夜11時に急遽、自宅にて、SEグループ内でのミーティングを開催。
早朝に停電されると、システム環境に驚く位の高額で甚大な被害が発生する可能性がある。
UPSもそんな長い時間は耐えられないし、シャットダウン命令は完璧でもない。
中でシェル等が動いて、作業中とかテスト中でいると、無理なダウンは致命傷。
深夜であるこれから、車を飛ばしてシステム環境を停止しなければならないかと。
施設関連部門から東京電力へ何時、停電になるのかを問い合わせてもらう。
何ていうか、元々、金曜日の地震後はしっかりした被害状況を把握しないまま、皆帰宅。
月曜日に被害の全貌が判明していくと思ってた。
そして、地震被害対応等を検討する予定だった。
ここに来て、日曜の夜遅くに突然、計画停電を行うとTVにて知る。
東京電力HPをアクセスしても中々繋がらず、
やっと得た情報もしっかり構築されて居らず、重複地が多すぎるし、詳細でない。
厳しい、誰よりも早く会社に赴き、1時間程度で業務環境を構築。
そして、誰よりも遅く残り、1時間程度を掛けて、システム環境をシャットダウン。
これは個人的に、厳しい。今日は車で通勤したが、物凄い渋滞。
そもそも、この計画停電は産業界に取って、物凄い痛手になる。
長い視野で見た時、日本の産業力の著しい転落は否めない。
本当に、民主党なのか東京電力なのかは知らないが、分かっているのだろうか?
そもそも、救助支援等で莫大な国費を使っている、これは仕方ない。
だが、今後は非常に厳しい物価高と大不景気が予想され、社会の治安低下も否めない。
毎日のように、異なる時間帯に計画停電をさせられると、産業界は終わる。
日本の縁の下の力持ちの産業界が終わると、大変な事になる。
その都度、業務環境を再起動させなくてはならず、サーバー等、常時稼動予定の物を、
何度も停止、起動をさせているとマシンは確実に死ぬ。テスタ等も終わる。
1回、工場を止めて、再度、活動させるにも驚く位の費用が掛かる。
もっと、国は産業界や国民を信じて欲しい・・・。
会社等には、それぞれ4、5日間の操業停止を順番にお願いするとかだと、
システム停止が1回に済み、ハード面の損傷が緩和される。
つまり、A社は14日~19日の5日間が操業停止でお願い致しますって感じ。
もう既に、2台の高額ファイラーのダブルパリティの1つがそれぞれ、損傷した。
保守会社も修理対応がかなり、厳しい状態で困った。
まぁ、愚痴なんだけども、計画停電は毎日、それぞれ異なる時間帯に行うのではなく、
一まとめにすれば、ダメージの少ない、操業停止も可能になる。
毎日、立ち上げと立ち上げにそれぞれ一時間づつ、2時間とられると業務時間がまるでない。
僕らは、しっかり節電頑張るし、産業界はしっかり堪える。
もうちょっと、違った計画的な停電を考慮して欲しい。
今日は、朝5時半に起き、普段なら30分の距離を2時間半掛けて、出社。
地震後の被害や今後の対応策を部門長数人、SE組と検討。
昼の12時~1時でシステムを停止し、夕方5時半~6時半位でシステムを起動。
(実際には計画停電が行われず、システム環境の磨耗リスクを伴い、仕事が山積み。)
システム起動後にエンジニア達が業務を開始、たまった業務を片付けないとならない。
我々SEは計画停電があるので、明日の朝8時~9時にシステムを停止しなければならない。
おそらくは、また大渋滞の中、通勤をせざる得ない。
流石に、こんなのが毎日あると考えると精神病になりそうだ・・・orz。
勿論、被災地の為にも節電や停電には最大限の協力したいのだが、
もうちょっとする側の身を政府や東電は考慮して欲しい。
一般家庭はあんな感じの停電で良いとは思うけども、産業界は辛い。辛すぎる。
しっかりした、節電も期間を決めた操業停止もやむ得ないと思っている。
ただ、明日から突然、止めますだと、今後の対応策も検討できない。
民主党も東京電力も僕ら産業界を本気で潰したいのだろうか・・・ホントに厳しい。
PCの電源を付けるのとは分けが違う、
業務環境を動かす準備にどれ位時間が掛かるか分かっているのか?
起動と停止を考えると、実際に仕事が出来るのは1日で数時間。
そもそも、こんな感じの対応を続ければ、倒産する会社が続出する。
今の日本を支えてる、産業界が終われば、日本も終わる。
損害は国が補償してくれるの?
まず、無理だろうね。
早朝に停電されると、システム環境に驚く位の高額で甚大な被害が発生する可能性がある。
UPSもそんな長い時間は耐えられないし、シャットダウン命令は完璧でもない。
中でシェル等が動いて、作業中とかテスト中でいると、無理なダウンは致命傷。
深夜であるこれから、車を飛ばしてシステム環境を停止しなければならないかと。
施設関連部門から東京電力へ何時、停電になるのかを問い合わせてもらう。
何ていうか、元々、金曜日の地震後はしっかりした被害状況を把握しないまま、皆帰宅。
月曜日に被害の全貌が判明していくと思ってた。
そして、地震被害対応等を検討する予定だった。
ここに来て、日曜の夜遅くに突然、計画停電を行うとTVにて知る。
東京電力HPをアクセスしても中々繋がらず、
やっと得た情報もしっかり構築されて居らず、重複地が多すぎるし、詳細でない。
厳しい、誰よりも早く会社に赴き、1時間程度で業務環境を構築。
そして、誰よりも遅く残り、1時間程度を掛けて、システム環境をシャットダウン。
これは個人的に、厳しい。今日は車で通勤したが、物凄い渋滞。
そもそも、この計画停電は産業界に取って、物凄い痛手になる。
長い視野で見た時、日本の産業力の著しい転落は否めない。
本当に、民主党なのか東京電力なのかは知らないが、分かっているのだろうか?
そもそも、救助支援等で莫大な国費を使っている、これは仕方ない。
だが、今後は非常に厳しい物価高と大不景気が予想され、社会の治安低下も否めない。
毎日のように、異なる時間帯に計画停電をさせられると、産業界は終わる。
日本の縁の下の力持ちの産業界が終わると、大変な事になる。
その都度、業務環境を再起動させなくてはならず、サーバー等、常時稼動予定の物を、
何度も停止、起動をさせているとマシンは確実に死ぬ。テスタ等も終わる。
1回、工場を止めて、再度、活動させるにも驚く位の費用が掛かる。
もっと、国は産業界や国民を信じて欲しい・・・。
会社等には、それぞれ4、5日間の操業停止を順番にお願いするとかだと、
システム停止が1回に済み、ハード面の損傷が緩和される。
つまり、A社は14日~19日の5日間が操業停止でお願い致しますって感じ。
もう既に、2台の高額ファイラーのダブルパリティの1つがそれぞれ、損傷した。
保守会社も修理対応がかなり、厳しい状態で困った。
まぁ、愚痴なんだけども、計画停電は毎日、それぞれ異なる時間帯に行うのではなく、
一まとめにすれば、ダメージの少ない、操業停止も可能になる。
毎日、立ち上げと立ち上げにそれぞれ一時間づつ、2時間とられると業務時間がまるでない。
僕らは、しっかり節電頑張るし、産業界はしっかり堪える。
もうちょっと、違った計画的な停電を考慮して欲しい。
今日は、朝5時半に起き、普段なら30分の距離を2時間半掛けて、出社。
地震後の被害や今後の対応策を部門長数人、SE組と検討。
昼の12時~1時でシステムを停止し、夕方5時半~6時半位でシステムを起動。
(実際には計画停電が行われず、システム環境の磨耗リスクを伴い、仕事が山積み。)
システム起動後にエンジニア達が業務を開始、たまった業務を片付けないとならない。
我々SEは計画停電があるので、明日の朝8時~9時にシステムを停止しなければならない。
おそらくは、また大渋滞の中、通勤をせざる得ない。
流石に、こんなのが毎日あると考えると精神病になりそうだ・・・orz。
勿論、被災地の為にも節電や停電には最大限の協力したいのだが、
もうちょっとする側の身を政府や東電は考慮して欲しい。
一般家庭はあんな感じの停電で良いとは思うけども、産業界は辛い。辛すぎる。
しっかりした、節電も期間を決めた操業停止もやむ得ないと思っている。
ただ、明日から突然、止めますだと、今後の対応策も検討できない。
民主党も東京電力も僕ら産業界を本気で潰したいのだろうか・・・ホントに厳しい。
PCの電源を付けるのとは分けが違う、
業務環境を動かす準備にどれ位時間が掛かるか分かっているのか?
起動と停止を考えると、実際に仕事が出来るのは1日で数時間。
そもそも、こんな感じの対応を続ければ、倒産する会社が続出する。
今の日本を支えてる、産業界が終われば、日本も終わる。
損害は国が補償してくれるの?
まず、無理だろうね。
黒い画面にマウスカーソルのみ (WIN32/Daonol)
2009年11月26日 お仕事 コメント (3)知り合いから、PC起動したら黒い画面に、マウスカーソルのみが表示されてしまう。
しかもマウスカーソルは動かせるけど、それだけで後は操作不能って現象に陥って困っているとヘルプが・・・。
黒画面にカーソル点滅だとHDDの損傷(レジストリ破損)でなる現象なんだけども、マウスカーソルがって、どうもハード面じゃなさそう。
自作でPCを組み立てるLVだから、そうそう俺にヘルプ頼まないだろうし重症かな~と判断。
少しだけ調べたら、Web経由感染で猛威を奮った、gumblar (GENO, JSRDir)系と同じ感染方法のウイルスぽい。
SymantecのAntiVirusだとDaonolという名称だった。(たぶんウイルスソフトでそれぞれ名称が異なる)
しっかり調べなかったんで後で後悔するんだけども、XPのインストールDISKがあるらしいので、KNOPPIX(CDブートLinux)とUSBメモリ(FATフォーマット)のみ用意して、知り合いの家へ。
ぶっちゃけリカバリーで新品状態にすれば良いのかもしれないけど流石に可哀想なので対応する事に。
デジカメのデータとか仕事関連のデータとか色々とあるだろうしね。
Vistaと7では、結構うざいUAC(ユーザーアカウント制御)機能が有効になっているので感染しない模様。
まぁ~、Spybotを入れておけばXPでも大丈夫だったのかも知れないけども。
問題だったのは定義ファイルの更新とMicrosoft Updateとフラッシュの更新かなぁ・・・。
よく分からんけど、罹ってしまったのだから直すしかない。(Vistaか7にしろと心の中で思いながらw)
自分が行う方法はUNIX系のコマンドが分かる人なら可能なんだけどベターな方法では無いんで悪しからず。
感染PCを見たら、物の見事にセーフモードも動作しなかった。
真っ黒画面(画面上部にセーフモードとSPのバージョン記載のみ)にマウスカーソルのみ。
マウスは左右上下に動かせるけど左右クリック等はまるで無反応でキーボードも無反応。
これ、ウイルス作成者のプログラムミスというより、感染者への嫌がらせ行為がメインだと思う。
誤算だったのは、Vista以降のDISKじゃないと回復コンソールでないとREG LOADとREG DELETEが出来ないぽい。
仕方ないんで、持ってきたKNOPPIX(Linux)で直すしかないと判断。
2台PCがあれば外付けでウイルススキャンでも良かったんだけど、ウイルスDISKを繋ぐのは最終手段かも。
KNOPPIXとはCDで立ち上げる事が出来るLinuxでよく、日経Linuxとか雑誌におまけでも付いてるフリーウェア。
ttp://www.rcis.aist.go.jp/project/knoppix/(直リンしてないんで、先頭にHを追加でURLです。)
LCAT対応がお勧め。(別アプリを起動する訳でも無いんで、日本語版で良いと思います。)
これはかなり便利なんで、トラブル対応用に起動DVDか起動USBを作成しとくのお勧めです。
① 感染PCをKNOPPIXでCDブートで起動して保険として大事なファイルをUSBメモリかUSB接続HDDにコピー。
認識してくれない場合はfstabだかvfstabだかどっちがLinuxかSolarisか忘れたけど記述。
というか、最近のは95%は認識してくれるのではないかな~と妄想。
注意しないと行けないのは、マウントと書き込みモードにチェンジする事。
これをしないと普通にコピーしようとしてもエラーになります。
書き込みをしたいディスクを右クリックマウントして、「Change read/write mode」 を選ぶ。
多分書き込みができるようになります。(見えてるhda1とかhda2とかはマウントしないと駄目)
ちなみに、FATで落すんで長い名前のはエラーになるんで、Cookieとインターネット履歴ファイルとかは削除。
たぶん、/mnt/hda1/Documents and Settings/User_Nameのようなパスになってるかな?
重要データの救出がすんだら、感染PCの修復にかかります。
② KNOPPIXでレジストリの修復(問題無く動作していた時のレジストリをコピー)
通常、HDDは読み込み専用なんで、マウントと書き込み可能にさせる。
# mount -w -t ntfs /dev/hda1 /media/hda1 ←(リターンキー)
GUI環境でUSBと同じで右クリックでマウントして「Change read/write mode」 を選ぶでもOKです。
ターミナル起動して、# cd /mnt/hda1/WINDOWS/system32/config
UNIXコマンドが分からない人は、「Konqueror」で「mnt/hda1/WINDOWS/system32/config」フォルダを参照でもOK。
ちなみに「Konqueror」はファイルマネージャなんで、エクスプローラみたいなもんです。
ここにある「default」「sam」「security」「software」「system」、この5つのファイルがWindowsが現在使用しているレジストリファイルです。
予め、この5つのファイルのバックアップファイルを作って置く。
# cp default default_old
# cp sam sam_old
# cp security security_old
# cp software software_old
# cp system system_old
.bakでも良かったんだけどバックアップファイルと認識されて、チェックDISK時に機能されて頑張って貰ってもアレなんで、自分は_oldにしました。
ちなみにどれが大文字か小文字かを忘れたけどしっかり大文字小文字同じにする。
つまり、自分が行ったのはウイルス感染する前のレジストリファイルに戻してしまおうって手段です。
ちなみに、mnt/hda1/WINDOWS/repairにある初期状態のは整合性もあるのでお勧め出来ないんです。
んでもって、
# cd mnt/hda1/System Volume Information/_restore{~}/RP~/snapshot
「/System Volume Information/_restore{~}/RP~/snapshot」フォルダを参照します。
そーえば、snapshot機能ってNetAppが最初なんかな~と、まぁどうでも良いか。
で、安全だったと思われる最新のレジストリバックアップファイル、
「_REGISTRY_MACHINE_SAM」
「_REGISTRY_MACHINE_SECURITY」
「_REGISTRY_MACHINE_SOFTWARE」
「_REGISTRY_MACHINE_SYSTEM」
「_REGISTRY_USER_.DEFAULT」
を「/mnt/hda1/WINDOWS/system32/config」フォルダにコピー。
# cp _REGISTRY_MACHINE_SYSTEM /mnt/hda1/WINDOWS/system32/config/SYSTEM
# cp _REGISTRY_MACHINE_SAM /mnt/hda1/WINDOWS/system32/config/SAM
# cp _REGISTRY_MACHINE_SECURITY /mnt/hda1/WINDOWS/system32/config/SECURITY
# cp _REGISTRY_MACHINE_SOFTWARE /mnt/hda1/WINDOWS/system32/config/SOFTWARE
# cp _REGISTRY_USER_.DEFAULT /mnt/hda1/WINDOWS/system32/config/DEFAULT
ちょっとうる覚えで忘れたけど、前の部分を削除して、大文字小文字はしっかり変更。
気のせいだったか、大文字小文字で何か変わるかもしれないんで。
そうそう、ちなみに5つのファイルは5つ揃って機能するので一部のみ変更とかするとエラーになりますんで注意です。
ブラウザでの操作手順は5つのレジストリバックアップファイルを選択。
右クリックで「コピー先」>「ブラウズ」>「記憶メディア」>「/WINDOWS/system32/config」フォルダを指定でOK。
ファイル名のアルファベットの最後の部分だけ残して、それより前の文字列を削除するだけでいいです。
例えば、「_REGISTRY_MACHINE_SAM」 → 「SAM」とかです。
後は再起動でOK。
セーフモードですら起動できなかったパソコンでも、あら不思議、問題無くWindowsを起動します。
③ ウイルス本体を完璧に駆除する。
ウイルスバスター、マカフィ等、ウイルス対応ファイルの定義ファイル更新後、スキャンする。
100% 何とかdaonolと検出されると思うのですが、不正レジストリ等を削除。
サービスを1個ずつ切ってて、ウイルス自体のサービス名を確認しとく。
ウイルスで検出されたファイル名もメモ。(例 www.jlkmnmとか意味不明のファイル名)
まぁ、起動時におかしくなるんで、ドライバ関連なんで分かりやすいとは思う。
[ファイル名を指定して実行] でregedit(レジストリエディタ)を起動。
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionDrivers32”
関連サイトにはmidi9とあるけど、結構別のに寄生してるんでそれを見つけて殺します。
大抵は3つ居かもなんで、データ値にウイルスのファイル名(例 www.jlkmnm)等で確認して削除。
心配なら、あとはバイナリエディタ系で変換して矛盾あるやつでも引っ掛けて確認。
一応、ウイルススキャンを再度行って、完璧に死んだかを確認しときましょう。
削除失敗で検疫移動で修復を試みるとか出てる場合は害は無いんだけど、まだ生きてます。
④ Windows Update が出来る様に戻す。
このままで使うとWindows Updateがアクセス権とか整合性とかの問題で上手く動作しません。
最終的に403系エラーが出るのかな?
oldレジストリファイルを戻すのが嫌な場合は、SP3の上書き宛名直しでOK。
その後、SP3をUpdateサイトから出なくダウンロード&インストール。
ttp://www.microsoft.com/downloads/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ja
次に[ファイル名を指定して実行] で下記を実行して再起動。
regsvr32 wuapi.dll
regsvr32 wups.dll
regsvr32 wuaueng.dll
regsvr32 wucltui.dll
regsvr32 atl.dll
regsvr32 msxml3.dll
それでも駄目なら、Windows Update を初期化かなぁ・・・。
C:WINDOWSDownloaded Program Files内にある、Update Class を削除します。
次に、[ファイル名を指定して実行] で下記を実行。
regsvr32 /u iuctl.dll
regsvr32 /u iuengine.dll
そして、[ファイル名を指定して実行] から %windir%system32 を実行します。
開いたフォルダから iuctl.dll と iuengine.dll のファイルを削除します。
また、[ファイル名を指定して実行] で "%windir%..Program FilesWindowsUpdatev4" を実行。
開いたフォルダから、iuhist.xml ファイル以外のファイルやフォルダを全て削除します。
というか、書いてる途中で気付いたんだけど、元のレジストリ_oldファイルを戻せば終わりじゃんw。
無駄な作業をしてしまったんかなぁ~と、まぁ、無事、知り合いのPCも復活したんで良しとしよう。
これでOK、PC完全修理終わりとなります。
どうも業者に頼むと数万円とか要求されるらしく、焼肉を奢ってくれました、ラッキー
というか、富士通以外のサイトはリカバリーしろとか寂しい対応だったんで、誰かの修復の役に立てれば良いかなぁ~って意味合いでここにもUP。
結構、レジストリ破損修復に役立つ方法だしね。
NECもアレだけど、ソニーとDELLのサイトに至っては寂しい対応でした。
需要が多ければ一連のリカバリのバッチファイルを作成しても良いんだけど、そうなると「repair」指定になって、実行後にCygwinか何かでchownとかchmodとかだるだるだ。
でも、このウイルスのみ対応なら、レジストリ書き換えのみの起動バッチで良いのか・・・。
しかもマウスカーソルは動かせるけど、それだけで後は操作不能って現象に陥って困っているとヘルプが・・・。
黒画面にカーソル点滅だとHDDの損傷(レジストリ破損)でなる現象なんだけども、マウスカーソルがって、どうもハード面じゃなさそう。
自作でPCを組み立てるLVだから、そうそう俺にヘルプ頼まないだろうし重症かな~と判断。
少しだけ調べたら、Web経由感染で猛威を奮った、gumblar (GENO, JSRDir)系と同じ感染方法のウイルスぽい。
SymantecのAntiVirusだとDaonolという名称だった。(たぶんウイルスソフトでそれぞれ名称が異なる)
しっかり調べなかったんで後で後悔するんだけども、XPのインストールDISKがあるらしいので、KNOPPIX(CDブートLinux)とUSBメモリ(FATフォーマット)のみ用意して、知り合いの家へ。
ぶっちゃけリカバリーで新品状態にすれば良いのかもしれないけど流石に可哀想なので対応する事に。
デジカメのデータとか仕事関連のデータとか色々とあるだろうしね。
Vistaと7では、結構うざいUAC(ユーザーアカウント制御)機能が有効になっているので感染しない模様。
まぁ~、Spybotを入れておけばXPでも大丈夫だったのかも知れないけども。
問題だったのは定義ファイルの更新とMicrosoft Updateとフラッシュの更新かなぁ・・・。
よく分からんけど、罹ってしまったのだから直すしかない。(Vistaか7にしろと心の中で思いながらw)
自分が行う方法はUNIX系のコマンドが分かる人なら可能なんだけどベターな方法では無いんで悪しからず。
感染PCを見たら、物の見事にセーフモードも動作しなかった。
真っ黒画面(画面上部にセーフモードとSPのバージョン記載のみ)にマウスカーソルのみ。
マウスは左右上下に動かせるけど左右クリック等はまるで無反応でキーボードも無反応。
これ、ウイルス作成者のプログラムミスというより、感染者への嫌がらせ行為がメインだと思う。
誤算だったのは、Vista以降のDISKじゃないと回復コンソールでないとREG LOADとREG DELETEが出来ないぽい。
仕方ないんで、持ってきたKNOPPIX(Linux)で直すしかないと判断。
2台PCがあれば外付けでウイルススキャンでも良かったんだけど、ウイルスDISKを繋ぐのは最終手段かも。
KNOPPIXとはCDで立ち上げる事が出来るLinuxでよく、日経Linuxとか雑誌におまけでも付いてるフリーウェア。
ttp://www.rcis.aist.go.jp/project/knoppix/(直リンしてないんで、先頭にHを追加でURLです。)
LCAT対応がお勧め。(別アプリを起動する訳でも無いんで、日本語版で良いと思います。)
これはかなり便利なんで、トラブル対応用に起動DVDか起動USBを作成しとくのお勧めです。
① 感染PCをKNOPPIXでCDブートで起動して保険として大事なファイルをUSBメモリかUSB接続HDDにコピー。
認識してくれない場合はfstabだかvfstabだかどっちがLinuxかSolarisか忘れたけど記述。
というか、最近のは95%は認識してくれるのではないかな~と妄想。
注意しないと行けないのは、マウントと書き込みモードにチェンジする事。
これをしないと普通にコピーしようとしてもエラーになります。
書き込みをしたいディスクを右クリックマウントして、「Change read/write mode」 を選ぶ。
多分書き込みができるようになります。(見えてるhda1とかhda2とかはマウントしないと駄目)
ちなみに、FATで落すんで長い名前のはエラーになるんで、Cookieとインターネット履歴ファイルとかは削除。
たぶん、/mnt/hda1/Documents and Settings/User_Nameのようなパスになってるかな?
重要データの救出がすんだら、感染PCの修復にかかります。
② KNOPPIXでレジストリの修復(問題無く動作していた時のレジストリをコピー)
通常、HDDは読み込み専用なんで、マウントと書き込み可能にさせる。
# mount -w -t ntfs /dev/hda1 /media/hda1 ←(リターンキー)
GUI環境でUSBと同じで右クリックでマウントして「Change read/write mode」 を選ぶでもOKです。
ターミナル起動して、# cd /mnt/hda1/WINDOWS/system32/config
UNIXコマンドが分からない人は、「Konqueror」で「mnt/hda1/WINDOWS/system32/config」フォルダを参照でもOK。
ちなみに「Konqueror」はファイルマネージャなんで、エクスプローラみたいなもんです。
ここにある「default」「sam」「security」「software」「system」、この5つのファイルがWindowsが現在使用しているレジストリファイルです。
予め、この5つのファイルのバックアップファイルを作って置く。
# cp default default_old
# cp sam sam_old
# cp security security_old
# cp software software_old
# cp system system_old
.bakでも良かったんだけどバックアップファイルと認識されて、チェックDISK時に機能されて頑張って貰ってもアレなんで、自分は_oldにしました。
ちなみにどれが大文字か小文字かを忘れたけどしっかり大文字小文字同じにする。
つまり、自分が行ったのはウイルス感染する前のレジストリファイルに戻してしまおうって手段です。
ちなみに、mnt/hda1/WINDOWS/repairにある初期状態のは整合性もあるのでお勧め出来ないんです。
んでもって、
# cd mnt/hda1/System Volume Information/_restore{~}/RP~/snapshot
「/System Volume Information/_restore{~}/RP~/snapshot」フォルダを参照します。
そーえば、snapshot機能ってNetAppが最初なんかな~と、まぁどうでも良いか。
で、安全だったと思われる最新のレジストリバックアップファイル、
「_REGISTRY_MACHINE_SAM」
「_REGISTRY_MACHINE_SECURITY」
「_REGISTRY_MACHINE_SOFTWARE」
「_REGISTRY_MACHINE_SYSTEM」
「_REGISTRY_USER_.DEFAULT」
を「/mnt/hda1/WINDOWS/system32/config」フォルダにコピー。
# cp _REGISTRY_MACHINE_SYSTEM /mnt/hda1/WINDOWS/system32/config/SYSTEM
# cp _REGISTRY_MACHINE_SAM /mnt/hda1/WINDOWS/system32/config/SAM
# cp _REGISTRY_MACHINE_SECURITY /mnt/hda1/WINDOWS/system32/config/SECURITY
# cp _REGISTRY_MACHINE_SOFTWARE /mnt/hda1/WINDOWS/system32/config/SOFTWARE
# cp _REGISTRY_USER_.DEFAULT /mnt/hda1/WINDOWS/system32/config/DEFAULT
ちょっとうる覚えで忘れたけど、前の部分を削除して、大文字小文字はしっかり変更。
気のせいだったか、大文字小文字で何か変わるかもしれないんで。
そうそう、ちなみに5つのファイルは5つ揃って機能するので一部のみ変更とかするとエラーになりますんで注意です。
ブラウザでの操作手順は5つのレジストリバックアップファイルを選択。
右クリックで「コピー先」>「ブラウズ」>「記憶メディア」>「/WINDOWS/system32/config」フォルダを指定でOK。
ファイル名のアルファベットの最後の部分だけ残して、それより前の文字列を削除するだけでいいです。
例えば、「_REGISTRY_MACHINE_SAM」 → 「SAM」とかです。
後は再起動でOK。
セーフモードですら起動できなかったパソコンでも、あら不思議、問題無くWindowsを起動します。
③ ウイルス本体を完璧に駆除する。
ウイルスバスター、マカフィ等、ウイルス対応ファイルの定義ファイル更新後、スキャンする。
100% 何とかdaonolと検出されると思うのですが、不正レジストリ等を削除。
サービスを1個ずつ切ってて、ウイルス自体のサービス名を確認しとく。
ウイルスで検出されたファイル名もメモ。(例 www.jlkmnmとか意味不明のファイル名)
まぁ、起動時におかしくなるんで、ドライバ関連なんで分かりやすいとは思う。
[ファイル名を指定して実行] でregedit(レジストリエディタ)を起動。
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionDrivers32”
関連サイトにはmidi9とあるけど、結構別のに寄生してるんでそれを見つけて殺します。
大抵は3つ居かもなんで、データ値にウイルスのファイル名(例 www.jlkmnm)等で確認して削除。
心配なら、あとはバイナリエディタ系で変換して矛盾あるやつでも引っ掛けて確認。
一応、ウイルススキャンを再度行って、完璧に死んだかを確認しときましょう。
削除失敗で検疫移動で修復を試みるとか出てる場合は害は無いんだけど、まだ生きてます。
④ Windows Update が出来る様に戻す。
このままで使うとWindows Updateがアクセス権とか整合性とかの問題で上手く動作しません。
最終的に403系エラーが出るのかな?
oldレジストリファイルを戻すのが嫌な場合は、SP3の上書き宛名直しでOK。
その後、SP3をUpdateサイトから出なくダウンロード&インストール。
ttp://www.microsoft.com/downloads/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ja
次に[ファイル名を指定して実行] で下記を実行して再起動。
regsvr32 wuapi.dll
regsvr32 wups.dll
regsvr32 wuaueng.dll
regsvr32 wucltui.dll
regsvr32 atl.dll
regsvr32 msxml3.dll
それでも駄目なら、Windows Update を初期化かなぁ・・・。
C:WINDOWSDownloaded Program Files内にある、Update Class を削除します。
次に、[ファイル名を指定して実行] で下記を実行。
regsvr32 /u iuctl.dll
regsvr32 /u iuengine.dll
そして、[ファイル名を指定して実行] から %windir%system32 を実行します。
開いたフォルダから iuctl.dll と iuengine.dll のファイルを削除します。
また、[ファイル名を指定して実行] で "%windir%..Program FilesWindowsUpdatev4" を実行。
開いたフォルダから、iuhist.xml ファイル以外のファイルやフォルダを全て削除します。
というか、書いてる途中で気付いたんだけど、元のレジストリ_oldファイルを戻せば終わりじゃんw。
無駄な作業をしてしまったんかなぁ~と、まぁ、無事、知り合いのPCも復活したんで良しとしよう。
これでOK、PC完全修理終わりとなります。
どうも業者に頼むと数万円とか要求されるらしく、焼肉を奢ってくれました、ラッキー
というか、富士通以外のサイトはリカバリーしろとか寂しい対応だったんで、誰かの修復の役に立てれば良いかなぁ~って意味合いでここにもUP。
結構、レジストリ破損修復に役立つ方法だしね。
NECもアレだけど、ソニーとDELLのサイトに至っては寂しい対応でした。
需要が多ければ一連のリカバリのバッチファイルを作成しても良いんだけど、そうなると「repair」指定になって、実行後にCygwinか何かでchownとかchmodとかだるだるだ。
でも、このウイルスのみ対応なら、レジストリ書き換えのみの起動バッチで良いのか・・・。
