ダダをこねパソコンくんとの格闘の日々。。。
メインで使ってたパソコン・N2くんが病気になって数日。。。
> パソコンが起動しなくなっちゃったyp!
ほったらかししても治るわけもなく。。。
ようやくツンツンしはじめました。
床に伏せた原因はウイルス感染。 いやんなっちゃう!もう。
---
◆前回までのおさらい
OS起動時にウイルスが読み書きするっぽいファイル
C:\WINDOWS\SYSTEM32\W.DLL
こいつを「サイズ0のファイル」に置き換えてみたら…
起動しなくなりましたw
winlogon.exeまで感染しやがってます。
昔、似たような現象を見かけた気がするんだよな。
その時は、ネットで公開されてたツールで消せたんですが。
結局、再インストールすることになりました。
さてさて、今回はどうなることやら。。。
---
ついでに・・・DVDドライブが壊れてましたorz ヾ(- -;) ヨシヨシ
こいつは、押入れの中から発掘したので代用 ←
[トライ1]
WinXPのCDでブートしてみました。 ←OSは「WindowsXP Pro SP3」
だめだ、HDDを認識してくれへんorz ←HDDがSATAだから? うーん
[トライ2]
昔買ったバックアップツールを試してみたら…見えるヤンw
でも、直接ファイル操作することはできませんでしたorz
[トライ3]
再セットアップ用のCDを作ってあったんで、入れてみました。
「Cドライブを消しますか?」 Σ(- -ノ)ノ エェ!?
データを全消去されそうだったので中止。
メーカー製のは怖くて使えねえwww
[トライ4]
別のHDDを増設して、OSを再インストールしてみるか?
予備で使えそうなのはIDEのHDDか。。。SATAのHDDがない。
うーん、うーん。
ふと…DVDが付いてるのって。。。IDEやんかw ←
使えそうなHDDを探し出し。。。中身をY2くんにバックアップ。
(もうY2くんのお腹はパンパンやなw)
現在、N2くんは、こんな感じ。
PATA0(IDE) ますたあ → HDD(増設) 30GB ※まっさら
PATA0(IDE) せかんど → DVD(交換)
SATA0 ますたあ → HDD(元から付いてた奴) ※感染中
SATA0 せかんど → なし
SATA1 ますたあ → なし
SATA1 せかんど → なし
DVDドライブに再セットアップディスクを挿入。
「Cドライブを消しますか?」 Σ(- -ノ)ノ エェ!? またかいw
「それって、どのHDD?」という選択肢はありませんでした。
Cドライブと言われても、どのHDDのなのか、さっぱりわかりません。
たぶん「SATA0ますたあのHDD」にあるCドライブなんだと思います。
でも、こいつを消されちゃ意味がない。
メーカー製のって、変な癖がありますね^^
せめて繋がって認識されているHDDの一覧を出してほしい。
オプションでいいからさ。
[トライ5]
「SATA0ますたーのHDD」が消されると怖いので、
それを外してから作業することにしました。。。
無事、増設した「PATA0(IDE)ますたあ」のHDDにインストールできました。
(*゜▽゜ノノ゛☆パチパチパチ
そいで、「SATA0ますたあのHDD」をつけて、再び起動…
WindowsXPの起動画面。。。落ちたw
「SATA0ますたあのHDD」が読み込まれてるじゃないか!
「PATA0(IDE)ますたあのHDD」はどうしたんだ?w
---
[トライ6]
◆マザーボードの設定が悪い?BIOSの確認
起動の最初で「F2」を押して、BIOSの設定画面を起動。
読み込むドライブの優先順位を確認。
DVD → FDD → HDD
HDDの優先順位は…
PATA(IDE)ますたあのHDD → SATA0ますたあのHDD
BIOSは問題なかった。。。
というか、たぶんこれはBIOSの問題じゃない。
たぶん、OSが2つ以上ある環境。。。。
デュアルブート環境として認識されていないんだ。
でも、なぜ「PATA0(IDE)ますたあのHDD」は無視されちゃうんだろ?
ここらへんのブートストラップの仕組み、サッパリです。
[トライ7]
お?USBのフロッピードライブを発見!
フリーのブートローダー(MBM)で起動して、
パーティションテーブルを確認してみることにしました。
起動してパーティションを確認してみたところ、、、
ドライブは2つ認識されていた。
・・・両方とも同じパーティションテーブルじゃんwww
「SATA0のますたあのHDD:]
「SATA0のますたあのHDD:]
どうやら、PATAとSATAの両方にHDDは接続できないみたい。
接続するとPATAが見えなくなる仕様なのか?
。。。マザーボードが悪さをしているようです。
でも起動時にカリカリしてたから…アクセスはしてるっぽい。
でも、なぜか「SATA0のますたあのHDD:]のOSが起動される。
お手上げ。
---
[トライ8]
押入れから「PATA(IDE)→SATA変換コネクタ」を発見!
オオーw(*゜o゜*)w 天の恵み
さっそくつないで起動してみたら、起動したw
SATAだけにHDDを繋ぐなら、イケるっぽい。
不思議な仕様だな。
PATA0(IDE) ますたあ → DVD(交換)
PATA0(IDE) せかんど →
SATA0 ますたあ → HDD(元から付いてた奴) ※感染中
SATA0 せかんど → なし
SATA1 ますたあ → HDD(増設) 30GB ※WinXPProSP3
SATA1 せかんど → なし
BIOSで起動順序を確認してから起動。。。。
無事、増設したHDDから起動できましたwww
o(・∇・o)(o・∇・)o ヤッタ!
バスターくんを最新版にして確認してみたところ。
ウイルス発見! 犯人はコイツだ↓
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_MEREDROP.JF
バスターくんも、ようやく対処してくれたようです。
で、マルウェアって何?w
なるほど。
ブラウザの動作が変だったのは、
HOSTSまで変更されてたからかorz
---
[トライ9]
ようやく最初の目的、
感染したドライブのファイルを操作できるようになりました。
早速、W.DLLを削除して。。。再起動!
。。。落ちた。。。だめぽorz
[トライ10]
C:\WINDOWS 以下の大事そうなシステムファイルを
増設ドライブの方から強制上書き! どやっ!
おぉ! 無事に起動できたw
キャーゞ(^o^ゝ)≡(/^ー^)/"""パチパチ
ウイルス情報の手順通りに作業して、無事復活♪
1.システム復元を無効にする
2.すべてのブラウザを停止する
3.TROJ_BAITAL.CWを検索して見つけたら削除
4.レジストリで「…SystemRestore」のキー「DisableSR」を修復 ※たぶん、1の関連
5.HOSTSファイルを修復 C:\WINDOWS\drivers\etc\hosts
6.4つのファイルを削除
C:\WINDOWS\dll
C:\…\All User\My Documents\dll
C:\WINDOWS\temp\explorer.dat
C:\WINDOWS\temp\winlogon.dat
ついでに、ブラウザ「C:\WINDOWS\ie8\iexplorer.exe」も修復上書きコピー
他のChrome、Firefox、Operaなどもやられてるらしい
7. ウイルスバスターを最新版にして検索。
少し軽くなったかも。
---
[トライ0]
お勉強&おさらい
◆ブートストラップ 【ブート】 別名 :起動、bootstrap
パソコンくんの電源が入ると。。。
まずマザーボードに記憶された「IPL」(Initial Program Loader)というプログラムが起動し、ハードディスクの先頭にある「MBR」(Master Boot Record)という領域を読み込む。
次に、MBRの内容からハードディスク内のどの領域(パーティション)からOSを起動するかを選択し、そのパーティションのブートセクタと呼ばれる領域に記録されたプログラムを呼び出す。
最後に、ブートセクタに記録されたプログラムはディスクからOSをメモリに読み込んで起動し、操作可能な状態になる。
。。。BOISとの関係は?。。。
マザーボードのIPLってプログラムはBIOSとは違うのかな?
これだけじゃ、よくわかりませんでした^^
◆ブート - Wikipedia
IBM ではブート処理を IPL (Initial Program Load) と呼ぶ。
オオーw(*゜o゜*)w
・
・
・
(・・?
◆Windows.FAQ - PC の起動する仕組みは?
起動順序の概略っぽいの
BIOS, Basic Input/Output System (※マザーボード)
-> MBR, Master Boot Record (※ハードディスク)
-> PBR, Partition Boot Record, ブートセクター (※各ドライブ)
-> NTLDR (または IO.SYS/Win9x) (※OS、Windowsの場合)
◆マスターブートレコード (MBR)とは?
MBRは、ハードディスクの最初のセクタ (512 バイト) です。
OSに依存しません。
◆マスターブートレコード (MBR) が壊れたら?
コマンドプロンプトから次のコマンドを実行します。
FIXMBR (または FDISK /MBR)
◆ブートセクターって何?
PBR=パーティション・ブート・レコード(ブートセクター)、
ハードディスク上にある各ドライブの最初のセクターです。
ここには OS に依存する実行プログラムが記録され、
IO.SYS や NTLDR などの OS ローダーを起動します。
◆マルチブートの仕方
OSの起動時にF8(または、Shift-F5 ※Win9x)を押して、
起動メニューを出して選択する。
ハードディスク毎にOSが分かれてるなら、
マザーボードのBIOSで切り替えることでも可
切り替えが面倒だけどw
フリーのブートローダ(MBM)がシンプルで便利でした。
Linux使いならGRUBやLILOなど。
MBM(Multiple Boot Manager)を使うには(フロッピーディスク編) / @IT 2005年12月15日
以上。
少しでも参考になれば幸いです。
ありがとうございました。