先日対応したPCなのですが、Windowsを起動すると壁紙だけが表示され、アイコンが出てこない、というものがありました。
ただ単に、Explorerが上手く立ち上がらなかっただけなのかな?と思い、Ctrl + Alt + Delでタスクマネージャーを起動して、「ファイル」→「新しいタスクの実行」に「explorer.exe」を指定してみたところ、「'explorer.exe' が見つかりません。」というメッセージが出るんですよね☆ でも、C:\windowsフォルダの中にはexplorer.exeはちゃんと存在するのです。
でも、explorer.exeをコピーして別名の複製を作り、それをダブルクリックで実行するとフォルダは見えるんです☆ つまり、explorer.exeのファイル自体は壊れていないわけです。
実は、このPCは「AGENT.AWVZ」というトロイの木馬型のウイルスが入った経緯があり、ウイルス対策ソフトでウイルス自体は隔離したのですが、結局はそのウイルスが元でレジストリが改変されており、それが原因での症状、ということがわかりました。
対応としては、レジストリエディタを開き、以下のキーを削除しました。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
※ 値は Debugger = "c:\Program Files\Microsoft Common\wuauclt.exe"
その後、ウイルスが作成して残ったままになっていた「c:\Program Files\Microsoft Common」フォルダを丸ごと削除。まぁ、丸ごと、といっても、ウイルス対策ソフトで「WUAUCLT.EXE」というファイルは隔離してましたので、フォルダの中には何も残っていなかったんですけどねw
その後、再起動したところ、現象は回復。きちんとアイコンも表示されるようになりました^^ 念のためキャッシュやシステムの復元ファイルもクリアし、再度ウイルスチェックをかけ、OKでしたので多分もう大丈夫だと思います♪
このウイルスが出た直後はまだ詳しい対策方法がでていなかったので、レジストリの改変位置もよくわからなかったのですが、その後、発表になったのを同僚が見つけてくれて助かりました^^
※ 本文中の「\」は半角の「¥」です。
ただ単に、Explorerが上手く立ち上がらなかっただけなのかな?と思い、Ctrl + Alt + Delでタスクマネージャーを起動して、「ファイル」→「新しいタスクの実行」に「explorer.exe」を指定してみたところ、「'explorer.exe' が見つかりません。」というメッセージが出るんですよね☆ でも、C:\windowsフォルダの中にはexplorer.exeはちゃんと存在するのです。
でも、explorer.exeをコピーして別名の複製を作り、それをダブルクリックで実行するとフォルダは見えるんです☆ つまり、explorer.exeのファイル自体は壊れていないわけです。
実は、このPCは「AGENT.AWVZ」というトロイの木馬型のウイルスが入った経緯があり、ウイルス対策ソフトでウイルス自体は隔離したのですが、結局はそのウイルスが元でレジストリが改変されており、それが原因での症状、ということがわかりました。
対応としては、レジストリエディタを開き、以下のキーを削除しました。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
※ 値は Debugger = "c:\Program Files\Microsoft Common\wuauclt.exe"
その後、ウイルスが作成して残ったままになっていた「c:\Program Files\Microsoft Common」フォルダを丸ごと削除。まぁ、丸ごと、といっても、ウイルス対策ソフトで「WUAUCLT.EXE」というファイルは隔離してましたので、フォルダの中には何も残っていなかったんですけどねw
その後、再起動したところ、現象は回復。きちんとアイコンも表示されるようになりました^^ 念のためキャッシュやシステムの復元ファイルもクリアし、再度ウイルスチェックをかけ、OKでしたので多分もう大丈夫だと思います♪
このウイルスが出た直後はまだ詳しい対策方法がでていなかったので、レジストリの改変位置もよくわからなかったのですが、その後、発表になったのを同僚が見つけてくれて助かりました^^
※ 本文中の「\」は半角の「¥」です。
スポンサーサイト
2008.08.29 | ウイルス |
トラックバック(0) | コメント(2) |
先週悩まされたウイルスがあったんですけど、TROJ_MARAN.HEという名前のウイルスでした。
ウイルスバスターで検知したのですが、まだトレンドマイクロに対策が載ってなくて、該当ファイルを削除しようとしてもなかなか消えてくれなくて困っちゃいました^^;;;
でも、さっきトレンドマイクロで再度確認したら、もう対応方法が載っていて、TROJ_MARAN.HEウイルスは、TSPY_MARAN.AETという名前にに改称されたそうですねw
TSPY_MARAN.AETの対応方法はこちらに載ってました。
ただ、この方法だと回復コンソールを使用して、該当ファイルを消さないといけない、ということでしたが、私が対応したPCは回復コンソールを使用しないでも消すことができましたよ。
私が対応したPCは、system32フォルダの中の「TJ9VIEWER.DLL」というファイルがウイルスとして引っかかっていたのですが、このファイル、そのままではどうやっても消せなかったのに、何故か移動は出来たんですw なので、デスクトップ上に移動してから削除してみたら、すんなりと消すことが出来ました^^
他のPCで同じウイルスに感染していたものは、リネームしても消せたみたいです。 その後、ウイルスチェックもパスして対応終了でした♪
ウイルスバスターで検知したのですが、まだトレンドマイクロに対策が載ってなくて、該当ファイルを削除しようとしてもなかなか消えてくれなくて困っちゃいました^^;;;
でも、さっきトレンドマイクロで再度確認したら、もう対応方法が載っていて、TROJ_MARAN.HEウイルスは、TSPY_MARAN.AETという名前にに改称されたそうですねw
TSPY_MARAN.AETの対応方法はこちらに載ってました。
ただ、この方法だと回復コンソールを使用して、該当ファイルを消さないといけない、ということでしたが、私が対応したPCは回復コンソールを使用しないでも消すことができましたよ。
私が対応したPCは、system32フォルダの中の「TJ9VIEWER.DLL」というファイルがウイルスとして引っかかっていたのですが、このファイル、そのままではどうやっても消せなかったのに、何故か移動は出来たんですw なので、デスクトップ上に移動してから削除してみたら、すんなりと消すことが出来ました^^
他のPCで同じウイルスに感染していたものは、リネームしても消せたみたいです。 その後、ウイルスチェックもパスして対応終了でした♪
2007.08.27 | ウイルス |
トラックバック(0) | コメント(0) |
えっと、ウイルスのお話なんですけどw
ほぼ毎日ウイルスが発見されたPCの対応行ってます。
ウイルス対策ソフトはPCに入ってますので、リアルタイムで引っかかってくれたりするんですが、たまに感染までしちゃうPCがでてくるとやっかいなんですよね~。
先日も感染しちゃってたPCがありまして、PC再起動後のウイルス検索で1000個近いウイルスが発見されてました☆
何故か、というと、ウイルスがスタートアップに自分自身を登録しちゃてましたので、起動する度にそれが実行される、という感じでした。
そういうときの為にも、普段から、スタートアップに何が登録されているかは把握して置いた方が良いと思います。
スタートボタンの中のプログラムにもスタートアップがありますが、それだけではなく、レジストリの中も確認しておく必要があります。
※ レジストリのスタートアップは、エディタで以下の場所を確認してみて下さい。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(パス中の「\」は半角の「¥」です。)
確認しておくと、ウイルス感染後に見慣れないexeがスタートアップに登録されているとすぐにわかりますので、復旧まで早かったりしますよ^^
もちろん、見慣れないexeでも、レジストリから削除する前にはバックアップを取ってから作業して下さいね^^
ほぼ毎日ウイルスが発見されたPCの対応行ってます。
ウイルス対策ソフトはPCに入ってますので、リアルタイムで引っかかってくれたりするんですが、たまに感染までしちゃうPCがでてくるとやっかいなんですよね~。
先日も感染しちゃってたPCがありまして、PC再起動後のウイルス検索で1000個近いウイルスが発見されてました☆
何故か、というと、ウイルスがスタートアップに自分自身を登録しちゃてましたので、起動する度にそれが実行される、という感じでした。
そういうときの為にも、普段から、スタートアップに何が登録されているかは把握して置いた方が良いと思います。
スタートボタンの中のプログラムにもスタートアップがありますが、それだけではなく、レジストリの中も確認しておく必要があります。
※ レジストリのスタートアップは、エディタで以下の場所を確認してみて下さい。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(パス中の「\」は半角の「¥」です。)
確認しておくと、ウイルス感染後に見慣れないexeがスタートアップに登録されているとすぐにわかりますので、復旧まで早かったりしますよ^^
もちろん、見慣れないexeでも、レジストリから削除する前にはバックアップを取ってから作業して下さいね^^
2007.04.19 | ウイルス |
トラックバック(0) | コメント(0) |
新年明けましておめでとうございます。
だいぶ更新のネタも尽きてきまして、今年の更新は不定期になる可能性大、なのですが、
出来るだけ続けて行けたら、と思っておりますので本年もどうぞよろしくお願い申し上げます。
さてさて。休み明けにはウイルスの被害が多いものですが、今年もTROJ_ROOTKIT.CLという名のウイルスに新年早々苦労させられましたw
ウイルス対策ソフトに引っかかったものを削除しても、「adir.dll」というファイルが検索に引っかかります。
該当ファイルを削除しても、また再起動したら復活。どうやら他のファイルが起動時に作成している様です。
msconfigのスタートアップを全て止め、一つずつチェックを付けて再起動を行い、どのファイルが原因かを突き止めたところ、私が対応したPCでは、system32の中の、とあるexeファイルが原因らしきことがわかりました。
※ 別PCでは他の名前だったため、あえてファイル名は記載しません☆
そのファイルの自動実行のレジストリを削除し、該当ファイル自体も削除。その後検索をかけたところ、ウイルスはみつからなくなりました。
また、同じウイルスに感染した別PCでは、通常のWindowsを実行したところ、該当ファイルは見あたらないのに、Safe Modeで起動したところ、同様に怪しげなexeがsystem32の中に存在し、レジストリにも記載されていました。
そのPCも同様に削除を行い、再検索をかけたところそちらはまだウイルスファイルを作成しておりましたので、ウイルスを発見したしたあたりから作成された、怪しげなexeファイルを思い切って削除w もちろん、何かアプリが動かなくなったら、再インストールすることを覚悟の上で削除したんですよ(^_^;)
その後再検索したところ、ようやくウイルスは発見されなくなりました。
年始早々大変疲れましたけれど、ようやく落ち着いてホッとしました。
ウイルスには皆様どうぞお気を付けてくださいね☆
だいぶ更新のネタも尽きてきまして、今年の更新は不定期になる可能性大、なのですが、
出来るだけ続けて行けたら、と思っておりますので本年もどうぞよろしくお願い申し上げます。
さてさて。休み明けにはウイルスの被害が多いものですが、今年もTROJ_ROOTKIT.CLという名のウイルスに新年早々苦労させられましたw
ウイルス対策ソフトに引っかかったものを削除しても、「adir.dll」というファイルが検索に引っかかります。
該当ファイルを削除しても、また再起動したら復活。どうやら他のファイルが起動時に作成している様です。
msconfigのスタートアップを全て止め、一つずつチェックを付けて再起動を行い、どのファイルが原因かを突き止めたところ、私が対応したPCでは、system32の中の、とあるexeファイルが原因らしきことがわかりました。
※ 別PCでは他の名前だったため、あえてファイル名は記載しません☆
そのファイルの自動実行のレジストリを削除し、該当ファイル自体も削除。その後検索をかけたところ、ウイルスはみつからなくなりました。
また、同じウイルスに感染した別PCでは、通常のWindowsを実行したところ、該当ファイルは見あたらないのに、Safe Modeで起動したところ、同様に怪しげなexeがsystem32の中に存在し、レジストリにも記載されていました。
そのPCも同様に削除を行い、再検索をかけたところそちらはまだウイルスファイルを作成しておりましたので、ウイルスを発見したしたあたりから作成された、怪しげなexeファイルを思い切って削除w もちろん、何かアプリが動かなくなったら、再インストールすることを覚悟の上で削除したんですよ(^_^;)
その後再検索したところ、ようやくウイルスは発見されなくなりました。
年始早々大変疲れましたけれど、ようやく落ち着いてホッとしました。
ウイルスには皆様どうぞお気を付けてくださいね☆
2007.01.05 | ウイルス |
トラックバック(0) | コメント(0) |
今朝は出社と同時にウイルスに感染したPCがあるって聞いて、ウイルス名を見てみたら、LINEAGEウイルスの、どうやら亜種みたいだった。
ウイルスバスターでウイルス自体は発見されたものの、ウイルス名がTROJ_LINEAGE.DIで、ウイルス自体の対処方法はまだデータベースに登録されてなかったんだよねぇ。
仕方なしに、一番症状が似てそうな、TROJ_LINEAGE.AMの対処方法を見ながら手動削除。まぁ、不正プログラムの名称が、"HTDLL.DLL"じゃなく、"HZDLL.DLL"だったのと、レジストリの値の名前が一部違っててsysMett1がRuntt1になってたってだけで、ほとんど一緒だったから助かったわ☆
にしても、マウス動かす度に常駐してたウイルスがウイルスバスターに引っかかってメッセージ出すもんだから、最後には発見数1400とかなってて嫌になっちゃった。
でも、他のウイルスじゃなく、リネ関係のウイルスだったんで、ウイルス名見た瞬間、ちょっと朝から笑わせて貰ったけどね♪
あ、そうそう。今日日本のW杯出場決定したね。よかった、よかったヽ( ^0^ )ノ
ウイルスバスターでウイルス自体は発見されたものの、ウイルス名がTROJ_LINEAGE.DIで、ウイルス自体の対処方法はまだデータベースに登録されてなかったんだよねぇ。
仕方なしに、一番症状が似てそうな、TROJ_LINEAGE.AMの対処方法を見ながら手動削除。まぁ、不正プログラムの名称が、"HTDLL.DLL"じゃなく、"HZDLL.DLL"だったのと、レジストリの値の名前が一部違っててsysMett1がRuntt1になってたってだけで、ほとんど一緒だったから助かったわ☆
にしても、マウス動かす度に常駐してたウイルスがウイルスバスターに引っかかってメッセージ出すもんだから、最後には発見数1400とかなってて嫌になっちゃった。
でも、他のウイルスじゃなく、リネ関係のウイルスだったんで、ウイルス名見た瞬間、ちょっと朝から笑わせて貰ったけどね♪
あ、そうそう。今日日本のW杯出場決定したね。よかった、よかったヽ( ^0^ )ノ
2005.06.08 | ウイルス |
トラックバック(0) | コメント(0) |
