金沢市の「パソコンの修理屋さん」

画面真っ暗でマウスカーソルのみ。

EDO — 2009-11-22T16:22:04+09:00

久しぶりの更新です。

ずいぶんサボってしまいましたが気になったトラブルがありましたので更新します。

先月の終わり頃から起動トラブルでWindowsロゴの後に真っ暗画面でマウスカーソルのみという症状のトラブルが頻発しておりました。

最初はWindowsUpdateのトラブルかと思っていましたが今週に入り立て続けに持ち込まれたのでさすがにおかしいと思い調べてみました。

するとどうやらウィルスのようです。

PCが起動しない――ウイルス「Win32/Daonol」の問い合わせ相次ぐ

症状は全く一緒。メーカーのサポートにも問い合わせが殺到しているようです。

さらにこのウィルスはXPのみでVistaや７では確認されていないようです。

最初のうちは手動で復元ポイントを戻して対応していました。

ハードディスクを取り出してメンテPCに接続。

メンテPCからハードディスクにアクセスして「System Volume Information」フォルダ内の正常起動時の復元ポイントをコピー、リネームして「Config」フォルダ内の各ファイルを置き換える。

これで正常に起動出来ますのでその後ウィルス駆除。

他のお客様で単純にメンテPCからハードディスクをウィルススキャンして駆除しても起動出来るようになりました。

ただ今回持ち込まれたのはPanasonicのCF-W2。

ハードディスクを取り出すのには骨が折れる機種です。

ネジはばらばらで30本近くありハードディスクに行き着くころにはほぼ全壊状態。

以前ハードディスク交換を行った時は電源スイッチが外れてしまったりととにかく分解したくない機種です。

復元ポイントを戻すのにはハードディスクを取り出さなくても回復コンソールからコマンド操作で出来ますが入力数がかなりあって面倒。

何かいい方法はないかと探していたらこんなサイトを発見しました。

Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？

こちらの方法だとCD起動可能なDOSプロンプトから直接ウィルスの該当レジストリを削除出来るとの事。

XPの回復コンソールではReg.exeが含まれていない為無理なようです。

ただVistaのDOSプロンプトでは実行出来そうなので今回はVistaDVDで起動しコマンド作業を実行してみました。

コマンドプロンプトで以下を入力。

copy c:\windows\system32\config\software c:\windows\system32\config\software.daonol

次にレジストリファイルのロード。

reg load HKLM\infected c:\windows\system32\config\software

最後に今回の該当ウィルスのレジストリ削除。

reg delete "HKLM\infected\Microsoft\Windows NT\CurrentVersion\Drivers32" /v midi9 /f

見事に該当レジストリを削除してくれました。

早速再起動すると無事起動してくれました。

その後HijackThisで他に怪しいログがないかチェックしてましたが特に発見されませんでした。

ネットに接続してWindowsUｐdateを実行。AdobeのFlashが最新版ではないと感染するとの情報もあったので最新版にアップグレード。

その後トレンドマイクロのオンラインスキャンでスキャンすると該当ウィルスを発見しましたのですべて削除。

念のため他社のオンラインスキャンでもチェックしましたがその後は問題なさそう。

ウィルス駆除無事終了です。

今回は情報通りのレジストリだったので無事起動しましたが、今後亜種などが出てレジストリを変更されると今回の作業が効かなくなる可能性もあります。

そうなるとやはり手動でのシステムの復元や別PCからのウィルス駆除が必要になります。

今回はハードディスクの取出しが厄介だったのでこちらの方法を使ってみました。

でも本当は別PCからハードディスクを丸ごとスキャンの方が早いですけどね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

USBメモリ感染型ウィルス。

EDO — 2009-07-08T11:13:27+09:00

久々の更新です。

本日のトラブルはウィルス駆除です。

最初ご依頼頂いたのはSONY VAIO特有のＣドライブ容量不足の圧迫解消でパーティションのサイズ変更でお預かりしました。

ところが起動してみるとCドライブの空きがないのと別にインストールされているNTTのセキュリティーツールがウィルス警告を出しています。

Cドライブのパーティションサイズ変更はハードディスクを取り出しメンテPCに接続。Partition Magicで問題なくサイズ変更完了。

問題はウィルス駆除です。

外したハードディスクをメンテPCからそのままウィルススキャン。

CドライブをDドライブのルートにいくつかのウィルスファイルを検出しましたが駆除出来ません。

手動で削除しようとＣドライブを開いてみましたがファイルがありません。

もしやと思い「フォルダオプション」からファイルの表示設定を確認してみるとやはり隠しファイルの表示設定が非表示になっています。

何度表示に設定しても戻ってしまいます。

どうやらメンテPCも感染してしまったようです。

レジストリが改ざんされたようなので調べてみました。

すると以下のレジストリが該当します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

上記エントリの値が0になっていれば１に変更。

確かにメンテPCのレジストリは０になっています。

すべて１に変更して終了。

しかしファイルの表示変更をしてもすぐに戻ってしまいます。

次にHijackThisでログをチェック。

すると起動項目に不審なログを発見。

ログを残すのを忘れてしまいましたがファイル名は「xvassdf.exe」です。

ユーザー￥local Stteings\AplicationDate内にあるようです。

早速ログをFix。

セーフモードで再起動して先ほどのレジストリを修正。

今度は隠しファイルが表示されました。

xvassdf.exeを削除しようとCドライブを開くとすぐにまた隠しファイルが非表示になってしまいました。

ここでやっと今流行のUSBメモリ感染型ウィルスだと分かりました。

今までになんどかこの手のウィルス駆除は行いましたが隠しファイルが非表示にされるのは初めてでした。

あとで調べたらUSBメモリ感染型は隠しファイルを非表示設定にするのが多いようですね。

しかし隠しファイルが表示されなければファイルを消せません。

コマンドプロンプトからコマンドで削除しようとしましたが該当ファイルは見つかりません。

ここで「xvassdf.exe」でググってみました。

すると以下のサイトが。

USBウイルスのxvassdf.exeの駆除方法

まさに今回の症状。

上記作業後にドライブをそのまま開くと感染するのでエクスプローラから開いて削除しろとの事。

エクスプローラから開くとウィルスが実行されないとは知りませんでした・・・。

早速HijackThisでログをFix。その後レジストリを修正して隠しファイルを表示しエクスプローラからドライブのルートを確認すると今回の原因ファイルを発見。

autruninfとum.exe

autruninfをテキストで開いてみると

[AutoRun]
open=um.exe
shell\open\Command=um.exe

um.exeが実行されるようになっています。

すべてのドライブのautruninfとum.exeを削除。

ユーザー￥local Stteings\AplicationDateのxvassdf.exeも削除。

今回メンテPCのsystem32フォルダにはxvassdf.exeなどの怪しいファイルはありませんでした。

そのままマイコンピュータからドライブを開いても問題ない事を確認して取りあえずメンテPCの駆除完了。

次にお客さんのハードディスクをメンテPCに接続してエクスプローラから各ドライブを確認するといくつかの隠しファイルがあります。その中に先ほどのautruninfとum.exeを確認。

すべてのドライブのautruninfとum.exeや怪しい隠しファイルを削除。

お客さんのハードディスクにはsystem32内にxvassdf.exeがしっかりいましたので削除。

再度メンテPCからウィルススキャンすると今度は駆除処理してくれました。

そしてハードディスクをお客さんのPCに戻してレジストリを修正。

HijackThisのログを確認するとfilemissingでログのみ残っていたのでFix。

マイコンピュータからドライブを開いて問題ないことを確認。

その後念のためトレンドマイクロのオンラインスキャンでスキャンするとメンテPCで見つからなかったウィルスを検出駆除。

system32内に1つだけ削除出来ないファイルがありましたがFileASSASSINで強制削除。

仕上げにシステムの復元ポイントとゴミ箱を空にして作業終了です。

USB感染型などのドライブを開くだけで感染するウィルスはエクスプローラから開けば実行されないと言うのはお恥ずかしながら知りませんでした。

今回のウィルス駆除は非常に勉強になりました。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

突然再起動の原因。

EDO — 2009-05-01T15:05:42+09:00

本日のトラブルは使用中に突然再起動してしまうとの事でパソコンが持ち込まれました。

問題のパソコンは自作のWin Vista。

一瞬青い画面になって再起動が掛かるとの事なのでブルースクリーンのようですね。

ことの経緯を詳しくお聞きすると、大学生のお客さんで今年4月に金沢に来られたようなのですが実家では問題無かったのに引っ越してインターネットが開通しネット接続しだしてからこのようなトラブルが発生したとの事です。

インターネット回線はBフレッツマンションタイプです。

いろいろ原因は考えられそうです。

早速電源を入れてネットに接続。

しばらく様子を見ましたが症状は出ず。

イベントビューアでログを確認しましたが不思議なことに気になるようなエラーはありません。

頻度をお聞きすると10分ぐらいで症状が出る時もありますししばらく使える時もあるとの事。

インターネットしている時に落ちるとの事ですがパソコンを使用している時は殆んどインターネットに接続している方が多いのでネット接続時にのみ落ちるとも限りません。

とにかく症状を確認しないと対応出来ないので原因切り分けの為にお預かりする事にしました。

お預かりして約３日ほどネットに接続したりいろいろ様子を見てみましたが全く症状現れません。

取りあえずハードディスクとメモリのテスト。ウィルスチェックをしましたが特に問題はありませんでした。

こうなると考えられる原因は３つ。

①周辺機器の不具合。

　今回本体のみのお持込なので他の周辺機器が原因の場合があります。しかしお客さんに　　確認したところ、モニター、キーボード、マウス、プリンターぐらいだそうです。今回は周辺機器の可能性は低そう。

②電圧の問題。

　今まで何度かありましたがコンセントからの電圧が低い場合に再起動を起こす場合があります。通常家庭用コンセントは１００V前後ですがこれが９０V前後など低い場合に似たような症状が現れました。特にタコ足コンセントの場合は直接コンセントからとる事で改善された場合もあります。今回も実家では問題なく引っ越し先での不具合ですので可能性はありそう。しかし引っ越してからしばらく問題なくインターネット接続するようになってからとの事なので別の原因がありそうです。

③フレッツ接続ツールの問題。

　お客さんの環境はBフレッツのマンションタイプなのでフレッツ接続ツールで接続されています。うちの事務所は光NEXTなのでフレッツ接続ツールは使わずにルーターで接続しています。もし原因がフレッツ接続ツールであれば事務所では症状が出ないのは当然です。インターネット接続をしだしてからの症状との事なので今回はこれが一番怪しそうです。

お客さんに接続ツールを入れられている理由をお聞きすると「セットアップ時にCDで付いていたから」だそうでう。

必要無さそうなのでアンインストールしてVista標準のPPPoE接続で設定。

これで様子を見て頂く事にしました。

もしこれでも症状が出たらご連絡を頂ける事になっているのですが３日経ってもご連絡はありません。

おそらく改善されたのでしょう。

もしまだ直っていないとのご連絡があればまたブログでご報告いたします。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

アダルトサイトの請求画面・・・。

EDO — 2009-04-28T11:28:06+09:00

本日のトラブルはアダルトサイトの請求画面が消えないと言うある意味定番のトラブルです。

ウィルスやスパイウェア駆除と違って簡単な作業なので10分ほどで終わるつもりでお伺いしました・・・。

問題のPCはショップブランドのデスクトップPC WinXPです。

電源を入れるとHijackThisがデスクトップにあります。

どうやらご自身で対応しようとされたようですがあきらめてお電話頂いたようです。

そして問題の画像が以下。

登録日と振込み期限がカウントダウンされています。

せっかくなのでお客さんの入れられたHijackThisで取ったログが以下の項目。

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\JWord\Plugin2\jwdsrch.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\Yahoo!J\PCSERV~1\ypcsm.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\conime.exe
C:\Documents and Settings\All Users\Application Data\System32 Datas\By3Kwrn4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Yahoo!J\Messenger\ypagerj.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\NTTW\StartUpTool\StartUpTool.exe
C:\Documents and Settings\Owner\My Documents\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Owner\デスクトップ\Hijack This\HiJackThis.exe

R3 - URLSearchHook: MyUrlSearchHook Class - {2ACECADE-0BC7-4C6F-95CF-A221CC161B52} - C:\PROGRA~1\JWord\Plugin2\jwdsrch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Yahoo!ツールバーフィッシング警告 - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar\7_1_0_6\Modules\ypho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Yahoo!ツールバーヘルパー - {EEBA90E6-2B14-413F-9BF8-61A8BDF92258} - C:\Program Files\Yahoo!J\Toolbar\7_1_0_6\Modules\YahooToolBar.dll
O3 - Toolbar: Norton ツールバーの表示 - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7-41C640DA4A67} - C:\Program Files\Yahoo!J\Toolbar\7_1_0_6\Modules\YahooToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [jwdsrch] C:\Program Files\JWord\Plugin2\jwdsrch.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IME JPN 2007 Migration] C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMEJP\IMJPKLMG.EXE /Preload
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ypcsm] C:\PROGRA~1\Yahoo!J\PCSERV~1\ypcsm.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IME_JPUpdate1.2] "C:\Documents and Settings\All Users\Application Data\System32 Datas\By3Kwrn4.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ypcsm] C:\PROGRA~1\Yahoo!J\PCSERV~1\ypcsm.exe
O4 - HKCU\..\Run: [Yahoo!Japan Pager] "C:\Program Files\Yahoo!J\Messenger\ypagerj.exe" -quiet
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: JWord でサイト検索 - res://C:\PROGRA~1\JWord\Plugin2\jwdsrch.dll/300
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo!ツールバーに追加 - res://C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll/script_search.htm
O8 - Extra context menu item: Yahoo!検索で検索 - res://C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll/script_yahoo.htm
O9 - Extra button: JWord プラグイン - {34D67ED2-C837-4627-838C-2264E347D291} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton&pver=2 (file missing)
O9 - Extra 'Tools' menuitem: JWord プラグインについて - {34D67ED2-C837-4627-838C-2264E347D291} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton&pver=2">http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton&pver=2 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B8FA14E5-8AE7-452C-AA3B-23C32388CDA0} - C:\PROGRA~1\JWord\Plugin2\JwdPH.dll
O9 - Extra 'Tools' menuitem: JWord プラグインの設定... - {B8FA14E5-8AE7-452C-AA3B-23C32388CDA0} - C:\PROGRA~1\JWord\Plugin2\JwdPH.dll
O9 - Extra button: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra 'Tools' menuitem: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JWDSearch] JWord プラグイン
O14 - IERESET.INF: START_PAGE_URL=http://www.applied-net.co.jp
O15 - ESC Trusted Zone: http://*.update.microsoft.com/">http://*.update.microsoft.com
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB">http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198215782843">http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198215782843
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

一瞬見ただけでは分かりませんでした。

この手のアダルト請求はウィルスと違って０４に分かりやすい名前で出ているはずなのですが・・・。

改めてじっくり見てみると不審な項目が・・・。

O4 - HKLM\..\Run: [IME_JPUpdate1.2] "C:\Documents and Settings\All Users\Application Data\System32 Datas\By3Kwrn4.bat"

IME関係に見せかけてしかもApplicationDate内にSysytem32 Datasフォルダ。

バッチファイルが組み込まれています。

ファイルを辿って作成日を確認すると症状が出た日時とほぼ同じです。

試しにmsconfigで該当項目のチェックを外して再起動。

すると請求画面は立ち上がらなくなりました。

どうやらこれが原因のようです。

再度msconfigでチェックを戻し再起動。

改めてHijackThisで該当項目と不要な項目をFix。

その後タスクマネージャで該当プログラムを終了させてSysytem32 Datasフォルダごと削除。

再起動で症状が出ない事を確認して終了です。

その後時間が余ったのでお客さんからのご依頼で使ってないと言うyahooメッセンジャーをアンインストール。

フレッツ光のセキュリティーツールに乗せかえるとの事で期限切れのNorton３６０を削除ツールでアンインストールしました。

いままでアダルトサイト請求関係は分かりやすいログでしたが、最近の物はウィルスやスパイウェアのように素人では判断できないようなものになっているのでしょうか。

だんだん悪質になりますね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

WindowsXPロゴでc00021a再起動。

EDO — 2009-04-27T11:50:13+09:00

本日のトラブルは起動トラブルで出張しました。

元々はデータ復旧でお伺いしました。

問題のパソコンは日立のデスクトップPC。WinXPです。

Windowsロゴで再起動がかかるとの事なのでもしハードディスクの場合最悪データ復旧も無理な場合があります。

お客さんに了解頂いて作業開始です。

ハードディスクを取り出して常備しているメンテノートPCに接続。

するとあっけなく認識してくれました。

もしかしたらハードディスクではないのかも・・・。

お目当てのデータを取り出してお客さんのUSBメモリにコピー。

データ復旧はこれで完了です。

お客さんは修理と買い替え悩んでおられて安く済むのであれば修理をとの事です。

リカバリディスクがあればハードディスク料と技術料ですみますが最悪の場合リカバリディスクを購入（日立は販売しているか分かりませんがたしかしていたような・・・）になりますので別途かかります。

お客さんに相談したところリカバリディスク購入せずに修理出来るなら修理して欲しいとの事です。

今回のハードディスクの状態からすると何とかなるような気がしますが・・・・。

早速持ち帰って作業開始です。

ハードディスクを取り出してメンテPCに接続。

Acronis Ture Imageでディスクイメージをバックアップ。

ところが４５％までは問題なく進みましたがそれ以降不良セクタエラー連発で進みません。

やはりハードディスクにエラーがありそうです。

一旦イメージ化をキャンセルしてメーカーツールでハードディスクテストしてみるとやはりエラーが出ています。

次にメンテPCから問題のハードディスクをスキャンディスク。

時間は掛かりましたが無事終了。

再度Acronis Ture Imageでディスクイメージをバックアップ。

今度は問題なく終了。

バックアップを取ったイメージを新しいハードディスクにコピー。

殆どの場合これで起動するはずです。

ハードディスクをPuriusに戻して起動確認・・・。

しかし起動しません。

同じようにWindowsロゴで再起動がかかります。

改めて再起動を無効にしてエラー番号を確認してみると以下のエラー。

STOP：ｃ00021a unknown Hard Error unknown Hard Error

セーフモードでも起動せず・・・。

原因不明のエラーです・・・。

たまにメモリが原因でWindowsロゴの再起動も発生しますのでメモリテストしますが今回は問題ありませんでした。

何か情報はないか探して見ますがこれといったものもありません。

ただサービスパックをインストールしてから同様の症状が出たという情報がありました。

お客さんのXPはSP2が適応されています。

ただSP2をインストールされたのは最近ではなさそうなのでSP2が原因とも思われません。

しかしダメもとでSP2をアンインストールしてみました。

回復コンソールを起動して

cd $ntservicepackuninstall$\spuninst

でEnter。

batch spuninst.txt

でEnter。

「アクセスが拒否されました」とかエラーが連発しますが無視してじっと待ちます。

アンインストールが終わると

exitで再起動。

すると進歩はありました。

Windowsロゴでの再起動はなくなりました。

しかし起動がやたら遅いのとデスクトップが表示されてアイコンも表示されますがタスクバーが表示されません。

おまけにキーボード、マウスとも動きません。（これは多分事務所のキーボード、マウスを使っていたのでWindowsのプラグアンドプレイが機能する前に止まってしまって使えないだけだと思います）

セーフモードでも同じです。

あと出来るとしたらシステムの復元と修復セットアップ。

まずハードディスクをメンテＰＣに接続してSystem32￥Configフォルダのsystem.default.SAM.software.SECURITYのファイルを別の場所へ移動。

System Volume Informationフォルダ内の復元ポイントを先ほどのファイル名にそれぞれ変更してConfigフォルダへコピー。

ハードディスクを戻して起動を確認しますが・・・。

やはり同じ状態。別の復元ポイントも試しましたが効果なし。

どうやらレジストリは関係なさそう。

システムファイルを元に戻して修復セットアップする事にしました。

修復セットアップはあまりお勧めしませんが最後の手段です。

手持ちのWindowsXPのCDから起動。

修復セットアップを選択。

一番心配していたプロダクトIDもPurius側面シールのIDで無事通過。

修復セットアップが完了。ライセンス認証が要求されてネット経由でこちらも無事終了。

ライセンス認証を終えて起動を確認すると問題なく起動しました。

その後ドライバやアプリケーションなどに問題ないか様子を見ましたが特に問題無さそう。

後はSP2のインストールとその他のWindowsUｐdate。

使用期限が切れたノートンがエラーを吐いていたので削除してNOD32の体験版をインストール。

特にご依頼はありませんでしたがメモリが256MBで非常に遅かったので在庫の256MBを格安で追加。

これでだけでかなり速くなりました。

リカバリ領域がハードディスクの場合は作成しておかないとリカバリディスクはありませんが富士通や日立などはリカバリディスクが添付されているので買ったときの付属品は無くさずに保管しておいて下さい。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

SP3インストール後にインターネットに接続出来なくなった。

EDO — 2009-04-26T13:09:01+09:00

本日のトラブルはタイトル通りのインターネットトラブルです。

SP3をインストールした後にインターネットが接続出来なくなったと日立のPrius WinXPが持ち込まれました。

早速電源を入れてネットに接続してみるとIPアドレスは問題なく取得されています。

試しにIEを起動してみると・・・。

異常に遅い上にメニューバーなども中途半端に表示された状態で止まってしまいます。

どうやらIE自体が起動しきれていないようです。

取り合えずIEのプロパティから一度リセットしてみようとしましたが「インターネットのプロパティ」が開けません。

コントロールパネルから起動しようとしましたがこちらも起動せず。

ＳＰ３インストール後との事なのでSP３をアンインストールしてみる事にしました。

コントロールパネルの「プログラムの追加と削除」からSP3をアンインストール。

不安ではありましたが何とか問題なくアンインストール完了。

改めて「インターネットのプロパティ」を開こうとしましたがやはり開けず。当然IE自体も起動しません。

そこで今現在はIE７が入っているのでアンインストールしてIE６に戻してみました。

すると今度は問題なく起動。

しかし気になるのがリンク先。

なぜかホームを表示せずに「xtoff」というサイトに接続に行きます。しかしリンク無効でDNSエラー。

ホームの設定を変えたり「インターネットのプロパティ」でリセットしてみましたが変わらず。

さらに気になる事にスタートメニューからのIEのアイコン。

NoAdd-onsになっています。アドオンなしの状態だと思いますがなぜこんな事になっているのでしょう。

ここでウィルスの類を考えて調べて見ましたがどうやらウィルスでもなさそう。

こんなサイトが見つかりました。

http://www.shizukichi.com/Backspace/bs027.htm

どうやらIE７からIE6に戻した時に発生する場合があるトラブルのようです。

早速サイトの通りにショートカットのプロパティを開き-extoffの単語を削除。

これでリンクに飛ばされる事も無くなり通常のアイコンに戻りました。

後はSP3を回避してWindowsUｐdateを実行。

念のためウィルスチェックをして終了です。

SP３がらみので起動しなくなったり今回のようなトラブル出たりとちょくちょく依頼されますのでやはりまだSP３を入れるのは怖いですね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

アダルトサイトの請求画面。

EDO — 2009-04-11T10:15:47+09:00

本日のトラブルはよくあるアダルトサイトの請求画面が消えないとの事でノートパソコンが持ち込まれました。

ブログでは紹介していませんでしたが最近持込み店舗を出しました。

基本出張でお伺いしていましたが、やはり持込みたいと言うお客さんの要望が多かったのでこの度店舗を開きました。

詳しくはPCRサービスのホームページまで。

さてトラブルのほうですが、問題のパソコンは富士通のノートパソコン　WinVistaです。

早速電源を入れると以下の画面が起動してきます。

何度消してもしばらくすると起動してきます。

msconfigで起動項目を確認するとそれらしい項目があります。

早速HijackThisでログを取得すると以下の２つがそれです。

O4 - Startup:www.adult-dougaga.com.html.lnk = ?
O4 - Startup: www.adult-dougaga.com.lnk = C:\Users\＊＊＊\AppData\Roaming\DATT JAPAN\mahj\QVXuOUmkLBTzJHip.bat

スタートアップにショートカットが放り込まれています。

ウィルスやスパイウェアなどとは違って非常にわかりやすいです。

早速HijackThisから上記項目をFixしてレジストリを削除。

再起動で症状が消えた事を確認して実行ファイルのQVXuOUmkLBTzJHip.batを削除。

取りあえずアダルト請求画面は消えましたがウィルスの類も入っていないとは言えません。特にアンチウィルスソフトも入っていないので最後に自分が信頼しているNOD３２の体験版をインストールしてスキャン。

こちらのソフトは値段もそこそこで検知率も高く何と言っても非常に軽いです。

ノートンやウィルスバスターで見つけられない不正ファイルも検知してくれますのでお勧めです。

お客さんにウィルス対策をご依頼された時はこれを使っています。

スキャンが終わるといくつかのトロイを駆除してくれました。

後はお客さんに何らかのNOD32の製品版をお勧めして終了です。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

エラー番号 0x800C0131でメール送信が出来ません。

EDO — 2009-04-03T18:15:22+09:00

本日のトラブルはメールの送信トラブルです。

問題のパソコンはIBM製Win98のデスクトップです。

最近はトラブルのほとんどがXPですのでWin98は珍しいですね。

何度か呼んで頂いてるお客さんなので状況は判断しやすいです。

トラブルの内容はメールで添付ファイルを送ろうとするとエラーが出て送信できないとの事。

最初はサーバーの容量が足りていないのかと思いお伺いしたのですが・・・。

実際にお客さんの言われるままに適当な添付ファイルを送信してみました。

すると[エラー番号 0x800C0131]が出て確かに送信出来ません。

念のため添付ファイルを付けずに送信してみました。

するとやはり同じエラーで送信出来ません。

どうやら添付ファイルは関係無さそうです。

受信は出来て送信だけ出来ないのでポート２５ブロックを疑いました。

取りあえずSMTPのポート番号を25から587に変更してみました。

しかし症状変わらず送信出来ません。

ここでエラーメッセージをよーく見てみると違和感が・・・。

SMTPポートの番号がなぜか０になっています。

もう一度アカウントのSMTPのポート番号を確認してみると先ほど変更した587になっています。

もう一度25に戻して送信してみましたがやはりSMTPポートが０でエラーメッセージを出しています。

どうやらこの辺がおかしいようです。

アカウントの不具合か切り分けるためにテスト用の会社のメールアカウントを設定してみました。

しかし同じようにエラーメッセージが出てしまいます。

どうやらアカウントの不具合でも無さそうです。

お手上げなのでエラー番号「0x800C0131」で検索をしてみました。

するとNECのサイトにこんなページが・・・。

Outlook Expressでメールの送受信時、エラー番号 0x800C0131 が表示された場合の対処方法

全く同じ内容です。

どうやら「Folders.dbx」がおかしくなっているので作り直せとの事。

早速「Folders.dbx」ファイルを検索して拡張子をoldに変更。

OutlookExpressを再起動。

問題なく送信されました。

今回は「Folders.dbx」が原因だったようですね。

やはりちゃんとエラーを出してくれるトラブルに関してはネットで検索した方が早そうです。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

ブルースクリーン　0x0000000A。

EDO — 2009-03-18T19:13:14+09:00

本日のトラブルもブルースクリーンです。

最近ブルースクリーンのトラブルが続いています。

不思議な事に同じような症状のトラブルが続く時は続きますね。

問題のパソコンはDELLのノートPC　WinXPです。

早速電源を入れてみると問題なく起動します。

お客さんに確認すると起動する時もあるとの事。あと起動してもしばらくするとブルースクリーンがランダムに発生するようです。

しばらく再起動したり色々様子を見ましたが全く症状が出ません。

イベントビューアを確認すると確かにSysytemErrorが発生しています。

エラーNoは0x0000000A。

仕方ないのでメモリとハードディスクのテストをしてみましたが特にエラーはありません。

時間が掛かりそうなのでお預かり修理となりました。

時間をかけて何度か再起動してみると６回目にして症状が出ました。

画像は見にくいですが以下のメッセージ。

IRQL_NOT_LESS_OR_EQUAL

Stop: 0x0000000A

早速ネットで検索してマイクロソフトのページ。

原因

この Stop エラーメッセージは、通常、インストール中にプロセスの IRQL が高すぎる状態で、ページング可能なメモリに対するカーネルモードでのアクセスが行われた場合に発生します。一般に、このエラーはドライバが不適切なメモリアドレスを使用している場合に発生します。または、互換性のないデバイスドライバ、一般的なハードウェアの問題、および互換性のないソフトウェアなどが原因となっている可能性もあります。

いろいろ言っていますが一般的にはドライバの不具合の可能性が高そうですね。

症状の頻度を確認してみるとランダムですが５～７回の再起動でWindowsロゴのドライバ読み込み直後に発生します。

正常に起動しても途中でブルースクリーンが発生します。

それとほとんどはStop: 0x0000000Aなのですが一度Stop:0x000000d1も発生しました。

システム的は不具合なのか切り分けの為にセーフモードで起動してみました。

２０回ほどセーフモードで起動しましたが全く症状は出ません。

やはりドライバが怪しそうですね。

まず一番怪しいネットワークドライバを更新してみる事にしました。

こちらのノートは標準で無線子機が内蔵されています。

DELLのサイトから最新のドライバをダウンロード。

一度ドライバを削除して最新のドライバをインストール。

２０回以上再起動していますが全く症状は出なくなりました。

どうやら直ったようですね。

マザーボードの不具合だと厄介だなと思っていましたがドライバの再インストールで直って良かったです。

修理の際は必ずお客さんに

「こうなる前に何かインストールしませんでしたか？」や「何かしてからの症状ですか？」

と確認しているのですがほとんど心当たりがないと言われます。

今回も特に心当たりはないとの事で突然こうなったと言う事でした。

何もしないのにドライバに不具合が出ると言うのは不思議です。

ただ何もしてなくてもWindowsは自動更新されているので常に変わっています。

もしかしたらWindowsの更新プログラムがインストールされた事によって起こったトラブルかもしれませんね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

セーフモードでもフリーズ？

EDO — 2009-03-17T18:30:40+09:00

本日のトラブルはWindowsがフリーズして使えないとの事で出張してまいりました。

問題のパソコンは自作デスクトップのWindowsXPです。

早速電源を入れてみるとWindowsロゴが表示されて「ようこそ」画面でフリーズ。

カーソルも動かないので本当にフリーズしているようです。

もう一度再起動してみると今度はWindowsロゴでフリーズしてしまいました。

事の経緯をお聞きすると最近フレッツ光プレミアムに変更されてその後今まで使っていたリコーのネットワークプリンタが印刷出来なくなったとの事。

多分これは今まで使っていたバッファローのルーターからCTUに変わった為、IPアドレスのセグメントが変わったからでしょう。

その為色々とプリンターの設定を変更していたら今回のトラブルが発生したとの事。

症状からするとメモリかマザーボードのような気がするのですが・・・。

取りあえずメモリとハードディスクのテストをしてみました。

結果はメモリ、ハードディスク共にエラーなし。

後はマザーボードのコンデサ不良。しかし購入されてまだ一年ほどしかたっていないとの事です。

システム的な不具合なのかハード的な不具合なのか判断する為にセーフモードで起動してみる事にしました。

するとお客さんが「セーフモードでもフリーズしてしまった」と仰っています。

セーフモードでもフリーズするという事はハード的な不具合の可能性が高いですけど・・・。

念のためセーフモードで起動してみます。

すると問題ありません。

たまたま起動したのかもしれませんが、せっかく起動したのでイベントビューアのログを確認してみました。

しかしこれと言った気になるエラーもありません。

もう一度セーフモードで起動してみましたがやはり問題なく起動します。

すると別の方が「厳密にはセーフモードではなくて[セーフモードとネットワーク]で起動出来なかったんですけど・・・」

と言うことは・・・。

早速今度は「セーフモードとネットワーク」で起動してみました。

するとファイルを読み込み終わった後にフリーズしてしまいました。

どうやらネットワークドライバの不具合っぽいです。

もう一度普通のセーフモードで起動し、[デバイスマネージャ]からネットワークドライバを削除。

そして通常起動で再起動。

すると今度は普通に起動してデスクトップまで表示されました。

やはりネットワークドライバの不具合だったようですね。

マザーボード付属のＣＤからドライバを再インストール。

何度か再起動をかけてみましたが問題無さそうです。

後は印刷出来なくなったプリンターのＩＰアドレスをＣＴＵのセグメントに合わせて設定して、Windows側のプリンターポートのＩＰアドレスも変更。

これで印刷も出来るようになりました。

今回はたまたま「セーフモードとネットワーク」で起動出来なかったので早く原因が分かりましたがそれ以外のドライバが原因だと一つ一つ潰していく必要があるので時間が掛かりますね。

しかし最近何故かネットワークドライバ絡みのトラブルが多いような気がします。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

金沢市の「パソコンの修理屋さん」

画面真っ暗でマウスカーソルのみ。

USBメモリ感染型ウィルス。

突然再起動の原因。

アダルトサイトの請求画面・・・。

WindowsXPロゴでc00021a再起動。

SP3インストール後にインターネットに接続出来なくなった。

アダルトサイトの請求画面。

エラー番号 0x800C0131でメール送信が出来ません。

ブルースクリーン 0x0000000A。

セーフモードでもフリーズ？

ブルースクリーン　0x0000000A。