黒い画面にマウスカーソルのみ (WIN32/Daonol)

知り合いから、PC起動したら黒い画面に、マウスカーソルのみが表示されてしまう。

しかもマウスカーソルは動かせるけど、それだけで後は操作不能って現象に陥って困っているとヘルプが・・・。

黒画面にカーソル点滅だとHDDの損傷（レジストリ破損）でなる現象なんだけども、マウスカーソルがって、どうもハード面じゃなさそう。

自作でPCを組み立てるLVだから、そうそう俺にヘルプ頼まないだろうし重症かな～と判断。

少しだけ調べたら、Web経由感染で猛威を奮った、gumblar (GENO, JSRDir)系と同じ感染方法のウイルスぽい。

SymantecのAntiVirusだとDaonolという名称だった。（たぶんウイルスソフトでそれぞれ名称が異なる）

しっかり調べなかったんで後で後悔するんだけども、XPのインストールDISKがあるらしいので、KNOPPIX（CDブートLinux）とUSBメモリ(FATフォーマット)のみ用意して、知り合いの家へ。

ぶっちゃけリカバリーで新品状態にすれば良いのかもしれないけど流石に可哀想なので対応する事に。

デジカメのデータとか仕事関連のデータとか色々とあるだろうしね。

Vistaと７では、結構うざいUAC（ユーザーアカウント制御）機能が有効になっているので感染しない模様。

まぁ～、Spybotを入れておけばXPでも大丈夫だったのかも知れないけども。

問題だったのは定義ファイルの更新とMicrosoft Updateとフラッシュの更新かなぁ・・・。

よく分からんけど、罹ってしまったのだから直すしかない。（Vistaか７にしろと心の中で思いながらｗ）

自分が行う方法はUNIX系のコマンドが分かる人なら可能なんだけどベターな方法では無いんで悪しからず。

感染PCを見たら、物の見事にセーフモードも動作しなかった。

真っ黒画面（画面上部にセーフモードとSPのバージョン記載のみ）にマウスカーソルのみ。

マウスは左右上下に動かせるけど左右クリック等はまるで無反応でキーボードも無反応。

これ、ウイルス作成者のプログラムミスというより、感染者への嫌がらせ行為がメインだと思う。

誤算だったのは、Vista以降のDISKじゃないと回復コンソールでないとREG LOADとREG DELETEが出来ないぽい。

仕方ないんで、持ってきたKNOPPIX(Linux)で直すしかないと判断。

２台PCがあれば外付けでウイルススキャンでも良かったんだけど、ウイルスDISKを繋ぐのは最終手段かも。

KNOPPIXとはCDで立ち上げる事が出来るLinuxでよく、日経Linuxとか雑誌におまけでも付いてるフリーウェア。

ttp://www.rcis.aist.go.jp/project/knoppix/（直リンしてないんで、先頭にHを追加でURLです。）

LCAT対応がお勧め。（別アプリを起動する訳でも無いんで、日本語版で良いと思います。）

これはかなり便利なんで、トラブル対応用に起動DVDか起動USBを作成しとくのお勧めです。

① 感染PCをKNOPPIXでCDブートで起動して保険として大事なファイルをUSBメモリかUSB接続HDDにコピー。

認識してくれない場合はfstabだかvfstabだかどっちがLinuxかSolarisか忘れたけど記述。

というか、最近のは９５％は認識してくれるのではないかな～と妄想。

注意しないと行けないのは、マウントと書き込みモードにチェンジする事。

これをしないと普通にコピーしようとしてもエラーになります。

書き込みをしたいディスクを右クリックマウントして、「Change read/write mode」 を選ぶ。

多分書き込みができるようになります。（見えてるhda1とかhda2とかはマウントしないと駄目）

ちなみに、FATで落すんで長い名前のはエラーになるんで、Cookieとインターネット履歴ファイルとかは削除。

たぶん、/mnt/hda1/Documents and Settings/User_Nameのようなパスになってるかな？

重要データの救出がすんだら、感染PCの修復にかかります。

② KNOPPIXでレジストリの修復（問題無く動作していた時のレジストリをコピー）

通常、HDDは読み込み専用なんで、マウントと書き込み可能にさせる。

# mount -w -t ntfs /dev/hda1 /media/hda1 ←（リターンキー）

GUI環境でUSBと同じで右クリックでマウントして「Change read/write mode」 を選ぶでもOKです。

ターミナル起動して、# cd /mnt/hda1/WINDOWS/system32/config

UNIXコマンドが分からない人は、「Konqueror」で「mnt/hda1/WINDOWS/system32/config」フォルダを参照でもOK。

ちなみに「Konqueror」はファイルマネージャなんで、エクスプローラみたいなもんです。

ここにある「default」「sam」「security」「software」「system」、この５つのファイルがWindowsが現在使用しているレジストリファイルです。

予め、この５つのファイルのバックアップファイルを作って置く。

# cp default default_old

# cp sam sam_old

# cp security security_old

# cp software software_old

# cp system system_old

.bakでも良かったんだけどバックアップファイルと認識されて、チェックDISK時に機能されて頑張って貰ってもアレなんで、自分は_oldにしました。

ちなみにどれが大文字か小文字かを忘れたけどしっかり大文字小文字同じにする。

つまり、自分が行ったのはウイルス感染する前のレジストリファイルに戻してしまおうって手段です。

ちなみに、mnt/hda1/WINDOWS/repairにある初期状態のは整合性もあるのでお勧め出来ないんです。

んでもって、

# cd mnt/hda1/System Volume Information/_restore{～}/RP～/snapshot　

「/System Volume Information/_restore{～}/RP～/snapshot」フォルダを参照します。

そーえば、snapshot機能ってNetAppが最初なんかな～と、まぁどうでも良いか。

で、安全だったと思われる最新のレジストリバックアップファイル、

「_REGISTRY_MACHINE_SAM」　

「_REGISTRY_MACHINE_SECURITY」

「_REGISTRY_MACHINE_SOFTWARE」

「_REGISTRY_MACHINE_SYSTEM」

「_REGISTRY_USER_.DEFAULT」

を「/mnt/hda1/WINDOWS/system32/config」フォルダにコピー。

# cp _REGISTRY_MACHINE_SYSTEM /mnt/hda1/WINDOWS/system32/config/SYSTEM

# cp _REGISTRY_MACHINE_SAM /mnt/hda1/WINDOWS/system32/config/SAM

# cp _REGISTRY_MACHINE_SECURITY /mnt/hda1/WINDOWS/system32/config/SECURITY

# cp _REGISTRY_MACHINE_SOFTWARE /mnt/hda1/WINDOWS/system32/config/SOFTWARE

# cp _REGISTRY_USER_.DEFAULT /mnt/hda1/WINDOWS/system32/config/DEFAULT

ちょっとうる覚えで忘れたけど、前の部分を削除して、大文字小文字はしっかり変更。

気のせいだったか、大文字小文字で何か変わるかもしれないんで。

そうそう、ちなみに５つのファイルは５つ揃って機能するので一部のみ変更とかするとエラーになりますんで注意です。
ブラウザでの操作手順は5つのレジストリバックアップファイルを選択。

右クリックで「コピー先」>「ブラウズ」＞「記憶メディア」＞「/WINDOWS/system32/config」フォルダを指定でOK。

ファイル名のアルファベットの最後の部分だけ残して、それより前の文字列を削除するだけでいいです。

例えば、「_REGISTRY_MACHINE_SAM」 → 「SAM」とかです。

後は再起動でOK。

セーフモードですら起動できなかったパソコンでも、あら不思議、問題無くWindowsを起動します。

③ ウイルス本体を完璧に駆除する。

ウイルスバスター、マカフィ等、ウイルス対応ファイルの定義ファイル更新後、スキャンする。

100％ 何とかdaonolと検出されると思うのですが、不正レジストリ等を削除。

サービスを１個ずつ切ってて、ウイルス自体のサービス名を確認しとく。

ウイルスで検出されたファイル名もメモ。（例 www.jlkmnmとか意味不明のファイル名）

まぁ、起動時におかしくなるんで、ドライバ関連なんで分かりやすいとは思う。

[ファイル名を指定して実行] でregedit（レジストリエディタ）を起動。

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionDrivers32”

関連サイトにはmidi9とあるけど、結構別のに寄生してるんでそれを見つけて殺します。

大抵は３つ居かもなんで、データ値にウイルスのファイル名（例 www.jlkmnm）等で確認して削除。

心配なら、あとはバイナリエディタ系で変換して矛盾あるやつでも引っ掛けて確認。

一応、ウイルススキャンを再度行って、完璧に死んだかを確認しときましょう。

削除失敗で検疫移動で修復を試みるとか出てる場合は害は無いんだけど、まだ生きてます。

④ Windows Update が出来る様に戻す。

このままで使うとWindows Updateがアクセス権とか整合性とかの問題で上手く動作しません。

最終的に403系エラーが出るのかな？

oldレジストリファイルを戻すのが嫌な場合は、SP3の上書き宛名直しでOK。

その後、SP3をUpdateサイトから出なくダウンロード＆インストール。

ttp://www.microsoft.com/downloads/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ja

次に[ファイル名を指定して実行] で下記を実行して再起動。

regsvr32 wuapi.dll

regsvr32 wups.dll

regsvr32 wuaueng.dll

regsvr32 wucltui.dll

regsvr32 atl.dll

regsvr32 msxml3.dll

それでも駄目なら、Windows Update を初期化かなぁ・・・。

C:WINDOWSDownloaded Program Files内にある、Update Class を削除します。

次に、[ファイル名を指定して実行] で下記を実行。

regsvr32 /u iuctl.dll

regsvr32 /u iuengine.dll

そして、[ファイル名を指定して実行] から %windir%system32 を実行します。

開いたフォルダから iuctl.dll と iuengine.dll のファイルを削除します。

また、[ファイル名を指定して実行] で "%windir%..Program FilesWindowsUpdatev4" を実行。

開いたフォルダから、iuhist.xml ファイル以外のファイルやフォルダを全て削除します。

というか、書いてる途中で気付いたんだけど、元のレジストリ_oldファイルを戻せば終わりじゃんｗ。

無駄な作業をしてしまったんかなぁ～と、まぁ、無事、知り合いのPCも復活したんで良しとしよう。

これでOK、PC完全修理終わりとなります。

どうも業者に頼むと数万円とか要求されるらしく、焼肉を奢ってくれました、ラッキー

というか、富士通以外のサイトはリカバリーしろとか寂しい対応だったんで、誰かの修復の役に立てれば良いかなぁ～って意味合いでここにもUP。

結構、レジストリ破損修復に役立つ方法だしね。

NECもアレだけど、ソニーとDELLのサイトに至っては寂しい対応でした。

需要が多ければ一連のリカバリのバッチファイルを作成しても良いんだけど、そうなると「repair」指定になって、実行後にCygwinか何かでchownとかchmodとかだるだるだ。

でも、このウイルスのみ対応なら、レジストリ書き換えのみの起動バッチで良いのか・・・。