Blasterワーム感染時と似た症状ですが。。。




 ◇-?Blaster ワーム感染時と似た症状ですが。。。-異国暮らし(初)-PC不慣れ-11/20-23:14(302)-No.430175
   ┗?!Re:Blaster ワーム感染時と似た・..-kikuko-11/21-12:20(289)-No.430212
     ┗?!!Re:Blaster ワーム感染時と似た...-異国暮らし-11/21-19:21(282)-No.430237
       ┗?!!!Re:Blaster ワーム感染時と似・..-kikuko-11/21-20:01(281)-No.430240
         ┗?!!!!Re:Blaster ワーム感染時と似...-異国暮らし-11/23-23:31(229)-No.430440
           ┗?!!!!!Re:Blaster ワーム感染時と・..-kikuko-11/24-00:50(228)-No.430457
             ┗?!!!!!!Re:Blaster ワーム感染時と...-異国暮らし-11/24-12:53(216)-No.430502
               ┗?!!!!!!!Re:Blaster ワーム感染時・..-kikuko-11/24-18:42(210)-No.430540
                 ┗?!!!!!!!!Re:Blaster ワーム感染時...-異国暮らし-11/24-19:34(209)-No.430543
                   ┗?!!!!!!!!!Re:Blaster ワーム感染・..-kikuko-11/24-22:04(207)-No.430569
                     ┗?!!!!!!!!!!Re:Blaster ワーム感染...-異国暮らし-11/25-19:21(186)-No.430654
                       ┗?!!!!!!!!!!!Re:Blaster ワーム感・..-kikuko-11/25-20:11(185)-No.430667


▲このページのトップに戻る
430175Blaster ワーム感染時と似た症状ですが。。。異国暮らし(初)-PC不慣れ 2007/11/20-23:14

メーカー名:東芝
OS名:WindowsXp
パソコン名:PAAX840LS
トラブル現象: 再起動を繰り返す、ほか。
使用回線:ADSL
--
台湾の友人からメッセンジャーで送られてきた動画アドレスを
開いたところウイルスに感染してしまったようです。

ネットで調べてみたところ、Blaster ワームの症状に近いです。
「再起動を繰り返す(Remote Procedure Callサービスが以上終了
したため、とメッセージが出ます)」「コピー&ペーストやドラッ
グ&ドロップができない」等の症状です。

http://support.microsoft.com/kb/881194/JA/
↑をはじめとするマイクロソフトのBlaster ワーム関係の説明を見て
いろいろとやってみましたが、どうも先に進めません。
タスクマネージャーを使ってもBlaster ワームとその亜種とされている
プログラムは見つかりませんでした。

http://www.microsoft.com/japan/technet/security/alerts/blasterE_xp.mspx
↑にはセキュリティ修正プログラムをダウンロードしろ、とあるのですが
ファイヤーウォールが起動できないので、躊躇しています。
あと、オフラインでですが、エクスプローラーが開きません。
ネットワーク接続内は今まで使っていた接続がなくなっていました。
(隠されているのかもしれませんが)

http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
↑では「インターネット接続を回復する」とあって、Remote Procedure Call
(RPC)の設定を変更するように書かれていますが、管理ツールの「サービス」
を開くと、本来右側にRemote Procedure Callが表示されるようなのですが、
ここが青くなっていて表示されません。クリックもできません。

あと「システムの復元」もできません。「システムの復元はこのコンピュ
ーターを保護できません。コンピューターを再起動して、システムの復元を
再実行してください。」とメッセージが出ます。セーフモードでも同じでした。
システムの回復ができなくなるウイルスとしてはウィニーで感染する
HLLW.Antinnyなどあるようですが、Blaster ワームもそうなのでしょうか?
ちなみにシステムの復元機能を無効にすることも出来ませんでした。

上記のようにBlaster ワームの感染状況に非常に近い気がするのですが
はっきりしたことはわかりません。Blaster ワームが流行したのは数年前
のようですから、何か新しい亜種なのかもしれません。あるいは全く別
ものなのでしょうか?

現在海外在住なので修理に出すこともままならない状態ですが、できれば
リカバリせずに回復したいです。
説明不足の部分がありましたら指摘していただければ、また書き加える
つもりです。
どうぞアドバイスをよろしくお願いします。




▲このページのトップに戻る
430212Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/21-12:20

記事番号430175へのコメント
ちょっと前にもBlasterに似ているがBlasterでないウィルスに関する相談がありました。

ここまでやられているとリカバリせざるを得ないと思います。
別に修理に出す必要はないでしょう。
このPCはハードディスクリカバリでリカバリディスクは必要ありません。
http://dynabook.com/assistpc/faq/pcdata/005355.htm
・パソコンを購入時の状態に戻す方法(再セットアップ方法)ハードディスクリカバリ編<dynabook AX/8シリーズ>

>「コピー&ペーストやドラッグ&ドロップができない」等の症状です。

セーフモードでもできませんか?
バックアップは取ってありますか?
ウイルス対策ソフトは何を入れていますか?



▲このページのトップに戻る
430237Re:Blaster ワーム感染時と似た症状ですが。。。異国暮らし 2007/11/21-19:21

記事番号430212へのコメント
kikukoさん 早速お返事をいただきありがとうございました。

ウイルス対策ソフトは使っていません。
またバックアップも取っていませんでした。
せめて大切なファイルだけでもDドライブにでも入れておけば。。。
我ながら油断しすぎでした。反省しきりです。

セーフモードでも「コピー&ペーストやドラッグ&ドロップができない」
状況は同じでした。
WinFAQは無くなりました
↑によると、これも「RPC サービスをホストしている svchost.exe
が異常終了する」と起こる現象のようですが。
前回投稿で書き忘れたのですが、スタート時にこの「svchost.exe−
アプリケーションエラー」の表示が何回も出ます。
やはりこのような状態ではバックアップを取ることも無理でしょうか?


ところで、
>ちょっと前にもBlasterに似ているがBlasterでないウィルスに
>関する相談がありました。
とありますが、それはこの記事でしょうか?
http://winxp.pasokoma.jp/c_403829
その後どうなったか書かれていないので残念ですが、ここにkikukoさんが
書かれていた「スタートアップを全て無効にする」をやってみました。
相変わらずエラーは出ますが、再起動してから同じ場所を確認してみた
ところ「NrDeskHlp」という項目だけいつの間にかチェックが戻っていました。
これは関係ないでしょうか?

またはじめの記事にある再起動を防ぐ操作を繰り返しながら、確認等の作業
を続けていたところ、「判定不可 多重起動判定に失敗しました」という
表示が出るようになりました。これもどういうことか良くわかりません。

うまく説明することができず本当に申し訳ありませんが、また回答を
いただけると幸いです。
どうぞよろしくお願いします。

▲このページのトップに戻る
430240Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/21-20:01

記事番号430237へのコメント
>とありますが、それはこの記事でしょうか?

いえ、そんなに古いのではなく、現行ログです。
http://pasokoma.jp/42/lg429914

ウイルス対策ソフトなし、バックアップなしというのは大事なデータは
ないのではないかと思いますけど、どうしてもというならKnoppixを使ってみては?
雑誌の付録を使うと簡単なのですが、海外ということで
それは無理と思いますから自分でKnoppixのCDを作ってください。
isoファイルを焼く方法はCD作成に使う書き込みソフトのヘルプで調べられると思います。
http://unit.aist.go.jp/itri/knoppix/
http://gokusensoft.blog48.fc2.com/blog-entry-50.html

追記
>ところ「NrDeskHlp」という項目だけいつの間にかチェックが戻っていました。
>これは関係ないでしょうか?

関係ありそうですね。
なにかRunOnceに入っているのではないかと思います。
HijackThisのログを取って、専門の掲示板でみてもらっては?
http://bbs.higaitaisaku.com/cbbs.cgi

質問掲示板でスレッドを立てたら、こちらにURLを貼ってください。



▲このページのトップに戻る
430440Re:Blaster ワーム感染時と似た症状ですが。。。異国暮らし 2007/11/23-23:31

記事番号430240へのコメント
kikukoさん ご回答ありがとうございました。

教えていただいたKnoppixですが、CDは作成し、起動はしたものの
Windowsとかなり違うせいか操作がよくわからず、外付けHDDにデータ
が移動できないので、いろいろと調べ中です。
http://gokusensoft.blog48.fc2.com/blog-entry-50.html
前回の記事で教えていただいた↑のページを読みました。記事下方の
青字の部分と関係があるのかもしれませんが、まだよくわかりません。

またKnoppix上でいくつか「ロックされたフォルダ」というタイプに
表示されていて開こうとしたところ「(ファイル名)はもう存在しない
ようです」とエラーが出てしまいました。「ロック」という操作を
した記憶もないですし、もちろん削除したわけでもないので
あるいはウイルスによって破壊されてしまったのかもしれません。

>>「NrDeskHlp」という項目だけいつの間にかチェックが戻っていました。
>関係ありそうですね。
>なにかRunOnceに入っているのではないかと思います。
>HijackThisのログを取って、専門の掲示板でみてもらっては?
>http://bbs.higaitaisaku.com/cbbs.cgi
>
>質問掲示板でスレッドを立てたら、こちらにURLを貼ってください。

まことに申し訳ありませんが、「HijackThisのログ」というのはどうやって
取ればいいのでしょうか?
http://www.higaitaisaku.com/hijackthis.html
↑によるとアプリケーションが必要のようですが。
Knoppix上でダウンロードすることはできるのだと思いますが、それを
XP上で起動させてログを取るというやり方でしょうか?XPは非常に
不安定な状態なので、うまくできるか不安ですが何とかやってみます。

ーーーーーー
上に書いた「ウイルスによるデータの破壊」というのは私の予想に過ぎ
ないので実際にはどうなのかわかりませんが、XPを立ち上げる
と被害が拡大するのかもしれないので、先にKnoppixでデータ救助の方法
を優先させたい気持ちもあります。
「HijackThisのログ」の方はその後で、ということでかまいませんか?
それとも「HijackThisのログ」の採取を先にしたほうがいいでしょうか?

たびたび申し訳ありませんが、よろしくお願いします。

▲このページのトップに戻る
430457Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/24-00:50

記事番号430440へのコメント
>まことに申し訳ありませんが、「HijackThisのログ」というのはどうやって
>取ればいいのでしょうか?

他のPCでダウンロードしてUSBメモリなどに保存、そのPCにインストールしては?
だけど、HijackThisも実行できないかもしれませんね。
直接レジストリエディタでRunonceを見る方法もありますが、多分レジストリエディタも起動できないだろうし。

>記事下方の青字の部分と関係があるのかもしれませんが、まだよくわかりません。

「HDDのフォーマットがNTFSの場合はデータの移動、コピーはできませんが、」という部分ですか?
これはKnoppix4に関する記述で、Knoppix5では大丈夫だそうです。
このHDDというのはでーたのコピー先の外付けHDDのことのようです。

ロックされたフォルダに関する検索結果です。
色々な見解がありましたが、どれにあたるのか不明です。
壊れている可能性が高そう。
http://pasokoma.jp/bbs9/lg271334
http://okwave.jp/qa2926371.html
http://okwave.jp/qa2096524.html

あきらめてリカバリするほかなさそうですね。

▲このページのトップに戻る
430502Re:Blaster ワーム感染時と似た症状ですが。。。異国暮らし 2007/11/24-12:53

記事番号430457へのコメント
kikukoさん ご回答、ありがとうございます。

レジストリエディタでRunonceを見ること(「ファイル名を指定
して実行」で「regedit」ですよね?)はできると思います。そのぐらいは
動く、はずです。前回は動きました。
それが出来たら、その後はどうすればいいでしょうか?


Knoppixでのファイルの保存はいまだに悪戦苦闘中です。
外付けHDDプロパティのデバイスから読み取り専用のチェックをはずし、
マウント→writableの操作はしているのですが、
「書き込み権限のないディレクトリにアイテムをドロップすることは
出来ません」という表示が出てしまいます。
先の投稿に書いた「ロックされたフォルダ」は数個だけでそれ以外は
開くことも出来ますが、そのロックされていないフォルダも外付けHDD
に移せません。でもこれはおそらくKnoppixの使用法の問題だと思うの
で今調べています。

「ロックされたフォルダ」については↓
http://okwave.jp/qa2096524.html
と同じ状態でした。XP上での特別な設定は、、、していたかどうか記憶が
定かではありません。XPで起動してみて設定が変えられるかどうか
やってみます。


最終的にリカバリせざる終えないというのは覚悟していますが、
やはり出来るだけデータを救出したい、と思っています。

ご面倒をおかけしますが、どうぞよろしくお願いいたします。



▲このページのトップに戻る
430540Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/24-18:42

記事番号430502へのコメント
レジストリエディタは起動するのですか。
それではこちらを参考に3.、4.を見てください。
両者とも正常な状態では「(規定) REG_SZ (値の設定なし)」になっています。
http://support.microsoft.com/kb/137367/ja
・レジストリの RunOnce キーの定義

タスクマネージャが起動できるなら、プロセス欄でNrDeskHlpを選択してタスクの終了するとどうなりますか?

>そのロックされていないフォルダも外付けHDDに移せません。

この前実験してみたのですが、簡単にコピーできました。
今また実験してみたところ、私の持っている外付けHDD1とUSBメモリでは簡単にコピーできましたが、外付けHDD2では同じエラーが出てコピーできませんでした。
HDD1とHDD2のプロパティはKnoppix上でもWindows上でも同じで何が原因かは分かりませんでした。
USBメモリをお持ちでしたら、試してみては?

▲このページのトップに戻る
430543Re:Blaster ワーム感染時と似た症状ですが。。。異国暮らし 2007/11/24-19:34

記事番号430540へのコメント
kikukoさん

レジストリエディタで調べてみたところ、どちらも
「(規定) REG_SZ (値の設定なし)」
でした。ここは正常な状態のようです。
今はUSBメモリがないのですが、HijackThisも試してみようかと思います。

Knoppixで「ロックされたフォルダ」とされていたフォルダですが、XP上
では開くことが出来ました。中においてあったワードと画像は開けました。
全部確かめてみたわけではありませんが、データそのものはウイルスに
よって破損しているわけではないようです。相変わらず移動はできませんが。
ワード文書は「文書は登録できません」と出てしまいますが、一応変更する
ことも出来ました。ただやはりコピーは出来ないですね。新しくワード文書を
新規作成して内容を貼り付けようとしましたがだめでした。

以上途中経過でした。
またよろしくお願いいたします。本当に何度も申し訳ありません・・・

▲このページのトップに戻る
430569Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/24-22:04

記事番号430543へのコメント
別の外付けHDDまたはUSBメモリで試した結果は?

こんな記述を見つけましたが、マウントして設定を変えたのですね?
http://sig.hamazo.tv/e878632.html

▲このページのトップに戻る
430654Re:Blaster ワーム感染時と似た症状ですが。。。異国暮らし 2007/11/25-19:21

記事番号430569へのコメント
kikukoさん

教えていただいたページを参考にしまして、何とか大切なファイルを
外付けHDDに救出することが出来そうです。

あと「ロックされたフォルダ」の件ですが、フォルダ名に問題が
あったようで、名前を変えたらKNOPPIX上での読み込み・移動が
可能になりました。データが認識されない場合も名前の問題の
ようです。
XPではOKの「〜」や機種依存文字などを含んだ名前のデータはKNOPPIX上では
認識されないようです。また中国・台湾の漢字で日本語の漢字と
違うものや普通のアルファベット以外の外国の文字(ハングルなど)
を使ったもの、名前が文字化けしているファイル・フォルダもKNOPPIX上
では「存在しません」とされてしまいます。
(海外を転々としているので、外国語のファイルが多いのです)

幸い私の場合はまだXPが動く状態だったので、XP上でファイル・フォルダ名
を変えることが出来ます。今まだ作業の途中ですが、何とかなりそうです。
データの救出が終わったらリカバリをかけようと思います。

何度も何度もお答えいただき本当に助かりました。
以後はこまめにバックアップし、ウイルス駆除ソフトも使うように
したいと思います。
また何かありましたら、そのときはよろしくお願いします。

本当にありがとうございました。



▲このページのトップに戻る
430667Re:Blaster ワーム感染時と似た症状ですが。。。kikuko 2007/11/25-20:11

記事番号430654へのコメント
何とかバックアップできてよかったですね。
ロックされたフォルダの解決法もありがとうございました。

ウイルス対策ソフトは日本語対応のものがすぐに海外では手に入らないかもしれません。
とりあえず、AVGとかAvast!など無料のウイルス対策ソフトを入れておきましょう。

A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言