しつこいウィルス駆除。

本日のトラブルは常連の法人さんからのご依頼です。

当初はウィルス駆除でした。

ところがお伺いすると起動トラブルも発生。

経緯を説明すると・・・。

問題のパソコンは自作パソコンのWinXP。

インターネットが中国語のページに飛ばされたり、変なエラーメッセージが出てマカフィーがウィルスを検知するようになり、何度ウィルススキャンしても消えない。そのうちファイルが開けないなどのトラブルになり、システムの復元も試されたご様子です。

お伺いして電源を入れるとよく見るブルーのスキャンディスクのような画面なり一瞬SYSTEM32内のファイルが無いとか何とか・・・。

その後ようこそ画面になり以下のエラーメッセージで止まってしまいました。

「lsass.exe」システムエラー
レジストリが開始したI/O操作で回復不能なエラーが発生しました。
レジストリのシステムイメージを登録しているファイルの１つを次のレジスト
リが読み取ることができないか書き込むことができないかまたは消去できませ
ん。

［OK]ボタンしかない為クリックすると再起動。結局これの繰り返し。セーフモード、前回正常起動時の・・でもダメ。

ウィルス駆除の前に起動トラブルを何とかしなければならなくなりました・・・。

システムの再インストールすれば一番早いのですがそれだけは何とか避けたいとの事。

時間がかかりそうなので持ち帰り修理です。

まずエラーメッセージの内容からするとレジストリに問題がありそうなのでレジストリの復元を試してみました。

レジストリの破損により Windows XP を起動できなくなった場合の回復方法

パート１のバックアップファイルの書き戻しは回復コンソールでのコマンド作業は使わずにハードディスクをメンテPCに接続してメンテPCからファイルを書き換え。

一旦ハードディスクを戻して起動を確認。

もう一度メンテPCにハードディスクを接続してパート２以降の起動トラブル発生前の復元ポイントを適用。

これで起動トラブル前の状態まで戻りました。

これからウィルス駆除です。

起動すると早速以下のエラー。

HtmlDlg.Exe- 正しくないイメージ
　アプリケーションまたはDLL C\WINDOWS\System32\vhqq.dll は正しいWindowsイメージではありません。これをインストールディスクのファイルと照合してください。

MyAgtSvc.exe- 正しくないイメージ
　アプリケーションまたはDLL C\WINDOWS\System32\nuygnef.dll は正しいWindowsイメージではありません。これをインストールディスクのファイルと照合してください。

意味の分からないエラーですがウィルス感染時によく見るエラーメッセージです。

HtmlDlg.ExeやMyAgtSvc.exeからすると、どうも今回はマカフィー関連のプログラムエラーのようです。

vhqq.dll とnuygnef.dll は検索してみるとどうもウィルス関連のプログラムのようです。

次にHijackThisでログを調べてみるといくつかの怪しい項目があります。

O4 - HKLM\..\Run: [WinForm] C:\WINDOWS\WinForm.exE
O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe

O20 - AppInit_DLLs: qnefnaib.dll,ej.dll,uixauh.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,rfhx.dll,ijougiemnaw.dll,fmxh.dll,cty.dll,htwx.dll,knaixnauhuoyizqq.dll,lnaixnauhqq.dll,mnauygniqaixnaij.dll,oaijihzeuyouhz.dll,jemnaw.dll,sve.dll,idtj.dll,vhqq.dll,taijoad.dll,dsfg.dll,yqhs.dll,kiluw.dll,laixuhz.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,atgnehz.dll,bauhgnem.dll,pahzij.dll,jz.dll,bz.dll,oqnauhc.dll,sauhad.dll,mhtd.dll,eohsom.dll,fyom.dll,gnolnait.dll,zadnew.dll,hjiq.dll,rsqq.dll,pyomielnux.dll,xjxr.dll,cuhad.dll,utiemnaw.dll,wininat.dll,sqcwe.dll

とりあえず以上の項目をFIX。

ログもしっかり消えてくれました。

再起動すると先ほどのエラーメッセージも消えて起動も速くなり症状も落ち着きました。

しかしネットに接続するとハードディスクが激しくアクセスしてすぐにマカフィーがウィルスを検知します。どうやら他のウィルスを引き込んでいる様子。

再度HijackThisを起動すると今度は違うログが現れています。

一旦ハードディスクを取り出してメンテPCに接続。メンテPCからノートンで再度ディスク全体をスキャン。

いくつかのウィルスを検出して駆除。

もう一度ハードディスクを戻してネットに接続するとまた同じ。

マカフィーがウィルスを検出します。

そのうちマカフィー自体もエラーメッセージを表示してうまく動きません。

そこで一度マカフィーをアンインストール。

今度はセーフモードで再度HijackThisを起動して不正なログをFIX。

TEMPフォルダ内のファイルとインターネット一時ファイルを削除。消えないものはメンテPCに接続して削除。

次にWindowsフォルダ内とSystem32フォルダ内のファイルで作成日が感染日から今日までの怪しいファイルを調べて全て削除。

ebmhhujo.exe

iecbymth.dll

ebmhhujo.dll

jgbajunj.dat

2nauygniqaixnaij.cfg

以上が怪しいファイル。

ハードディスクを戻して再度ネット接続。

今度は問題なさそう。

HijackThisでもログの復活はありません。

すかさずWindowsUpdateを実行したが以下のメッセージでインストール出来ません。

Web サイトに問題が発生したため、このページを表示できません。次のオプションが、問題の解決に役立つ可能性があります。

実はこの症状は何度か遭遇したトラブルで以下の解決方法で修正できます。

1. [ｽﾀｰﾄ] ﾎﾞﾀﾝから [ﾌｧｲﾙ名を指定して実行] をｸﾘｯｸします｡

2. [名前] 項目に cmd と入力して [OK] をｸﾘｯｸします｡

3. ｺﾏﾝﾄﾞﾌﾟﾛﾝﾌﾟﾄ上に次のｺﾏﾝﾄﾞを入力して実行します｡

proxycfg -u

4. ｼｽﾃﾑを再起動します｡

ところが再起動するとWindowsロゴで一瞬ブルースクリーン後再起動・・・。

今まで何度か試していますが起動出来なくなったのは初めてです。

もしかしたらハードディスク自体がおかしいのかと思いもう一度ハードディスクを取り出してメンテPCに接続。

ドライブをクリックすると以下のエラー。

「ファイルまたはディレクトリが壊れているため、読み取ることができません」

ハードディスク自体も怪しそうです。

そこでCHKDSKでスキャンディスクをすると起動するようになりました。

そして再度WindowsUpdateを実行。

今度は問題なくWindowsUpdateが実行されました。

しかし再起動するとまたもやブルースクリーンで起動しません・・・。

ハードディスクの交換も必要なようです。

もう一度CHKDSKでスキャンディスク後新しいハードディスクにTureImageでディスクごとコピー。

システムをコピーして新しいハードディスクに交換。

症状は消えてHijackThisのログも綺麗になりトレンドマイクロのオンラインスキャンでウィルススキャン。ウィルスは検出されません。

しかしネットにしばらく接続して再度ウィルススキャンするとウィルスが検出されます。やはりまだ別のウィルスプログラムを引き込んでいるようです。

本当にしつこいウィルスです・・・。

その後各メーカーのウィルス対策ソフトでスキャンしたり怪しいプログラムを手動削除したりしていたら何とログイン出来なくなりました。

正確にはログインしてもデスクトップが表示されずすぐにログオフされてしまいます。

確か直前の再インストールしたマカフィーでの駆除の際にsystem32のuserinit.exeに感染したウィルスを駆除していました。

確かuserinit.exeはログインに必要なファイルだったと思います。

ハードディスクを取り出してsystem32フォルダのuserinit.exeを探しましたがなくなっています。駆除の際に削除されたようです。

そこでdllcasheフォルダ内のuserinit.exeをsystem32フォルダにコピー。これでログイン出来るようになりました。

その後何度かウィルススキャンを繰り返してようやくネットに接続しても検出されなくなりました。

完全に駆除出来たようです・・・。

もしかしたらuserinit.exeに感染したウィルスが原因だったのかもしれません。

その後数日様子を見ましたがウィルス感染による後遺症なども無く問題無さそうです。

今回のようなしつこいウィルスや複合感染しているような場合は駆除は出来てもシステムファイルがおかしくなっていたりして最終的にはデータを取ってリカバリした方が確実な場合もあります。

ですからウィルス駆除は一概に駆除が良いとかリカバリが良いとか言えません。

その辺りはお客さんと相談になるのですが感染状況を見て臨機応変な対応が必要ですね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ