2007年02月13日
起動後、真っ暗。
起動後に画面が暗いままで操作できない、OSは起動しているようだとの事で。
ドア傍のインターホンを押したら、お客様が静かに出てこられた。お子様が昼寝に入りそうだったのに起こしてしまったようである。
PCはDELL Latitude C400。インストールされているのはWindows2000。貼付してあるラベルはWindowsXP。ダウングレードしてあるのかな。確かに起動画面は表示されるが、その後HDDアクセスランプはしばらく点滅していて治まった頃に、キーボードを操作すると点滅する。症状は聞いていた通りであったが原因は?
SafeModeで起動しても、「前回正常起動時」で起動しても暗転してしまう。「VGA Modeを有効にする」でも暗転。「ms32.exeが見つからない」と出るので、system32フォルダへコピーしても暗転。ディスプレイも私の診断もお先真っ暗。
キーを操作した時の警告音が大きくてお子様の昼寝を邪魔するようなので、ボリュームを下げようとキーボードを眺めていたら、「オヤッ!?」これかな。「F8 CRT/LCD」のキーがある。プロジェクターに出力したり、ディスプレイにも出力したりする機能である。では「Fn」キーと一緒に押してみましょう。普通に起動させると、出ました。これだけなのかと思ったら、これから先に長い夜を向かえてしまった。
企業で使用していたPCらしく、ログインするのにパスワードを要求する。また使用されているアンチウィルスソフトは「ウイルスバスター コーポレートエディション」である。それがウィルスは見つけたけど削除できなかったと言うのである。以前にも同じようなメッセージを見せられたな。頑張って削除・隔離してくれよ、お金出してるんだから。
起動後に画面が表示されないトラブルから、ウィルス退治になってしまった。ウィルスの名は「Troj-Rootkit.E」でモジュールは「rdriv.sys」。SafeModeでレジストリーを削除してモジュールを削除すれば終了のはずが、何度やっても発見される。それで削除できないと言う。働いてくれ!そんな事をしている間に奥様は夕食の準備をしなければならない時間になってしまっている。ウィルスバスターを止めてavastで試したいのだが停止するにはパスワードを聞いてくる。それが判らない。お預かりして対応することにした。
その後、Office2003のインストール支援、WindowsVista、Office2007の申込支援を予定していたが本日は中止。そうだよな、夕食時になってしまったもの。
持ち帰ってから自宅のLAN環境に接続し、とりあえずはウイルスバスターでHDDを全検査させると30個のウィルスが見つかり削除・隔離できたと報告するが、やはり「rdriv.sys」は削除できなかったと報告する。avastをインストールしても正常に機能しない。やはりウィルスバスターを止めてインストールするしかないがパスワードが判らない。検索したらサービスを止めれば良さそうだ。サービスを停止してからavastをインストールしたら正常に機能するようになった。今度はavastでHDDを全検査。40GBとは言え、全検査を2回行うと既に「明日(今日?)起きれるかな?」と言う時間になってきた。avastでは8個のウィルスを発見・削除。再起動でウイルスバスターは「rdriv.sys」を報告してくる。
起動しているタスクを調べ、色々調査していると「lsass.exe」が怪しいと言うサイトと、大丈夫だと言うサイトがある。「lsass.exe」を検索させたら2箇所にあった。「\WINNT」直下と「\WINNT\system32」の下にある。「\WINNT」直下の「lsass.exe」をポイントしたらウイルスバスターは「ウィルス見つけ、でも削除できないよ」と、起動しているからかな。ではSafeModeで起動して「lsass.exe」を「lsass.ex_」に名前を変更して起動できないようにして再起動。「ビンゴ!BINGO!」。
「rdriv.sys」も報告しなくなった。SafeModeにしなくても「rdriv.sys」を削除できた。レジストリの該当箇所を削除して、「lsass.ex_」も削除してOK。再起動させてもウィルスの報告は出なくなった。
臨時にインストールしたavastをアンインストール。
起動時のログインパスワードが煩わしいとの事なので「窓の手」で自動的に入力するように修正。
夜中に使用していたらPCの時間がずれてくるので「桜時計」をインストールして、インターネットに接続したら時間を合わせるように。
プリンタは使用していないとの事なので、起動時に動き出すプリンタ関連を停止。
PCがドメインに参加するようになっていたので(企業で使用していたからでしょうね)WorkGroupに変更。
我家のLAN環境からDHCPに戻して終了。
冬の遅い明け方が近づいてきてしまいました。目はショボショボ。でも達成感あり。
投稿者 owner : 2007年02月13日