORER.EXE","","") success

PE_PARITE.Aが検出されました。

一応駆除成功と出ていますが症状は変わらず。

メモリ常駐でセーフモード駆除が必要らしい。

TEMPフォルダを調べてみると大量の感染ファイルらしきものが見つかりました。

Windows\TEMPフォルダ内のファイルを全て削除しましたが1つのファイルだけ削除出来ません。

名前を変えてもダメ。強制削除ツールでもダメ。セーフモードでも削除出来ません。

しかも再起動ごとに名前が変わります。

どうも性質が悪そうです。

PE_PARITE.Aが改変するレジストリの

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

も何度削除しても復活してしまいます。

トレンドマイクロのサイトによるとEXE、SCRファイルなどに感染するらしい。

いろんなプログラムに感染していそうなので手動駆除は難しそう。

仕方ないので一旦ハードディスクを外してメンテPCに接続。

消せなかったWindows\TEMPフォルダ内の感染ファイルを削除。今度は問題なく削除OK。

次にメンテPCのNortonAntiVirusでハードディスク全体をスキャン。

すると何と3000個近い感染ファイルが見つかり駆除と削除。

5個のレジストリ修正がありました。

ほとんどはTEMPフォルダ内のファイルでしたが、これほどの感染ファイルを検出したのは初めてです。

スキャン完了したハードディスクを戻して起動してみると結果OK無事起動するようになりました。

ファイル共有ソフトをウィルス対策ソフトなしで使用すると間違いなくウィルス感染してしまいます。

皆さんお気お付け下さい。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

|

« DVDドライブが認識しません。 | トップページ | フレッツ光プレミアム。インターネットに接続出来ません。 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/185928/16950849

この記事へのトラックバック一覧です: 起動後にWindowsMediaPlayerが起動して再起動。:

« DVDドライブが認識しません。 | トップページ | フレッツ光プレミアム。インターネットに接続出来ません。 »