トロイの木馬がPCのメモリに感染してしまいました。 データを何とか救い出したいですのですが…

先日トロイの木馬がPCのメモリに感染してしまいました。
データを何とか救い出したいので助言をよろしくお願いします。

少し長くなりますが経緯を説明させて頂きます。感染経路は分からないのですが、
avastの更新をせずにサイトを開いたままPCを点けっ放しにしていたのが原因かも知れません…
OSはXPです。

avastからトロイの木馬がメモリに感染したと表示が出て、
保護のためにPCがシャットダウンされました。
そのあとバックが青い画面に切り替わり、
PCをスキャンすると感染したファイル等が表示され、
どうやらwin32:Rootkit-gen[Rtk]というウイルスに感染してるようでした。（この時の英文はメモしています）
10個程の項目から処理方法を選べとあったのでDeleto allを押しかけたのですが、
どんなファイルが消えるのかを確認出来ないのが怖くてキャンセルしてしまいました。

どう対応すればいいのか分からなかったので
パソコンのサポートやトラブル全般に対応してくれる業者さんに電話で趣を詳しく伝えて相談した結果、

(1)まずは応急処置的に大事なデータをNero 9 EssentialsをDLしてDVDに焼く
（パソコンに元からライティングソフトが入っていますが使った事はありません
　随分前に他のライティングソフトをDLして何度か使いましたが、
　複雑で不安なのでシンプルで分かりやすそうなNero 9 Essentialsを使うことにしました）

(2)avastをアンインストール後、Microsoft Corporationやカスペルスキー体験版等の
フリーのウイルス対策ソフトを3つ程はしごしてウイルスを駆除

(3)用意した外付けHDDに本格的にバックアップを取った後、
　他のPC(今この質問をするために使ってるPC)に外付けHDDを繋いでウイルスをスキャン

(4)PCを初期化して、外付けHDDからデータを戻す

という流れで大丈夫だろう、そこまで慌てる事はない、との事でしたので
それに従ってまず空のDVD-Rを入れたのですが、
ファンクションが間違っていると出て読み込めませんでした。
ぞっとして検索すると、xp側でこういう不具合が起こりうるとの事で、
(http://www.mebius-faq.jp/faq/1030/app/servlet/qa …
(http://orbit.cocolog-nifty.com/supportdiary/2008 …
サイトの説明に従って設定し直そうとしていた所、
「～exeが実行されそうなので保護のためにPCをシャットダウンします」というような警告が出て、
今電源を落としている状態です…　これはウイルスが何かを実行しようとしてるって事ですよね？
最悪データが消されてしまうのでしょうか。
無線で接続しているのですが子機を念のため抜いています。

業者に電話で相談する前の時点で、実は2chでも助言を求めていたのですが、それによると
　メモリ自体に感染した時点でアウト、今更スキャンした所で感染した部分だけを修復するのは無理
　徐々にデータを食われる前に、
別のクリーンなOS入れたディスクからブートというのをしてデータを吸い上げ、構成復元していくしかない
　今PCを起動すると、ウイルスが動き出すかもしれないから駄目、とのことでした。
今となっては2chの方々の意見が正しかったんだろうなと…


この手の事に凄く疎いのですが、今から何に気をつけてどういう手段を取るのが最善なのでしょうか？
業者（相談してもらった業者とは別の）にデータ救出を頼むのがいいんでしょうか？
その業者さんの選び方の基準というのもわかりません（東大阪在住です）

重要なデータ（画像、メモ、ブックマーク等）は何が何でも絶対に救出したいです。

どうかアドバイスをよろしくお願いします。

No.1 回答者： INTLINSIDE 回答日時： 2009/12/14 07:05

http://techsalsa.com/steps-to-remove-win32rootki …
に駆除の方法が載ってたので、訳してみます。

1. ur0.com を取り除く
・「タスクマネージャ」を起動し、ur0.com というプロセスを終了
・「ファイル名を指定して実行」で msconfig を起動
スタートアップからウィルスのファイルを取り除く
（ur0.com の事ですかね？）
・再起動してセーフモードで起動。
・ur0.com を探して削除（隠しファイルも探す）
フォルダのオプションで隠しファイルも表示、あとはエクスプローラーで検索ですかね。
コマンドプロンプトなら c:\ から dir ur0.com /s でもOKかな。

2. Win32:Rootkit-gen[Rtk] を取り除く
・ウィルスが再び活動するのがシステムの復元のせい　みたいなことが書いてあると思う（たぶん）
・システムの復元をオフにする
マイコンピュータ→プロパティ→システムの復元→すべてのドライブでシステムの復元を無効にするをチェック
・再起動する
・さっきのチェックを元に戻す

のように訳せましたが。
遠からずあってると思いますので、試してみては。

まあ、責任はもてませんが。

この回答へのお礼

回答ありがとうございます。そういう方法があるということを頭に置いておきます。
ですが読んだ正直な感想は、自分でそれだけの行程を踏む自信が全くないという事です。
Win32:Rootkit-gen[Rtk]を駆除しただけで充分なのかどうかはわかりませんし、その辺りを判断する能力は自分にはありません。
Win32:Rootkit-gen[Rtk]は、感染したPCに他のウイルスが侵入し易くするようなものですよね？

手に負えそうにないので、やはり業者に対応を頼むことになりそうです。
こういう場合、どういう業者にどう頼むのがベストなのか、どこが評判のいい業者なのか、という事を質問した方が良かったかもしれません…
お答えありがとうございました。

お礼日時：2009/12/14 08:08

No.2 回答者： INTLINSIDE 回答日時： 2009/12/14 11:35

＞Win32:Rootkit-gen[Rtk]は、感染したPCに他のウイルスが侵入し易くするようなものですよね？

どういうものかは調べましたが分かりませんでした。
さっきのページには、ダブルクリックでドライブが開けなくなるみたいなことが一応書いてありましたが、それだけではないでしょうね。

他の情報もあります。

optmediaのソフトウェアを入れた事は無いですか？
シェアウェア等を無料にする代わりに広告を表示させるソフトウェアです。

それが、Win32:Rootkit-gen[Rtk]として誤認されることもあるようです。
http://www.optmedia.jp/techinfo/detail/?did=0000 …

その場合は、avast! 4 Home Editionの定義ファイルの更新をすると誤認しなくなるそうです。
あるいは、optmediaを利用しているソフトウェアをアンインストールすればOKということになるかもしれない。

参考までに。

この回答へのお礼

回答ありがとうございます。
optmediaを入れた事は無いはずです
でもそういう可能性もあるのですね。他のソフトを誤認する事もあるのでしょうか…

お礼日時：2009/12/14 21:24

No.3 回答者： seadragon 回答日時： 2009/12/14 12:15

ウイルス対策のプロに見てもらうという方法もあります。

マカフィー・ウイルス駆除サービス
http://www.mcafee.com/japan/mcafee/support/premi …
改善出来たらavastではなくノートンかMcAfeeに切り替えた方が無難です。

この回答へのお礼

回答ありがとうございます。
専門家にリモート操作で対応してもらえるサービスがあるのですね。
いいものを紹介して下さってありがとうございました。
>切り替え
わかりました。

お礼日時：2009/12/14 21:35

No.4 回答者： ryu-fiz 回答日時： 2009/12/14 17:08

…今から言っても遅いですが、avast!を信用し切れていない時点である意味終わってしまった感もありますね。

。

avast!のブートタイム検査については、次のURLでかなり詳細に説明されています。

おじいちゃんのメモ - おじいちゃんのメモ-ブートタイム検査
http://www.iso-g.com/modules/xfsection/article.p …

環境によっては上記URLにアクセス出来ないこともありますので、Googleのキャッシュへのリンクも示しておきます。

http://74.125.153.132/search?q=cache:6RWJwMtJq4o …

ブートタイム検査を使うと、Windowsが起動し切らない状態でスキャンが行われるため、システムそのものに寄生するタイプの除去が困難な感染に対しても効果的な対処が行えます。

で、一般にはいきなり削除するのではなく、隔離することが望ましい対処と言えます。avast!で言うとチェストへの移動です。だから、

>Deleto allを押しかけたのですが、
どんなファイルが消えるのかを確認出来ないのが怖くてキャンセルしてしまいました。

Delete allではなく、Move all to Chestが無難、ということなのです。

で、感染への対応についても先手必勝が基本で、感染発覚後すぐのブートタイム検査で処理出来ればそれが最も望ましかったのですが…今からやっても無理があるかも知れません。というか、バックアップを試みている最中に異常が出てしまったようなので、これ以上の続行は厳しいかもしれません。

自力での対処、ということですと、例えばKnoppixのようにCD-ROM上から起動可能なOS上からUSBメモリなどにデータを移して救助する方法がない訳ではありませんが…KnoppixのCDを用意するためには、元となるisoファイルをダウンロードしたり、それを使ってCD-Rなどに焼きこんだりする必要もあるので、初心者さんには現実的な対処と言えないかも知れません。

やはり業者を探してデータ救出を依頼するのが無難でしょう。タウンページなどで探すことになりそうですが…相場とか良い業者を見つける方法については当方が具体的なアドバイスを差し上げることが出来ません。申し訳ありません。

誰しもこういったことになど慣れてはいないと思います。慣れていないなりに、それなりの注意を払いつつ頑張っていただくしかないでしょうね。

それと…やはりもう少し、感染対策とかあるいはパソコン全般に明るくなるように努めたほうがよろしいかと思います。avast!ではダメだとも言いませんが、もしブートタイム検査についての知識が事前にあったら、もっと事態は別の方向に動いていたようにも思えます。

ウイルス対策を有償のものに変えるという回答もあるようですが…変えたところで今回のような感染を確実に防げるかどうかは疑問ですし、深刻な感染の除去を無償でとことん、効果的にアドバイスしてくれるかも疑問です。

今日の感染を防ぐためには、単にウイルス対策ソフトを入れてWindows Updateを励行するだけでは不十分です。次のサイトの初心者向けコンテンツから理解に努めてください。

国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/s …

この回答へのお礼

回答ありがとうございます。
親身なアドバイスに感謝しています。おじいちゃんのメモ読みました。ブートタイム検査について理解していなかったのは本当に間抜けとしか言いようがありません。反省と後悔の気持ちでどうにかなりそうです。

信頼できそうな業者を探し、データ救出を頼む事にします。
ですが、「HDDが飛んでしまった場合のデータ救出」や、「ウイルス駆除」をしてくれそうな業者は見つかるのですが、今回のケースに当てはまりそうな見出しが中々見つかりません。この場合は「HDDが飛んでしまった場合のデータ救出」が出来る業者に任せれば良いと思いますか？

あと、深刻さを理解するために意見をお聞きしたいのですが…
HDDが寿命などで壊れてしまった場合のデータ救出というのは凄く難しそうなイメージを受けます。自分のようなケースでのデータ救出というのは、難易度的にどの程度のものなんでしょうか？ウイルスに感染してる度合いによると思うのですが。

>ある意味終わってしまった感もありますね。。
これは、ブートタイム検査について分かってなかった時点で、自力で出来るベストだったはずの対応はもう望めない、という意味のみで取っていいんですよね？
業者に頼んでもバックアップを取る事が絶望的という意味ではないですよね？
一度起動した時点ではデータは無事でした。その後に起こった事が問題なのですが…～exeが実行されそうなので保護のためにPCをシャットダウンしますという警告が出た事についてですが、これは具体的にウイルスは何をしようとしていたのでしょうか？種類によって違うと思いますが…やばいソフトを入れられたり、データを消されたり、ってことですよね。
PCを起動するのが危ない以上、seadragonさんに回答で教えて頂いたマカフィーのリモートのサービス（http://www.mcafee.com/japan/mcafee/support/premi …）というのは無理と考えた方がいいんでしょうか？問い合わせてみます。

>例えばKnoppixのようにCD-ROM上から起動可能なOS上からUSBメモリなどにデータを移して救助する方法
これは、僕が2chで教えて貰った手段と同じものでしょうか？→（別のクリーンなOS入れたディスクからブートというのをしてデータを吸い上げ、構成復元）
大量の質問で返してしまって申し訳ありません。

お礼日時：2009/12/14 22:54

No.5 回答者： gh8gh8 回答日時： 2009/12/15 02:40

神戸市西区・神戸市垂水区などを対象とした業者↓です。

東大阪は遠いかな？
http://orbit.cocolog-nifty.com/supportdiary/2009 …

ウイルス対策ソフトを使わずにオートラン・ウイルスを駆除する手順を編み出した力量から見て、技術水準はかなり高いと思います。（私は回し者ではありません。）

この回答へのお礼

回答ありがとうございます。ブックマークしておきました。
今複数の業者のHPを見て吟味しているところです…

お礼日時：2009/12/15 04:49

No.6 回答者： tuiteru7 回答日時： 2009/12/15 08:17

◆ウィルスソフトを使っても解決できない場合は、Windowsの

復元機能を使えば解決すると思います。

具体的には
セーフモードでのシステムの復元方法
http://support.microsoft.com/kb/880414/ja

パソコンとモデム(またはルータ)の接続端子(どちらか片方)をはずしてから、
スタート→プログロム→アクセサリー→システムツール→システムの
復元→コンピュータを以前の状態に復元するにチェックを入れる→
正常に機能していた日を選択→次に→OK→自動的に再起動して
Windowが開く

(正常に機能していた日の復元ポイントがない場合は、この方法で
は解決できません)

私はこの方法でウィルスなどから３回助けられました。
試してみる価値はあると思います。

やる前にデータのバックアップはしておいて下さい。
前もって復元ポイントを作っておかないと復元できないので、ＯＳの
細かい設定変更、アプリケーションのインストール前には
必ず復元ポイントを作成して下さい。(復元を何度もやると不具合の
原因になるので、リカバリするしか解決できない時だけ利用して下さい)

それと、ルータはウィルスなどの進入防止になるので、使用
した方がいいですよ。

最近の投稿を読むと、システムの復元を否定する内容が見られますが、
私の場合は不具合は起こらず３回助けられました。
また、同OKwaveの私のシステムの復元のアドバイスを実行した６人の方から
お礼メールが届きました。
お礼メールURL(質問者の方は本当かどうか確認して下さい)
http://okwave.jp/qa5350095.html
http://okwave.jp/qa5347447.html
http://okwave.jp/qa5343241.html
http://okwave.jp/qa5214465.html
http://okwave.jp/qa5472609.html
http://okwave.jp/qa5505964.html

必要以上に心配することはないと思います。
システムの復元を否定するアドバイスも、リカバリを勧めているので、
大変な作業になるリカバリをしないで、解決できる可能性が
ある以上、試されたほうがいいと思います。
万が一だめな場合はリカバリすれば問題は解決するので、ためらうことは
ないと思います。

要するに、システムの復元がだめだったら、リカバリすればいいだけの話です。
難しく考える必要はないと思います。

質問者の方は、両方のアドバイスをよく読んで、実行するかどうかお決め下さい。
ウィルス駆除できることをお祈りしています。


それでもできない場合は、大変で面倒ですが
リカバリするしか方法がないと思います。

No.7 回答者： ryu-fiz 回答日時： 2009/12/15 20:33

４番目に回答したものです。

う～ん…当方としても、質問文の読み込みが足りなかった面もあるような気がするので、その辺についても織り交ぜつつ『お礼』中のご質問に対しての回答を。

>>ある意味終わってしまった感もありますね。。
>これは、ブートタイム検査について分かってなかった時点で、自力で出来るベストだったはずの対応はもう望めない、という意味のみで取っていいんですよね？
>業者に頼んでもバックアップを取る事が絶望的という意味ではないですよね？

そういうことです。ブートタイム検査で処理出来ていれば確実性は高かった、ということ。決してバックアップが絶望的だという意味ではありません。

>信頼できそうな業者を探し、データ救出を頼む事にします。
>ですが、「HDDが飛んでしまった場合のデータ救出」や、「ウイルス駆除」をしてくれそうな業者は見つかるのですが、今回のケースに当てはまりそうな見出しが中々見つかりません。この場合は「HDDが飛んでしまった場合のデータ救出」が出来る業者に任せれば良いと思いますか？

『HDDが飛んでしまった場合』というのはハードディスク上の管理情報が破損してしまったり、ディスクそのものが損傷してしまったりしてデータが全く読み込めない状況を指すものと思われます。そうしたケースに比べれば、今回のようなケースでのデータ救出の難易度は高くないと考えられます。

ただし、本当にルートキットの類に感染しているのだとすれば、それなりの注意をしないとデータのバックアップに利用するパソコンにまで感染が及ぶ可能性もありますし、バックアップしたデータを入れたCD-Rなどを読み込んだだけで再感染、というケースになる可能性もない訳ではありません。

とは言え、破損したディスクからのデータ救出ほどシビアではないと思うので、ウイルス駆除対応を謳うところであれば選択肢に入れて構わないと思います。

ただね…冷静に考えてみれば、ブートタイム検査で検出ファイルを隔離しなかった後で、最低一回はパソコンを起動してしまってる訳ですよね？

だとしたら、システムの再起動によって感染が完了するタイプのものであったとしたら、この時点で既にそういう状態になってしまってるんで、その後で何度か起動をかけたところで、いきなりハードディスク内のデータが削除されてしまうような事態にはなりにくいという気がするのですが。

それとね…

http://www.mebius-faq.jp/faq/1030/app/servlet/qa …
http://orbit.cocolog-nifty.com/supportdiary/2008 …

この辺に書かれているような内容を改めて読み込み、質問に書かれた現象を考えると…

結局は、既にそちらのパソコンに何らかのライティングソフトがインストールされているにも関わらず、更にNero 9 Essentialsを入れてしまったことが元で『アクセスできません』エラーが発生しているような気もする訳です。また、

>「～exeが実行されそうなので保護のためにPCをシャットダウンします」というような警告が出て、
今電源を落としている状態です…　これはウイルスが何かを実行しようとしてるって事ですよね？

これについては…正直なところ、実際に起動しようとしていたファイルがどこに存在するどのファイルなのかとかが詳しく分からない以上、文面からだけでは判断が難しいです。ざっと見た感じいかにも危険、と思い込んでしまったのですが…実際にそのファイルが感染に関係するのかどうかの判断は限られた情報からでは出来ないですし。

大体、その警告を出してきたのがavast!なのか、Windows OS自体なのか…その辺も定かではないですしね。なので…

>これは具体的にウイルスは何をしようとしていたのでしょうか？種類によって違うと思いますが…やばいソフトを入れられたり、データを消されたり、ってことですよね。

これについては、現状では具体的な回答が出来ない、ということになろうかと思います。

いろいろごちゃごちゃ書いてしまいましたが…結局のところ、私が今言いたいのは、

・とどのつまり、そちらのパソコンの状況が致命的に悪いのかどうかについては全く判断が付かない。

・少なくとも、2chで指摘されたような『今PCを起動してはまずい』という状況からは既に先に行ってしまっている。つまり、本当に起動してはまずい状況にあったのだとしても、既にライティングソフトによるバックアップを試みるための起動を行った時点で手遅れになってしまっているので、今後起動したのだとしても劇的に危険が増す訳でもないと思われる。

以上です。

よほど心配でしたら、何もせずにこのまま業者に相談して預けてしまうのが最善だとは思いますが…現状としてそこまでする必要があるかどうか今一つ割り切れていないようなら、この質問を締め切った上で、higaitaisaku.comの質問掲示板に移動されるというのも選択肢の一つになるだろうと考えます。

http://www.higaitaisaku.com/

HijackThisのようなツールを利用し、そちらのPCの現状をきちんと解析した上で感染除去のレクチャを受けることが出来ます。ただし、回答待ちに時間がかかる可能性はありますが。。

また、マカフィー・ウイルス駆除サービスの利用については、事前にデータのバックアップが推奨されていますので…Nero 9 Essentialsが使い物にならない現状では利用しないほうが良いんじゃないかなと思います。

なお…システムの復元については、今回のケースではお勧めしません。感染発覚後にNero 9 Essentialsのインストールを行ったのだとしたら尚のこといけません。インストールに際して、システムに近い部分をいじったりするようなソフトを入れた後に、入れる前の環境を復元することはリスクが大きいと考えます。

この回答への補足

HDDを復旧してくれる業者について、2chのハードディスク復旧センターのスレや教えてgoo内等、真偽が定かではない情報も飛び交う中、色々と評判や対応等を調べていると、全く安心できない内容ばかりでした。　こう繰り返すほどにバックアップ等をしてこなかった自分の間抜けさ愚かさが際立つばかりですが、大事なデータを任さなければならない業者の半数が悪徳業者であったり、物凄くいい加減であると言われている現状を知って本当に落胆し寒気がしました。自分のケースは論理障害ですが、確かな施設がある業者に頼んだ場合、物理障害なら100万かかるという事もあるそうですし。

業者の論理障害の例を見ていると、まずPCがちゃんと起動が出来ない(ブルーの画面やロゴ画面で止まる)というケースが多いようでした。（ウイルス云々の例もあまり見かけませんでしたが）
ryu-fizさんのおっしゃる通り、メモリに感染後も何度か起動出来ているので、そこまで深刻な事態になっていないと思いたいです。
最後に起動したときに何かexeを実行されそうになってWindows停止、シャットダウン、となったので、次に電源を入れたとして(悪化すると怖いので入れませんが)ちゃんと起動するかどうかはわかりませんが…

>HijackThis
頭に入れておきます。これを使う事によって状況が悪化するという事もありうるのでしょうか
>よほど心配でしたら、何もせずにこのまま業者に相談して預けてしまうのが最善だとは思いますが…現状としてそこまでする必要があるかどうか
いえ、最善の方法を取りたいので、まず複数の業者に電話で相談して、どういうケースに当てはまりそうなのか、どういう対応をしてもらえるのかを入念に調べようかと思います。
その上でまた疑問や、正直自分だけでは判断しかねる事がでてくると思うのですが…
（2chテンプレに入っていて且つ信頼できそうな業者url）
http://www.ontrack-japan.com/
http://www.drivedata.jp/
http://www.dataresq.net/pc/index.php
http://www.kumanan-pcnet.co.jp/
http://www.pckids.co.jp/services/hukkatsu/hukkat …
http://www.n-plan.biz/
もしかして、HDD復旧の業者を調べるより、ウイルス駆除の業者を調べたほうがいいのでしょうか…？

>更にNero 9 Essentialsを入れてしまったことが元で『アクセスできません』エラーが発生しているような気もする訳です
いえ、残念ながらNero 9 Essentialsはまだ入れるに至っていないんです…
以前からライティングソフトについては、元からPCに入っていたソフト以外の物を入れて何度か使っていましたが。
DVDを読み込ますこと自体久しぶりだったので、その間に何か状況が変わり読み込めないエラーが出たとも思いたいのですが、ウイルスの
せいかも知れなんですよね…

>大体、その警告を出してきたのがavast!なのか、Windows OS自体なのか…その辺も定かではないですしね。
「保護のためWindowsを停止してシャットダウンします」というようなメッセージだったと思います…　

>マカフィー・ウイルス駆除サービスの利用
>システムの復元　わかりました。

補足日時：2009/12/17 11:23

この回答へのお礼

丁寧な回答本当にありがとうございます。これ以上の判断ミスは絶対に避けなければと思いながらも、今更ではありますが正しい判断を下すための知識や判断材料が致命的に足りなく、周りに相談できる人もいないので本当に助かっています。
文章が全角1000文字を超えてしまったので続きは補足で書かせて頂きます。

お礼日時：2009/12/17 11:23

No.8 回答者： ryu-fiz 回答日時： 2009/12/17 22:03

>もしかして、HDD復旧の業者を調べるより、ウイルス駆除の業者を調べたほうがいいのでしょうか…？

はい。私はそう思います。というか、ウイルス駆除専門という業者はそれほど多くはないと思いますし、データバックアップとシステムの初期化がメインの作業となるように思われますから、一般的なPCトラブル専門の業者でよろしいかと思います。物理的に破損したハードディスクからのデータ復旧とは若干毛色が異なると思いますね。

>>HijackThis
>頭に入れておきます。これを使う事によって状況が悪化するという事もありうるのでしょうか

別PCでダウンロードしておき、CD-RやUSBメモリなどの媒体経由でHijackThisを実行することも出来るかと思います。感染PCをネットに漫然と繋ぎっぱなしではマズイでしょうが、オフラインで起動しておく分には大きな症状の悪化は可能性として少ないと見ます。

>>大体、その警告を出してきたのがavast!なのか、Windows OS自体なのか…その辺も定かではないですしね。
>「保護のためWindowsを停止してシャットダウンします」というようなメッセージだったと思います…

どのファイルが原因なのかとか、より正確な記述でないと曲がりなりにも判断は難しいです。（当方もめちゃくちゃそうしたことに明るいわけではありませんが、文面の一部をキーワードにしてウェブ検索すれば、何かしら判断の材料は見つかるでしょう）

コントロールパネルの『管理ツール』→イベントビューアから文面をきちんと確認することが可能だと思います。通常モードでのシステム起動でシャットダウンが掛かり、確認出来ない場合には、システムをセーフモードで起動することによって確認可能になる場合があるかと思います。