コマンドプロンプトおよびレジストリエディターが使用できない

会社のパソコンで、「ファイルを名を指定して実行」を選び、「cmd」や「regedit」を選ぶと、ツールバーが一瞬消え、何事もなかったかのようにもとの画面に戻り、DOS Windowが表示されません。

そういう現象が起き出してから、マカフィーのホームページにアクセスできなくなったり（ほかのweb siteにはアクセスできる）、プリンターが使用できなくなったり、株価をリアルタイムでチェックするボードが開けなくなったりとパソコンの調子が悪いです。。。

OSはWindows XPです。パソコンは、東芝のDynabook SS495MSです。

ウィルススキャンは、しているのですが、何も見つかりません。。。。

仕事ができなくて大変困っています。

アドバイスをお願いいたします。

No.9 ベストアンサー 回答者： gamebakari 回答日時： 2009/04/27 11:34

＞復元ができない、といわれました

予想していました。
これ、今までの経緯からするとほぼ人為的にシステムを壊されているようです。空いているポートから侵入したか、USBメモリに仕込まれたか、ボットなどで送られたか、経路は不明ですが。

そのソフト、業務で重要なものなら再購入するしかないかも。
このご時勢で簡単に言うなよ、と仰られるでしょうが。

そのマシンからの情報は漏洩している可能性があります。
お気づきですか？
最初は誰かがグループポリシーやレジストリを(何らかの目的で）設定しなおしたのかな、と思っていましたが、そうではないですね。
もしそうなら明確に「システム管理者によって」などのメッセージが出ます。それもないわけでしょう。

下記状況が類似しています。
http://wiki.higaitaisaku.com/wiki.cgi?page=Windo …
↑ここ専用の掲示板へ行き、相談されてもいいかもしれません。ただし回答者の数が少なく、放置される可能性もあります。回答がつけば信頼度は高いです。

プレインストールマシンなので、WindowsCDが使えないのも足かせです。
例えば修復(上書き）インストールをしたくてもできない。
http://www.geocities.co.jp/SiliconValley-Bay/588 …
これをできる可能性もあるのですが、肝心のexeファイルダブルクリックが無効化されていますから無理でしょう。

リカバリしか手段は残っていない気がします。

だめもとで、タスクマネージャのプロセスタブにあるプログラム名(イメージ名）をすべて列挙してください。調べます。

この回答への補足

本当に本当にありがとうございました。

結局外付けハードディスクを買って、データを保存し、初期化しました。
ソフトに関してはあきらめることにしました。

私のような素人にご丁寧にいろいろ教えてくださり、本当にありがとうございました。

なお、情報漏洩に関しては、現在までに暴露ウィルスにかかっているということはないので、大丈夫だと思います。（ウィルススキャンは4種類試し、すべてで結果は白でした）

本当にありがとうございました。

補足日時：2009/04/28 13:35

No.8 回答者： gamebakari 回答日時： 2009/04/26 17:17

RFVを起動し、「File」→「Open」から次の場所をたどりntuser.datを開いてください。

C:\Documents and Settings\ ＜ユーザー名＞\ntuser.dat
もしここがけられたら
C:\Documents and Settings\Administrator\ntuser.dat
を開く。
以下のキーまで左側のツリーでたどります。
Software\Microsoft\Windows\CurrentVersion\Explorer
ここに「NoRun」という値がないか、の確認。
（添付画像はうちのマシンのほとんどいじっていない環境で同じキーの状況をRFVで見たところ。）

それと、仮にレジストリがやられていたとしたら、
方法は他にいくつかあります。
1.ntuser.datの再構成
このファイルはユーザー設定レジストリ値のファイル本体で、Windowsは初期値を以下のフォルダに持っています。
C:\WINDOWS\repair
ですので一旦ユーザーフォルダにある
(Documents and Settings\<ユーザー名>) ntuser.dat
を削除し再起動すれば再構成されます。ただし削除のためには別のアカウントからログオンする必要があります。
・・・というか、盲点だったけど別のアカウント(半角英数のユーザー名）は作れますか？もちろん管理者権限で。そこからコマンドプロンプトやレジストリエディタが起動できるかも同時に試してください。

2.システムの復元を試す(←あまりお勧めしない）
レジストリの構成はシステムの復元でバックアップされています。
なぜお勧めしないかというと、万一悪意のあるプログラムの影響があった場合、戻ることで新たな悪意のあるプログラムの起動を促す結果になりかねないから。

3.システムの復元に使うレジストリのバックアップデータのみ取り出し、書き戻すという手法もあります。ただしそのWindows上では出来ず、
別のOS（Linuxやその他）から行うか、別のPCにつなぐ必要があります。
詳しくは下記。レジストリの修復には非常に有効ですが、ちょっと敷居も高い。
http://omake.accense.com/wiki/%E3%83%AC%E3%82%B8 …
なお、別OSをダウンロードしたい場合、カスペルスキーのレスキューディスクが使えます。
http://dnl-eu10.kaspersky-labs.com/devbuilds/Res …
kav_rescue_2008.isoをダウンロードし、イメージファイルの焼ける書き込みソフトでCD-Rに焼き、ここから起動させるとシステムファイルでも何でも個々のファイルマネージャから移動/コピーが可能。

4.部分的な、しかも「かもしれない」修復ですが。
http://www.symantec.com/region/jp/sarcj/data/t/t …
「.exe」ファイルをクリックしても開かない、という障害を修復することが出来るかもしれない。
まぁこれでregedit32.exeやcmd.exeが起動できるようになれば後の修復は楽にはなります。

5.リカバリ。
最終手段。

この回答への補足

本当にご丁寧にありがとうございます。
「RFV」を起動し、、「File」→「Open」からntuser.datを開くことができませんでした。

1.別アカウントは作成したのですが、削除に関しては、私の知識不足で実行することができませんでした。。。

2.なお、システムの復元はすでに試しているのですが、復元ができない、といわれました。

3. こちらに関しては、私には少々難しくて実行できませんでした。。。。別のOS等もないので。。。

4．こちらも試したのですが、変更はありませんでした。

5．やはりこれしかないですかね。。。でも一つだけプロダクトキーがないソフトがあって（前任がずっと前に購入したもののようで、会社に残ってないのです。。。）これが消えてしまうのが大変困るのです。。。

補足日時：2009/04/27 10:09

No.7 回答者： gamebakari 回答日時： 2009/04/26 14:55

＞ダブルクリックすると、同じようにツールバーが一瞬消えて

「別のユーザーで実行」、adoministratorでやってみました？
そこがちょっと知りたい。

それもできない、となると厳しい。
システム再インストールが視野に入ってきます。

一度レジストリ内容だけでも確認しますか？
「見るだけ」なら別のスタンドアロンビューアで見れます。
そこでぼくの指摘した点が「はずれ」なら全く別の問題(ハードウェアを含めたシステム損傷）でしょうし、「あたり」なら人為的改変なのでその箇所を何とか戻せばいい。切り分け出来るでしょ。

http://www.altech-ads.com/product/10000445.htm
Registry File Viewer 2.0
XP-SP2/3、Vistaで動作確認しています。
これでレジストリファイルを開き、前々回のレスで指摘したキーを確認してみてください(変更は出来ない）。
使い方は下記が詳しい。
http://itpro.nikkeibp.co.jp/article/COLUMN/20061 …

並行して大事なデータのバックアップ確認も。

この回答への補足

本当にたびたびありがとうございます。感謝しております。

administratorでログインしても開きませんでした。。。

PC製造元の東芝に電話したら、本体ではなく、OSがやられているか、ウィルスソフトが悪さをしている可能性が高いといわれました。こちらではどうしようもないと。。。

あと、レジストリ―を確認する方法を教えていただいたのですが、パソコン初心者（会社でも事務しか担当していない）ため、方法が分かりませんでした。。。
会社にはほかには、エンジニアがいるのですが、手伝ってはもらえなくて困っています。。。

やはり初期化しかないのでしょうか…

補足日時：2009/04/26 16:06

No.6 回答者： gamebakari 回答日時： 2009/04/26 03:58

グループ・ポリシー・エディタの入り方はややこしいので、下記参考に。

http://www.atmarkit.co.jp/fwin2k/win2ktips/233us …
それとレジストリエディタの無効化はレジストリエントリの値変更でできます。参考に。
http://trendy.nikkeibp.co.jp/article/tec/winxp/2 …

個別対処は茨の道かもしれません。それでもやるなら慎重に。
ポートの問題はファイアウォールの例外設定あたりを確認してください。
http://www.kojilog.net/index.cgi?no=108

No.5 回答者： violet430 回答日時： 2009/04/26 03:51

参考になれば

http://questionbox.jp.msn.com/qa1203235.html

この回答へのお礼

ご丁寧にありがとうございました。

お礼日時：2009/04/28 13:38

No.4 回答者： gamebakari 回答日時： 2009/04/26 03:42

＞4人だけの小さな会社で、管理者はいません

おおっと。
＞マルウェアとはなんでしょうか？
悪意のあるプログラム。ウィルス/スパイウェア、ワームなどの総称。

他の方がmmc(コンソール）をいじった覚えがないかどうか。
それと多分下記が設定されていそう。
http://trendy.nikkeibp.co.jp/article/tec/winxp/2 …
これに加えてコマンドプロンプトとレジストリエディタをグループポリシーから無効化されていた場合（そして復旧のためのバックアップがない場合）、非常に難しい。

とりあえず、実行ファイルが動くか確認。
念のためセーフモードで。
C:\Windows\System32フォルダのregedt32.exeを見つけてください。
Wクリック。
もし、「レジストリ編集は管理者によって使用不可にされています」がでたら一度閉じて右クリック、「別のユーザーで実行」、adoministrator(パスワード知ってますか）を選ぶ。
これでレジストリエディタが起動するなら、
HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Policies→Explorer
のキーを開き、「NoRun」という値を削除、再起動。
↑これも見つからなければシステムがかなりおかしい。
これでファイル名を指定して実行ができるか確認。

ただし、まだコマンドプロンプトも動かない場合もありうる。
これの設定はファイル名を指定して実行、mmcと入力、コンソールが起動したら「ファイル」→「スナップインの追加と削除」で追加ボタンを押し、→「グループポリシーオブジェクトエディタ」→追加ボタン→別の窓がでるので「完了」ボタン。一つ前の窓は閉じて、「スナップインの追加と削除」の画面はOKで閉じる。
メイン画面でグループポリシー→ローカルコンピュータポリシー→ユーザーの構成→管理者用テンプレート→システムとたどりシステムをダブルクリック。
右のペインに「コマンドプロンプトにアクセスできないようにする」の行があります。ダブルクリック。プロパティ画面で「未構成」のラジオボタンを選び「適用」。
ちなみに「次の設定」ボタンを押すと「レジストリ編集ツールへアクセスできないようにする」プロパティが開きます。ここも有効なら「未構成」に。
同じようにプリンターもグループポリシーで設定されているかも。
かなりややこしいですが、何らかのバッチファイルを仕掛けられたのかもしれませんよ。
確信はないですが、新しいアカウントを作ってみてどうなるか試してもいいかも。これは明日の朝にでも検証してみます。

この回答への補足

ご丁寧にありがとうございます。会社に来て頂いた内容を試したのですが、regedt32.exeのフォルダーは見つけたのですが、ダブルクリックすると、同じようにツールバーが一瞬消えて、また何事もなく元に戻ってしまいます。。。それ以上先に進めません。。。

いろいろなソフトでウィルスチェックをしてもウィルスはいないようですし、ＰＣ診断ツールを使って、PCを診断しても何も問題がないと出ます。。。

補足日時：2009/04/26 13:46

No.3 回答者： dondonji 回答日時： 2009/04/26 02:27

メンテナンスはしていますか。

XPのバージョンはsp3でしょうか?
不要レジストリや不要ファイル削除はしていますか?
デフラグの必要はあるようですか?
もとのOSのファイルはすべてパソコンにありますか?
マカフィー削除しても変化はありませんか?
補足頂かないと回答が難しいですが、まずメンテナンスをしてみて解決できればと思いますので、EasyCleaner(フリーソフトなので検索してください)で不要レジストリ、ファイルを削除してみる。次にスタートから「ファイル名を指定して実行」で、XPのCDを入れたまま　sfc /scannow　として破壊されているファイルを修復させる。
フリーソフトのスッキリデフラグでHDDのメンテナンスをする。
などをしても不具合があるのでしたら、マルウェア、
http://blog.hitachi-system.co.jp/02/628.html
も疑うところですが、メンテナンス以外ではHDDの寿命という点も考慮することが必要です。一度HDDの健康状態を調べて対策するのも一手だと思います。
http://crystalmark.info/download/

この回答へのお礼

ご丁寧にありがとうございました。

お礼日時：2009/04/28 13:39

No.2 回答者： gamebakari 回答日時： 2009/04/26 01:21

管理者は存在しますか？

その場合、管理者に確認をとるべきです。
グループポリシー設定でコマンドプロンプトは無効かできますし、
レジストリエディタは
HKEY_CLASSES_USER→Software→Microsoft→Windows→CurrentVersion→Policies
に値を設定すれば無効化できます。
これらを管理者が「やった覚えがない」なら、おそらくマルウェアの仕業でしょう。
混乱を避けるためには管理者に事情を聞く必要があります。

この回答への補足

回答ありがとうございます。
4人だけの小さな会社で、管理者はいません。
マルウェアとはなんでしょうか？
ご教示いただければ幸いです。

補足日時：2009/04/26 01:36

No.1 回答者： INTLINSIDE 回答日時： 2009/04/26 01:02

ファイル名を指定して実行じゃなく

すべてのプログラム→アクセサリ→コマンドプロンプト

で、コマンドプロンプトを開いてから
regedit
とか
regedt32
とかやればいいんじゃないですかね。


原因は、よくわかりません。
環境変数がおかしくなっているのかもしれません。
マイコンピュータで右クリックして、プロパティ
で、システムのプロパティの「詳細設定」タブの
「環境変数」ボタンを押すと確認できます。

この回答へのお礼

回答ありがとうございます。
頂いた方法で試したのですが、やはりだめでした。。。

同じように開くことができませんでした。

お礼日時：2009/04/26 13:58