起動時にWindowsロゴが出た後，カーソル(動く)しか表示されない、セーフ同様

起動時にWindowsロゴが出た後，カーソル(動く)しか表示されない、セーフ同様
TOSHIBA SATELLITE J60 XP-PRO SP2
NEC VersaPro VJ16M/EX-X XP-PRO SP2
の2台が修理として持ち込まれました。
ほぼ同時期に別々の顧客から同現象のNOTEです

なんとなく、Windows Update が怪しいと思っているのですが
顧客は特にソフトインストールしていないと言い
特別な切り方もしていなく、突然この現象になったようです

HDDのセクタチェックに異常は無く、メモリチェックも異常なし
回復コンソールにてチェックディスク実施するが、無事終了
前回正常起動時の構成でも同じ
セーフモード（通常・ネットワーク・コマンドプロンプト）で立ち上げても、
Windowsロゴが出た後、四隅にセーフモード、画面最上にXPの版数表示のまま、中央にマウスカーソル（動かせる）
この画面になり、5秒程度はHDランプがチカチカして、何かを探しているようだが、そのうち消灯、以降変化しない

壊れているモジュールなり、ファイルがあるのだろうか
再インストールは最後の手段として
やれることをご教授下さい

No.4 ベストアンサー 回答者： qneb 回答日時： 2009/10/22 23:41

脱却法を解明していただきありがとうございます。

今日、USB接続ハードディスクケースが届いたので自分なりに直してみました。

１．パソコンをバラしてハードディスクを取り出す
２．USB接続ハードディスクケースに取り出したハードディスクを入れる
３．正常に動くWindowsXPパソコンにUSB接続し、認識させる
４．-1 [スタート] ボタンをクリックし、[マイ コンピュータ] をクリック
　　-2[ツール] メニューの [フォルダ オプション] をクリック
　　-3 [表示] タブで、[すべてのファイルとフォルダを表示する] をクリック
　　-4[保護されたオペレーティング システム ファイルを表示しない (推奨)]
　　　チェック ボックスをオフ
　　-5[登録されているファイルの拡張子は表示しない]のチェックを外す
５．USBドライブのwindowsフォルダ→system32フォルダ→configフォルダを表示
６．このフォルダにある「SYSTEM」「SOFTWARE」「SAM」「SECURITY」「DEFAULT」の
　　5つのファイル（拡張子なし）を「SYSTEM.bak」「SOFTWARE.bak」「SAM.bak」　
　 「SECURITY.bak」「DEFAULT.bak」と名前を変更する

※このあたりは下のサイトを参考にしてください
http://blogs.yahoo.co.jp/kechi2adomin/17438345.h …

７．Windowsを再起動。Windows起動時にＦ８を連打して、セーフモードで起動
８．USB接続したドライブを開く
９．System Volume Informationフォルダがあるはず（セーフモードじゃないと見え
　　ないフォルダ）
10．System Volume Informationフォルダを右クリックし、[プロパティ] をクリック
11．[セキュリティ] タブをクリック
12．[追加] をクリックし、フォルダへのアクセス許可を与えるユーザー名を入力。
　　（一般に、これはログオンに使用しているユーザーアカウントです）
13．[OK] をクリックし、もう一度 [OK] をクリック
14．System Volume Informationフォルダをダブルクリックして開く

※このあたりは下のサイトを参考にしてください
http://d.hatena.ne.jp/FutabaUniv/20080711#121596 …

15．フォルダ内にある「_restore{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx}」を開く
16．後はＭＳのヘルプに従ってRP****フォルダで正常に動作していた頃の
　　ものを選び、フォルダ内にあるSnapshotフォルダを開く
17．_REGISTRY_MACHINE_SYSTEM
　　_REGISTRY_MACHINE_SOFTWARE
　　_REGISTRY_MACHINE_SAM
　　_REGISTRY_MACHINE_SECURITY
　　_REGISTRY_USER_.DEFAULT
　　上記５ファイルを手順「５．」にあるconfigフォルダにコピーする
18．コピーしたファイルの名前を「SYSTEM」「SOFTWARE」「SAM」「SECURITY」
　　「DEFAULT」に変える（拡張子なし）

※このあたりは下のサイトを参考にしてください
http://support.microsoft.com/kb/307545/ja
http://blogs.yahoo.co.jp/kechi2adomin/17438345.h …

19．ハードディスクをケースから取り出し、元のパソコンに戻す
20．電源を入れて立ち上がれば大成功！！

これで無事に再インストールすることなく以前の状態に戻すことができました。
しかし、どうも腑に落ちないのが「自動更新」が“無効”になっていたことでした。
それとまだ安心できないのが、「Windowsをシャットダウンしています」の画面のま
まで終了できないことです。もう少し調べてみようと思います。

この回答への補足

おめでとうございます。よかったですね。あともう少しですね
いろいろ調べているうちに、こんなサイトありました

Windows XPが立ち上がらない！ そのときの対処法
4. 回復コンソールによる復旧（1）
http://www.atmarkit.co.jp/fwin2k/operation/xprec …
5. 回復コンソールによる復旧（2）
http://www.atmarkit.co.jp/fwin2k/operation/xprec …

早く見つけれればよかった。ＭＳ本家のがわかりやすくまとめてあります
今回の事象では、上記サイトPAGE4,PAGE5が対象でしょうか。
PAGE6「修復セットアップによる復旧」（修復インストール）もやってみましたが、レジストリ自体が壊れたまま引き継がれるようで現象収まらずでした。

補足日時：2009/10/23 00:06

この回答へのお礼

判りやすく解説いただきありがとうございます。お礼申し上げます。
別件で、アドバイスした先でknopixでの方法がリンクされていました
参考になれば、劇的に効率よく作業できるでしょう
KnopixのCD焼きやDVD焼きを乗り越えて、1枚もっていると重宝しそうです。
System Volume Informationのアクセス許可の分がないだけでも非常に楽です。

回復コンソールでシステムの復元するには
http://okwave.jp/qa5386492.html

バタバタと3台発生後、新規には持ち込まれていないので
収束しつつあるのかもしれませんね

お礼日時：2009/10/24 11:19

No.10 回答者： shibarocky 回答日時： 2009/10/25 07:12

No.7です。

解決のための情報ではありませんが、こんなのがYahoo!ニュースに出てたようです。

国内60サイト以上が改ざん、Gumblar亜種が台頭か
10月23日14時1分配信 ITmedia エンタープライズ
http://headlines.yahoo.co.jp/hl?a=20091023-00000 …

本家
http://www.itmedia.co.jp/enterprise/articles/091 …

JRAだけが原因ではないらしいです。
60サイト以上って…。

この回答への補足

情報ありがとうございます
被害にあわれた方の復旧の参考になっているようで、皆様の協力や情報感謝しております。
VISTA不評から、XP残留組のWINDOWS7化がいっきに来そうです、
が私感では、まだ1年程度は様子を見たく、また個人・企業を問わず使い慣れたOS・ソフトは貴重な財産なので、
ウィルス防御駆除ソフトとバックアップは尚必要ですね

そろそろ役目を終えたようなので、1両日にて閉質しようかと思います。
各位様には、改めて回答欄にてお礼いたします。

補足日時：2009/10/25 10:19

この回答へのお礼

ありがとうございます
カスペルスキーが記事を出しています
YAHOOニュースにもでているのですね

カスペルスキー
Gumblar に酷似、新たな脅威発生に警告
http://www.kaspersky.co.jp/news?id=207578788
（以下引用です）
以下のような対策で、被害にあう可能性と二次感染の拡大を低減することができます。
・ブラウザなど のScriptや ActiveX の設定を OFF にする。
・Adobe Reader や Flash Player などを含むブラウザのプラグインに最新のパッチを適用する。
・一度感染が確認された場合、パスワードが盗まれている可能性が非常に高いため、パスワードの変更を強く推奨いたします。

お礼日時：2009/10/26 18:18

No.9 回答者： outing 回答日時： 2009/10/24 12:54

昨日夜に同症状に陥り、いろいろ調べています。

結構被害が広がってるみたいですね。

個人的には、ネットサーフ中に動作が急激に鈍くなり、
タスクマネージャさえ起動できず強制終了という感じでした。
gumblarの感染方法と同様ぽいですね。
Windowsアップデートに原因があるのか、それとも時期がたまたま重なっただけとかでしょうかね？

回復コンソールを使うにも、DVDは認識しているものの、読み込みができない様子。
破壊活動はしていないぽいので、しばらく情報を待ってあまり動かないようにしてます。

Torojan.Win32/Daonol.H
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答への補足

各社今回の件の新情報がでているようです

パソコンが立ち上がりません！
http://okwave.jp/qa5386727.html

補足日時：2009/10/24 13:32

この回答へのお礼

貴重な情報ありがとうございました
感謝しております。助かりました。
騒いだおかげで、各社対応が出揃いそうです。

お礼日時：2009/10/26 22:55

No.8 回答者： shibarocky 回答日時： 2009/10/24 08:05

No.7です。

解決のための情報ではありませんが、先ほど書いた回答のブログに新情報が。

http://prc.jp/jraracingviewer/info_pop091020.html

本件の顧客が、「競馬が趣味の人」という共通項目があったりして？

この回答への補足

ビンゴ！
多くは語れません。少なくとも1台は、ディスクトップに
JRA PAT for Windows V60のアイコンがあります。

補足日時：2009/10/24 10:16

この回答へのお礼

JRAは最も、良心的だったかもしれません
実は、国内総崩れになっているとは
JRAさん、少しふざけて表現してごめんなさい。
shibarockyさん貴重な情報ありがとうございました。

お礼日時：2009/10/26 22:57

No.7 回答者： shibarocky 回答日時： 2009/10/23 17:15

どうも富士通は事態を把握してるっぽいですが、リカバリ以外の修復方法を提示してません。

以下、事例。

http://orbit.cocolog-nifty.com/supportdiary/2009 …

ここのコメントに、MicrosoftTechnetのセキュリティチームの本日のブログ記事のリンクが出ています。

http://blogs.technet.com/jpsecurity/archive/2009 …

「Win32/Daonol」だそうです。
「WinPEイメージによる起動か、Windows Vista 以降の回復コンソール」で起動してレジストリを修正すれば直るらしいですが、自分は未確認です。

この回答への補足

ありがとうございます
参考になりました。

＞「WinPEイメージによる起動か、Windows Vista 以降の回復コンソール」で起動してレジストリを修正すれば直るらしいですが、自分は未確認です。
後半実験的に、WinPEイメージ系のツールを使ってみて、レジストリファイルを複写しました。うまくいきました。

補足日時：2009/10/24 11:32

この回答へのお礼

shibarockyさん、ありがとうございました
後半、WIN-PE系BOOT-CD使いました。
確かに楽です。
メーカーは、指導できないんだろうな、WINDOWS-OSもどきがらみは
LINUXぐらいならいいかも、なのに..相変わらず「再インストール」

お礼日時：2009/10/26 23:05

No.6 回答者： lgd9436 回答日時： 2009/10/23 08:56

lgd9436です。

先日からどうもありがとうございました。
http://dospara.okwave.jp/qa5379655.html
さて下段のウィルスの件、新情報です。
早速確認してみた所一昨日のチェックでは発見されなかったものが先ほどやってみたら出てきました。
すでに復旧してしまった後なので確かめる術もありませんが当初発見されたDelf系の亜種だったようです。
IEのtempファイル削除も必要かもしれませんよ。

この回答への補足

情報ありがとうございます。
ウィルス説が濃厚になりつつあるようですが
まだ継続して情報を待ちたいと思います。
貴重な書き込みありがとうございました。

補足日時：2009/10/24 11:29

この回答へのお礼

10/26 23:00 役目を終えたようですので、質問を締め切ります
ありがとございました。
お願い：同現象で復活できた方、その後どの駆除ソフトで何が検出されたかを、
画面が真っ黒だがマウスカーソルだけは動く
http://okwave.jp/qa5379655.html
にアップしていただくと、他の方の助けになると思います。
(lgd9436さん勝手に振りましたがよろしくお願いします)

10/26 時点の各PCメーカー社の対応状況とコメントをさせていただきます。

10/22【東芝】コンピュータウイルス「Trojan.Win32/Daonol.H」について
http://dynabook.com/assistpc/info/20091022.htm
10/26 復旧サービス開始
コンピュータウイルス「Trojan.Win32/Daonol.H」感染からの復旧サービス
http://dynabook.com/assistpc/anshintenken/malwar …
7,350円（税込）+東芝PC集中修理センタの場合、別途輸送費 2,520円

10/22【DELL】コンピュータウイルス「Win32/Daonol」に関するご注意
http://supportapj.dell.com/support/topics/topic. …
WindowsR XP の再インストールをしていただきますようお願い申し上げます。

10/25【NEC】コンピュータウイルスによるパソコン起動時の障害について
http://121ware.com/navigate/support/121cc/info/2 …
原則再インストール、復旧はAOS社に外注、費用は調査13000～数万円？

10/26【富士通】パソコンが起動しない！ウイルス「Win32/Daonol」の感染が拡がっています
http://azby.fmworld.net/support/security/informa …
富士通は大胆にも、このFAX情報サービスの中で、ユーザーにサポートＣＤ起動でコマンド打ちをFAX公開(5310#)しています
慎重にやれば、3ステップなので、ＭＳのコマンド打ちよりはましかも

10/26【ソニー】Windowsの起動時に真っ黒な画面になり、マウスポインターしか表示されない
http://search.vaio.sony.co.jp/solution/S09102110 …
WINDOWSも起動しないのに、回復コンソールのインストール？、結局再インストール

【日立】【SOTEC】【レノボ】 現在のところ発信無し

お礼日時：2009/10/26 22:52

No.5 回答者： foitec 回答日時： 2009/10/23 08:15

2009年10月15日頃から主にWindows XPを対象とした、マルウェアとが感原因と思われます。

このマルウエアに感染すると起動時にマウスポインタのみの表示となり、Windowsが起動しなくなる現象が発生します。
また、Windowsのセーフモードでの起動も出来なくなります。

原因は、「Torojan.Win32/Daonol.H」「TROJ_DELF.WQD」と呼ばれる(※）トロイの木馬型不正プログラムです。

別に起動できるHDDなどで起動してその感染HDDを駆除してください。

この回答への補足

確かにトロイの木馬が検出されました

現象の起こった NECマシンは返却がまだなので
継続して、こちらを参照させていながら、観察中ですが
お客様の入れていた MCAFEE CECURITY CENTER に1件
landoなるトロイの木馬が検出されました
レジストリもいじるように書いてありますので
同種または別名なのかもしれません
avastには検出されないのか調べたいところですが
時間的に厳しい(残作業がはかどらないため)
土日に目処ついたら..KEIZOKUしてみます

補足日時：2009/10/23 18:56

この回答へのお礼

ありがとうございました
しっかり、landoも対象のようです。
貴重な情報ありがとうございました。

お礼日時：2009/10/26 23:06

No.3 回答者： qneb 回答日時： 2009/10/21 22:31

回答ではありません。

申し訳ありません・・・。
私も同じ状態でどうしたら良いか困っています。
Microsoftに何とかしてもらうようにみんなで
働きかけませんか？

この回答への補足

補足回答をお借りして、少しでもお手伝いになれば...
この現象からのとりあえずの暫定的脱却法を教授します

原則は、この方法と同じことをやれることです
KB307545
「レジストリの破損により Windows XP を起動できなくなった場合の回復方法」
​http://support.microsoft.com/kb/307545/ja​
KB309531
「System Volume Information フォルダへアクセスする方法」
http://support.microsoft.com/kb/309531/ja

【TOOL】ただし、もっていないとならないツールがいくつかあります
1）必ずしも確実に対応操作できるなら必要ないですが
HDD(OSのあるパーティション）を完全にバックアップするソフト
お勧め「ACRONIS TRUE IMAGE 9 (10）(11)」(2009はXP SP2が対象外とあるの保証は無いかも)
最悪の失敗の場合、対応前に丸ごと復元できるので必要

2）回復コンソールのレベルの操作ができるツール(BOOT-CD系を使用)
(MicrosoftからFD版6枚の回復コンソールをダウンロードしても可)
WINDOWS XP SP2 の製品版またはDELLなどのインストールCD(全部とは限らない）
(NEC、FUJITSU、東芝、SONY、HITACHIなどのリカバリCD系ではダメです、回復コンソールが使えないので)
BOOT-CD系(KNOPIXやBART-PE,HI????BootCd v10など）があれば楽、代用可
(BOOT-CD系を使う場合、アクセス権の権限の問題で拒否されるSystemVolumeInformationが見れファイルコピーまでできるかが鍵です）

【概要】
1)確証はないのですが、Windowsロゴからようこそ画面に移り変わるときに、レジストリを見に行ってるようで、レジストリが壊れていて、しばらく探すが見つからないか設定が判断できなくて、ダンマリ

2)5個のレジストリファイルの内「System」ファイルが本物(c:\windows\system32\config)から消失または破壊されているので動きようがない状態（壊れ方解析と現物修復のレクチャは別な人に、まかせます）

3)一時的に初期インストール時のレジストリリペア内(c:\windows\ripair)5個を本物にコピーにしてやり、Windows XP(構成が再インストール初期状態)で立ち上げる
(「System」が無ければ「System.bak」をリネームして本物にコピー）
(次の4番目操作のアクセス権の権限で拒否解除が必要なければ、またBOOT-CDならこの操作は必要ないかも)

4)KB309531「System Volume Information フォルダへアクセスする方法」
http://support.microsoft.com/kb/309531/ja
でアクセス権の権限をすべて許可にする
（作業完了時には戻すこと、セキュリティが低下することになる）

5)2～3回前の、システム復元用のバックアップされたレジストリ(SystemVolumeInformation内snapshot)
から強制コピー・リネーム（5個の同時)して、本物(c:\windows\system32\config)にすり替えてやれば
とりあえずその時点レベルでの起動ができる
（ただし、プログラムや各種設定は当然その古い時点に戻るので、その間分のシステム変更内容は使えないがデータ系ファイルは多分使える）

【注意】メモリやHDDに異常が無いことは先にチェックしておくこと
移す先のファイルのバックアップは確保、5個一緒にコピーすること、スペルミスは命取り

1台はsector errがあり、HddRegenerator1.7.1にて修復してからやりました
全ては自己責任ですので、この内容(microsoftの内容)が理解できなければ
専門家に頼んだ方がいいです

補足日時：2009/10/22 19:24

この回答へのお礼

ありがとうございました。
これをきっかけに、全体像が見えてきました。

お礼日時：2009/10/26 23:08

No.2 回答者： violet430 回答日時： 2009/10/20 03:18

同じような質問が昨日も有りましたけど。

Windows Upateが原因とすえば、再セットアップで良いのではないでしょうか？
他に対処したいので有れば、過去ログを探してみて下さい。

この回答への補足

とりあえず復旧に光がみえそうです
レジストリの1つsystemが問題のようです
レジストリの破損により Windows XP を起動できなくなった場合の回復方法
http://support.microsoft.com/kb/307545/ja
をコツコツ実施中です
step1を実施して、初期状態で立ち上がるようになったので
これから、System volume Information 内のsnapshotから1つづつ
レジストリを戻して最新に向かっては、確認していこうと思います
逐一Acronis True Imageでバックアップしながらなので
時間がかかりそうですが、次回から手順化できるかもです

再インストールが早いのはいいのですが、環境全て初期になるので
顧客にとってはメリットが無いです
助言ありがとうございます
結果はまたご報告します NGの場合また助言いただければありがたいです

根本の原因は何かも、さぐれればいいのかもしれませんが
今夜は徹夜かも、がんばります。

補足日時：2009/10/20 17:52

この回答へのお礼

お礼が遅くなりました。ありがとうございました。
検索に数件ヒットし、類似現象が頻発していることを
改めて知りました。
最初の検索語がまずかったようです（反省）
ご指摘ありがとうございました。

お礼日時：2009/10/26 15:39

No.1 回答者： gonveisan 回答日時： 2009/10/20 01:22

類似質問多数発生なにかあるのではないでしようか

この回答への補足

また、今朝、1件問い合わせがありました。
別の顧客です。
機種は未確認ですが、メーカーはSOTEC,OSはXP
これから持ち込んでこられるとのこと
東芝のマシンはサポートに聞いてみましたが、再インストールしかないとのこと、類似情報ないか聞いてみましたが、特にないと
しばらく、みなさん警戒していた方がいいかもです

補足日時：2009/10/20 11:43

この回答へのお礼

質問回答からだいぶ時間（6日）が経ってのお礼になりますが
ありがとうございました
「類似多発」とありましたので、少し力を入れてしまいましたが
おかげ様で無事復旧できました。

お礼日時：2009/10/26 15:36