真っ黒の画面にマウスカーソルだけ。
昨日、事務所に戻るとノートPC 富士通FMV-NB55Mの修理が持ち込まれていました。症状は電源を入れるとWindowsXPのロゴが出て、ようこそ画面の直前の真っ黒の画面でストップして、なぜかマウスポインターだけが表示されて、うんともすんとも言わない状態です。セーフモードで起動しても同じです。最近ネットで画面が真っ黒になるウイルスがあるという記事を読んだことがあるので、おそらくそれに違いないと、ピンときました。
とりあえず富士通のサポートページを開いてみると10月26日付けで以下のようなお知らせが・・・以下引用
パソコンが起動しない!ウイルス「Win32/Daonol」の感染が拡がっています
平素より富士通製品をご愛顧いただき、誠にありがとうございます。
10月15日頃から、Win32/Daonolウイルスの感染が拡がっています。感染すると、パソコンが起動せず、真っ暗な画面にマウスポインターだけが表示されるなどの現象が発生します。
以下に、このウイルスに関する情報、感染した場合の対策や予防方法をご案内いたします。
現象
パソコンの電源を入れても正常に起動せず、画面が真っ暗になり、マウスポインターだけが表示されます。また、Safe Mode(セーフモード)でも起動しない場合があります。
原因
本現象は、「Win32/Daonol」(注1)というウイルス(マルウェア)への感染が原因です。
注1:ウイルス名称は、ウイルス・セキュリティ対策ソフトの提供メーカーにより異なります。
Win32/Daonol(マイクロソフト株式会社)
TROJ_DELF.WQD(トレンドマイクロ株式会社)
Infostealer.Daonol(株式会社シマンテック)電子メールの添付ファイルや、インターネットでダウンロードしたファイルを実行することなどにより感染するものと考えられます。
Win32/Danolウイルスが原因のようですね。
さて、こいつを駆除せねばならないんですが、富士通のページによると以下のようにしろと。※注意、この方法は富士通専用です
- サポートCDで起動してコマンドプロンプトを起動します。
- 以下のコマンドを打ち込みます。
- copy□c:\windows\system32\config\software□c:\windows\system32\
config\software.daonol
(レジストリハイブの「software」を、リネームします。) - reg□load□HKLM\infected□c:\windows\system32\config\software
(感染している「software」レジストリハイブを読み込みます) - reg□delete□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\
Drivers32"□/v□midi9□/f
(感染ファイルの起動レジストリを削除します) - ※ コマンド内の □ は半角スペースです
- copy□c:\windows\system32\config\software□c:\windows\system32\
- 「EXIT」コマンドで終了します。終了後再起動します。Windowsが起動すればOKです。
しかし現実には、リカバリCDもサポートCDもない。どうしようかと・・・・
日本のセキュリティチームによると以下のように
PCが2台以上あれば、感染したHDDを正常な PC に接続してウイルス対策ソフトでHDD全体をフルスキャンする方法もありますが、やはりPCに十分に慣れた方以外には難しい作業だと思います。
なんだ、簡単ではないか。分解して、HDDを取り出し、他のPCにUSB接続でウイルススキャンを実行してみました。結果3個検出。以下のとおり。詳しくはgoogleさんに聞いてください。
Trojan-Downloader.JS.Gumblar.x
Exploit.Win32.Pidief.crv
Trojan-PSW.win32.kates.q
駆除が終了後、HDDを元通りに取り付けて起動します。あっさりと起動しました。起動後regeditを起動してHKLM\Software\Microsoft\WindowsNT\CurrentVersion\Drivers32 の中のmidi9を削除しました。
ちなみにmidi9の値の元はWindows\njxaof.oldとなっていましたがすでにソフトによって駆除されており、ありませんでした。
再起動後、WindowsUpdateを実行しておきます。このPCはあまりされていなかった様です。終わったら次に、Adobeのページに行ってAdobe ReaderとFlashPlayerの最新版をインストールします。ちなみにアップデートする前はAdobe Reader7でした。古いAdobe Readerをお使いの方はすぐにアップデートしたほうがいいですよ。
とにかく感染すると、面倒くさいのでお早めの感染予防をお願いします。
コメントをどうぞ