Kijimomi_Rogo
現在時刻:ブラウザが対応していません

御用の方はMail(higashino@kijimomi.net)か
090-3862-4947
※ JavaScriptをOnにしてください

Google
WWW kijimomi.net を検索

京都府八幡市で、パソコンのトラブル解決、インターネットの接続・設定、OSやアプリケーションのインストールなどを出張対応で行っています。
インターネット、ネットワークやPCに関することなら何でも相談ください。(Windows系 Only)
テリトリー :京都南部(伏見区、久御山町、八幡市)、枚方市くずは地区、その周辺  Mail( higashino@kijimomi.net )か090-3862-4947迄

パソコンの故障(Trable)の回復について

 【HDD(ハードディスク)の故障が疑われる時は、データ救出を 優先で!!】

MEMO

ここに記載した解決方法は、インターネットで公表されているもので、全てを私が試してトラブルを解決いたものではありません。
また、PCのトラブルはそのシステム構成や履歴により現れる表示や現象が変化し、同じトラブルでも異なった原因に見えるものも多数あります。
対処を誤ると現象がさらに悪化、リカバリーを余儀なくされる場合もあることをご理解のうえご利用ください。
同じ対処でトラブルが治るという保証をしているわけではありません。
このトラブル対応策は基本的にディスクトップPCに対するものと考えてください。
一部、ノートPCにも触れていますが、ノートPCの場合
  • 共通パーツがディスクドライブぐらいに限られる。(しいて拡大してPCカードで代替ぐらい)
  • ボードが見えるところまで分解することが非常に難しい。
等、一般ユーザーがハードウエアーを修理、交換することや不良個所をチェックすることが難しく、また、ディスクトップPCでも、LCDディスプレー一体型や、マルチメディアPCの場合も、パーツやドライバーの入手ができないものが多いためメーカー修理に出されることをお勧めします。【ノートPCの場合、基本的にソフトウエアー対応以外は困難です。】
起動時
電源が入らない
◆パイロットランプが点灯しない
1.主電源がOFF、電源コンセント抜け、テーブルタップのスイッチOFF 等
2.電源ボタンの押しすぎ
3.電圧設定スイッチの設定違い
4.電源ユニットのスイッチがOFF
5.電源ケーブルの挿し込みが甘く、通電していない
6.高温のためのサーキットブレイク
7.帯電・過電圧のためのサーキットブレイク
8.パソコンに安定して100vの電圧が届かない
1.バッテリーの劣化(ノートパソコンの場合)
2.電源ユニットの故障
3.CMOSバックアップ用ボタン電池の劣化
4.マザーボードの故障
5.CPUの故障
6.VGAケーブルのプラグまたはソケットの故障
7.メモリーの故障
8.ビデオカード装着不良
  • BEEP音が鳴らない
1.マザーボードの動作不良
2.電源ユニットの不良
3.CPUの故障
4.CMOSバックアップバッテリーの劣化
5.ディスプレィの故障や接続ミス
  • BEEP音が鳴る
1.増設カードの動作不良
2.電源ユニットの不良
3.グラフィックカードとモニタープラグの接続不良
1.電源ユニットがオーバーヒートでStop
2.CPUクーラーのごみ詰まり
3.CPUクーラーのファンの故障
4.CPUとクーラーの接触不良
5.排風口がごみ詰まり(特にノートパソコン)
  • ブルースクリーンで止まるか、自動的な再起動を繰り返す
1.ハードディスクの物理的障害(ハード的)
2.ハードディスクの起動情報の誤り(ソフト的)
3.メモリ不良
4.ディバイスマネージャーの異常
下記の表示が出てSTOP。(MBR、PBRの修復)
• Invalid system disk
• Operating System not found
いずれかのエラーを表示して止まる。
• Missing operating system
• Error loading operating system
1.ハードディスクの起動情報の誤り
2.ハードディスクの物理的障害
3.メモリー不良(相性を含む)
NTLDR is missingの表示で止まる
1.Windows起動プログラムの異常
2.起動時にフロッピーディスクやCD、DVDが入っている
******** \system32\hal.dll上記のファイルをインストールし直してください の表示で止まる
1.boot.iniファイルの異常
2.hal.dllの破損
・・・・ntoskrnl.exe(Windows2000)
・・・・hal.dll(Windows 7)
・・・・hal.dll(Windows XP)
1.boot.iniファイルの異常
2.本当にntoskrnl.exeが失われたか、壊れている
3.レジストリーの異常
Vista & Windows7
1.システム回復オプションで回復
2.システム回復オプションのコマンドプロンプトからbootrec␣/RebuildBCD
ネットワークのトラブル
★光回線の終端装置やADSLモデムの電源は入っているか?
終端装置やモデムのランプ類は正常か?
1.LAN設定ができているか?
2.何処まで繋がっているか?
3.LANボードやカードが正常に動作しているか?
4.アンチウィルスソフトやファイアウォールのソフトが邪魔をしていないか?
5.ネットワーク設定が環境に合っているか?
6.DHCPサーバーの割り当てトラブル
1.接続先のパソコン、機器へ「 ping 」が通るか?
2.LANケーブルの確認
1.セキュリティーが設定が子機(PC)と合っているか?
2.アクセスポイント機器に「 ping 」が通るか?
3.クライアント数が超えていないか?
4.ブリッジ接続になっていないか?
5. 2.4GHz相互に干渉
6.ウイルス対策ソフトが邪魔をしていない?
インターネットへの接続トラブル
★光回線の終端装置やADSLモデムの電源は入っているか?
終端装置やモデムのランプ類は正常か?
1.アンチウィルスソフトやファイアウォールのソフトが邪魔をしていないか?
2.ルーターへの「 ping 」
3.ルーターとプロバイダーのサーバーとの接続
4.接続詳細図通りか(電話と共用の場合(IP電話を含む))
5.経路障害
1.IPv6を実行コンピュータがサイトにアクセス時
2.hostファイルに変な記述がないか?
その他色々
◆ウイルス
◆ウイルス対策ソフト対策
§電源が入らない(1)
(パイロットランプが点灯しない)
○パソコンの故障ではない場合
パソコンが起動しない、立ち上がらないといっても、パソコンの故障ではないことが結構多い。
順番に解説しますので、確認してください。
1.パソコン操作・設定ミス
パソコンの主電源がOFFになっていたり、電源コンセントが抜けたり、テーブルタップのスイッチがOFFになっている(OAタップにはスイッチがある場合があります。)などの場合:
電気が来ていないとどうしようもありません。
パソコンの電源ボタンの押しすぎ:
電源ボタンを長く押し続けるとパソコン強制終了の合図と勘違いして起動中のパソコンが落ちてしまうこと(機種によって)があります。パソコンの主電源スイッチは確実に短時間だけ押す。
電圧設定スイッチの設定違いでパソコンが起動しない場合:
自作パソコンやショップブランドパソコンなどの場合、電源ユニットに電圧設定スイッチがあります。これが115vでなく230vになっていると、パソコンは起動しません。
電源ユニットのスイッチがOFFになっていて起動しない場合:
自作パソコンやショップブランドパソコンなどの場合、電源ユニットにスイッチが付いている場合があります。「 1 イチ 」「 0 ゼロ 」のスイッチなので「 0 」=「 OFF 」になっていたらもちろん電源は入りません。、パソコンは起動しません。
パソコン本体側で、電源ケーブルの挿し込みが甘く、通電していない場合:
(特にノートパソコンの場合、ACアダプターの一次、二次側両方に差し込みがある場合が多く、電源の接触不良が結構多い。)
電源ケーブルが抜かれた状態で、電源ボタンをカチャカチャ押してから、ケーブルを挿し直してみてください。
(一旦放電させる)
2.高温・過電圧で一時的サーキットブレイク
高温のためのサーキットブレイク:
パソコンの内部ユニットが高温になりすぎてサーキットブレイカーが利いてパソコンが起動しない。
(使用中にHungUpして、再起動できない。)1時間以上は待ってから、再度起動を試みましょう。
帯電・過電圧のためのサーキットブレイク:
パソコン本体に不必要な電気が帯電していて、正常に起動しない場合もあります。パソコンから電気を逃がしてやる操作が必要です。デスクトップパソコンの場合は、電源ケーブルを一旦引っこ抜いてしばらく待ってから、電源ケーブルを再度挿して、起動を試みましょう。ノートパソコンの場合は、パソコン内部にバッテリーもついていますから、電源ケーブルを抜いた上にバッテリーも一旦はずして一息待ってから再度挿してみましょう。
3.ノートパソコンの場合、内臓バッテリーが劣化すると起動しない機械があります。
内蔵バッテリーの劣化:
内蔵バッテリーを外してAC電源だけで起動してみる。
(メーカー、機種によってバッテリー無しでは起動しないものもあります。)
4.電源電圧不足で起動しない
たこ足配線のしすぎ、電圧を食う家電の同時使用で、 パソコンに安定して100vの電圧が届かない:
電圧が安定していないとパソコンは起動しないことが多い。
電気を食う家電の使用を一旦やめて起動を試す。また、延長ケーブルやたこ足配線を使っている場合は、一旦壁の電源コンセントに電源ケーブルを直接挿して、起動を試してみる。
これで動けば電源電圧不足です。
(配電盤・ブレーカー不具合 配電盤・ブレーカー、変圧器などの問題で電圧が慢性的に不安定になってしまっていることもまれにですが起きます。この場合は、蛍光灯がちらつく、ほかの家電も動作不良になったりすることが同時に起きるはずです。まれですがこういった原因でパソコンが起動しなくなっている可能性もある。)

§電源が入らない(2)
(パイロットランプが点灯しない or ・・・高速点滅・・・)
○パソコンのハードの故障の場合
パイロットランプが点灯しない or 薄らと点灯(高速点滅)という障害は、パソコンの故障としては、かなりの重症の可能性大です。 (内部コネクターの接触不良なんて場合もありますが、これも確認がかなり大変です。)
1.バッテリーの劣化のチェック(ノートパソコンの場合)
バッテリーを外した状態で電源をOn:
起動するようなら、バッテリーの劣化、バッテリーの故障が考えられます。
バッテリーを充電しなおしてから再度起動してもだめなら、バッテリーを買い換え。
常時電源ケーブルをつないだ状態で利用することで当面の問題を回避できます。
(メーカー、機種によってバッテリー無しでは起動しないものもあります。)
2.電源ユニットの故障のチェック
ビープ音の有無による判別
ビープ音がせずにパソコンが起動しない:
(BIOSが立ち上がっていない)
  • 電源ユニットかマザーボード(CPUを含む)の故障
電源ユニット簡易確認方法:
ATXのPowerConnector PS-ON(14番ピン・・緑線)とCOM(黒線)を短絡(20Pの場合)させて・・・ON信号
(24Pの場合は16番ピン)
·電源ユニットのファンは回るか?
·黒線(COM)と赤線(5V)、黒線(COM)と黄線(12V)がOKか?(テスターがあれば・・・)
ダメな場合、ヒューズが切れていないか確認。(ヒューズの場所は決まってません。色々です(-_-;))
  • CMOSバックアップ用ボタン電池の劣化
バックアップ電池(ディスクトップの場合)CR2032の電圧は?:
3Vある?(2.8Vではちょっとヤバイ・・・容量がなくなっている場合があるので、抵抗を入れて測ること)
※ ノートパソコンの場合はほとんど対応不可です。(修理依頼を考えてください。)
  • 以下、 完全に外科手術の領域になります。 (手術しても治るかどうか分かりません=趣味の世界)
(一時的に治っても、他のところが故障する可能性大!・・・ユニット交換した方がBetter!!)
·電源ユニットの電解コンデンサーが膨れてないか?:
膨れているコンデンサーを交換(半田付け)すれば治るかも・・・
·マザーボードの電解コンデンサーが膨れてないか?:
膨れているコンデンサーを交換(半田付け)すれば治るかも・・・
3.マザーボード(またはCPU)の故障
黒い画面上にNo signalと表示される場合:
  • マザーボードが故障している可能性が高い。
VGAケーブル 【D-Sub16、DVI、HDMI】 のプラグまたはソケットの故障・・・緩み、ピン折れ等確認。
⇒ No Signalとはパソコンから電気信号が出ていないという意味。
  • CPUがアウト!
マザーボードの故障かCPUの故障か?:
切り分けは非常に難しく、正常なCPUと差し替えして確認する以外確実な方法はありません。
(オーバークロックでの使用 やクーラーの接触不良でもない限り、CPUの故障は確率的に非常に稀です。)
4.起動スイッチ信号線とマザーモード信号ピンの接触不良。【電源に問題ない場合】
  • 一度抜いて再度差し込んでください。(極性はありません。)
5.メモリーの故障 (使用中に起きることはまず有りません。【メモリー増設時の静電気破壊や相性】)
  その他VGAカードなどの故障
ビープ音が鳴ってパソコンが起動しない:
(少なくともBIOSは起動しています)
メモリーや増設カードが故障している可能性が高い。最少構成(マザーボードとメモリー)の場合はメモリーの故障。
マザーボードによって警告音は違います。
(説明書参照)
参考: <http://www.redout.net/data/bios.html>
  • CMOSクリアして最小構成で確認。(マザーボードとメモリーのみ)
マザーボードとメモリーのみでアウトならメモリーの可能性大。
OKならなら順番に構成部品を付けて確認。
  • ビデオカードやメモリの装着が悪い?:   再度挿し込み状態を確認して下さい。
  • メモリについては複数接続している場合: そのうちの1枚のみ接続し、確認する。
状況が改善しない場合には、他方の1枚のみでの接続を試みる。
  • グラフィックカードとモニタープラグの接続不良確認。
電源ユニットやマザーボードに故障がある場合は、パソコンを自作できる人でもないと自分で修理することは困難です。
※ ノートパソコンの場合、自分で修理することは普通の人にはまず不可能です。・・・趣味の世界になります。
※マザーボードの故障 ・ CPUの故障
非常に確認が難しいです。(壊れる前に色々変な現象が出るのが普通です。)
電源がOKで、マザーとメモリーだけで全く起動しない場合は、マザーの可能性が大です。
コンデンサーの交換で動作する場合もありますが、3年以上使ってれば交換か、機種買い替えがお勧め!!
(通常の使用をしていた場合、CPUの故障はほとんどありません。)

§電源は入るが画面に何も出ない (黒い画面上にNo signalと表示される場合を含む)
1.BEEP音が鳴らない。(BEEPスピーカーがマザーボードに正しく接続されていること。)
BIOSがBEEP音で異常を知らせる機能が働かない :  BIOSが正しく起動・動作していない
:  PCは正常に起動しているが画面に映らない
ということです。
画面が表示されない場合、
CPUが動作していない可能性
マザーボード上にパイロットランプが有れば(ない場合もある)点灯を確認。
マザーボードの故障かCPUの故障か? の切り分けは非常に難しく、正常なCPUと差し替えして確認する以外確実な方法はありません。
(オーバークロックでの使用 やクーラーの接触不良でもない限り、CPUの故障は確率的に非常に稀です。)
2.CMOSバックアップ用ボタン電池の劣化
PCは正常に起動しているが画面に映らない
3. ディスプレィの故障・接続ミス
  • ディスクトップPCの場合
ディスプレィの電源は入っているか?・・・パイロットランプ確認 電源ケーブル確認
ディスプレィのケーブル類の接続は?・・・PC側 ディスプレィ側
  • ノートPCの場合
外部ディスプレィに切り替わっていないか・・・Fnキーを押しながらファンクションキーのDSPKEYマークのキーを押す
リセットスイッチを押してみる (本体の底面にピンの先で押すスイッチ・・・ない場合もあります)
4.BEEP音が鳴っている
少なくともBIOSは起動しています:(完全かどうかはともかく)
画面に何も出ないようであれば、VGA関係に異常 がある可能性が大です。
  • 警告音から判断します。
マザーによって警告音は違います。
(説明書参照)
参考:<http://www.redout.net/data/bios.html>
  • CMOSクリアして
最小構成で確認・・・・(マザーボードとメモリーのみ)
マザーボードとメモリーのみでアウトならメモリーの可能性大。
OKならなら順番に構成部品を付けて確認。
  • ビデオカードやメモリの装着が悪い?:   再度挿し込み、状態を確認して下さい。
  • メモリについては複数接続している場合:  そのうちの1枚のみ接続し、確認する
状況が改善しない場合には、他方の1枚のみでの接続を試みる。
  • グラフィックカードとモニタープラグの接続不良確認。

§数秒から数十秒で電源が切れる
空気取り入れ口やファンが埃で詰まっていないか?
  • CPUの熱暴走
CPUクーラーのごみ詰まり
CPUクーラーのファンは回っているか? ごみは?
CPUとクーラーの接触不良(自作機やBTO以外はまず有り得ませんが・・・・)
放熱フィンを触ってみる(火傷注意!)・・・全く温かくなっていなければ問題!!
  • ノートPCの場合、CPUの排風口がごみ詰まりで起こる場合があります。分解方法が分かれば掃除を・・・

§BIOSからOS起動で停止する。 または、再起動を繰り返す。
Windowsロゴの出る起動画面になり、しばらくしてからブルースクリーンで止まるか、自動的な再起動でまた「 ご迷惑をおかけしております 」→Windowsロゴ→再起動…の繰り返し。
  • ハードディスクの物理的障害 もしくは 起動情報の誤り(起動情報の書き換わり)
  • メモリ不良で システムを部分的に読み込めない
のどちらかで 発生します。
ハードディスクの物理的障害の場合、下手に回復を試みるとデータが破壊されることがあります。
※ ハードディスクからのデータ救出が必要な場合
ハードディスク故障時にやってはいけない4つのこと
1)むやみにパソコンの再起動を繰り返さない
2)下手にフリーのファイル復旧ソフトを使わない
3)ハードディスクの基盤を交換したり、開封したりしない
4)RAIDで障害が出たときに、むやみにディスクの入れかえやリビルドをしない
データが最優先ということなら、データ復旧の専門業者へ依頼
物理的に壊れている場合は専門業者でないとどうしようもありません。ウン十万円単位!!です
※ 物理的に壊れているハードディスク(HDD)からデータを救出する場合は、特別な部屋と設備、装置が必要で、パソコンショップや量販店で対応できるレベルではありませんので専門の業者にお願いするしかありません。
会社関係でデータ救出がどうしても必要な場合以外、費用的に一般ユーザーが手を出せるレベルではありません。
1.物理的破損の場合 ◎出来る対処は、限られます。
やれること。
• 別のPCにハードディスクを接続して認識するか?(内部が読めるか)
• Knoppix、UbuntuやWindowsPE で読めるか?
• リカバリーCDやインストールCDで「 コマンドプロンプト 」⇒ ディスクが開けるか?
・・・読めれば取りあえずデータ救出(物理的破損の場合は、運が良ければ・・・の話)
2.ハードディスクのインターフェイス関係のトラブルの場合
別のPCにハードディスクを接続して見てみる。
3.ディスクが認識できるとき
回復コンソールを使ったエラーの修復方法
Windows のセットアップ CD (注:リカバリーCDではない)又はフロッピーでパソコンを起動し
1)「 セットアップの開始 」画面が表示されたら、キーボードの「 R 」(修復)ボタンを押す。
2)次の画面で「 キーボードの種類 」が求められるので、画面の指示に従って選ぶ。
3)回復コンソールが起動します。
「 どのWindowsインストールにログオンしますか? 」でキーボードの「 1 」ボタンを押して、「 Enter 」ボタンを押します。
4)もしパスワードの入力が求められた場合は、パスワードを入力する。
5)C:\WINDOWS にログオン後、
6)「 cd c:\ 」と入力し、キーボードの「 Enter 」
7)「 fixmbr c: 」と入力し、キーボードの「 Enter 」
「 **警告** 」が表示されるので内容をよく読む。
8)メッセージが表示されたらキーボードの「 Y 」ボタンを押します。
9)「 新しいブートレコードは正しく書き込まれました。」と表示される。
10)「 EXIT 」「 Enter 再起動したら、同じ手順で「 fixboot c: 」と入力
11)最後に「 EXIT 」と入力すると、パソコンが再起動するので、「正常に起動するか? 」 を確認
起動しない場合: 緊急起動ディスクから
4.メモリ不良による起動時のメモリ読み込み不良
memtest86、memtest86+でメモリーチェックでメモリーチェックを行う
エラーがあった場合、メモリーの挿し直しを試みる(新規、増設時・・・それ以外はダメ元!)
5.Windowsロゴが出て、画面が暗くなり、左上にプロンプト。起動が止まる。
ディバイスマネージャーの異常。
Windowsロゴが消えてから止まる時に読み込中のディバイスマネージャーを削除して再起動してみる。

§下記のエラー表示で止まる(1)
メーカーロゴの表示の後、黒い画面で停止 メーカーロゴの表示の後、黒い画面でカーソルが点滅
Invalid partition table Invalid system disk
Invalid partition table Non-System disk
Operating System not found Missing operating system
Error loading operating system NTLDR is missing
ハードディスクは「 起動に必要な Windows プログラムがハードディスクのどの場所に保存されているか 」や「 パーテーションの位置情報 」などの基本的な情報を持っています。
この設定が壊れたり、書き換わってしまって、Windows プログラムが見つけられず「 Operating System not found 」等と表示されます。
各エラーは、ハードディスクの持つ情報が壊れてしまったときに発生するトラブルのひとつです。偶発的に書き換わってしまったか、またはハードディスクの物理的な故障で発生します。
そしてこの設定が書き換わってしまった影響で、Windows プログラムが見つけられず文字通り system disk や OS (Windows)が見つからないと表示されます。
パソコンメーカーのサポートでは、論理的・物理的な障害を問わず「 ハードディスクの故障 」として対応。
(ハードディスクの交換と工場出荷時(購入時)の状態に戻すだけになります。・・・中のデータはアウトです。)
注:起動時にフロッピーやCD、DVDが入っている場合も・・・(BIOSの起動順の設定によりますが)
1.エラー発生時の対処方法:
回復コンソールを使ったエラーの修復方法
Windows のセットアップ CD (注:リカバリーCDではない)又はフロッピーでパソコンを起動し
1)「 セットアップの開始 」画面が表示されたら、キーボードの「 R 」(修復)ボタンを押す。
2)次の画面で「 キーボードの種類 」が求められるので、画面の指示に従って選ぶ。
3)回復コンソールが起動します。
「 どのWindowsインストールにログオンしますか? 」でキーボードの「 1 」ボタンを押して、「 Enter 」ボタンを押します。
4)もしパスワードの入力が求められた場合は、パスワードを入力する。
5)C:\WINDOWS にログオン後、
6)「 cd c:\ 」と入力し、キーボードの「 Enter 」
7)「 fixmbr c: 」と入力し、キーボードの「 Enter 」
「 **警告** 」が表示されるので内容をよく読む。
※不安であれば、[ N ]キーを押して、[exit]で作業を中止し。
【【WindowsXPの上書きインストール】を試してください。
8)メッセージが表示されたらキーボードの「 Y 」ボタンを押します。
9)「 新しいブートレコードは正しく書き込まれました。」と表示される。
10)「 EXIT 」「 Enter 再起動したら、同じ手順で「 fixboot c: 」と入力
11)最後に「 EXIT 」と入力すると、パソコンが再起動するので、「 正常に起動するか? 」 を確認
上記手順を試しても「 invalid system disk 」等のエラーが解消されない場合、データ救出(xcopyコマンド or Knoppix?)
2.BIOSトラブル:( 起動ディスクの指定が違う
起動ディスクの指定はあっているか?
BIOS設定画面の「 EXIT 」メニューにある[Load Setup Defaults]を選択
or
CMOSクリアーを行う。(Defaultに戻す)
3.ハードディスク障害
ハードディスク自体が物理障害などで認識できなくなった。
基本的には諦めてください。!!
データが重要ならデータレスキュー専門業者に任せる作業です。(ウン十万円単位!!
knoppix、ubuntu、Windows PE 等で起動後ハードディスクにアクセス可能であればデータの救出を優先してください。
※:chkdskを行うとデータを壊すこともあります。
ダメもとで
根気よく何度かCHKDSKをかけ、認識するまでやる。(chkdsk c:␣/f・・・MFTの修復)
認識してくれたら即、BackUp(もちろんダメな場合も結構あります!)
4.メモリ不良
特定のエリアのメモリ不良で、システムをメモリに読み込めず、一瞬のブルースクリーン後、再起動になってしまう。
メモリーが2枚挿しの場合、入れ替えてみる。(取りあえずの緊急手段)
メモリーの交換しかありません。
※:メーカー製PC(特にコンシューマ用)は必ずメーカー名、型式を言って購入すること。
非常に相性の厳しい部品です。
5.マザーボードの電池を交換したら直った
§下記のエラー表示で止まる。(2)
NTLDR is missing(Windows NT、2000、XP)
無効なBOOT.INIファイルです
Windows を起動するプログラムが壊れてしまうと、起動に失敗します。
boot.ini
NTDETECT.COM
ntldr
bootfont.bin
この4つのファイルがそろっていない場合に出ます。
ドライブを読みに行くことまではOKですが
  • 見当違いなところを読みに行っている
  • MBR(マスターブートレコード)のパーティションテーブルの記述が間違っている
  • 上記4つのファイルのうち幾つかを消してしまった(消えてしまった)
注:起動時にフロッピーやCD、DVDが入っている場合も・・・
回復:
1.セットアップディスクから
1)オリジナルセットアップCD-ROM(メーカー製PCの 再セットアップCD-ROM ではない)を使って起動し、回復コンソールを起動
2)FIXMBRコマンドでMBRの修復
3)CD-ROMの\i386ディレクトリから、ntldr と ntdetect.com と bootfont.bin と boot.iniを、C:\ にコピー
「 bootcfg␣/rebuild 」コマンドで修復を試す。再起動
4)NTLDR is compressed が出たら、回復コンソールで起動し、copmact␣/u C:\NTLDR としてみる
注:オリジナルCDは同じWindowsのもの!!
2. 緊急起動ディスクから起動できる
1)緊急ディスクで起動
notepad.exeでメモ帳を開き
boot用ファイルコピー バッチファイル作成。A:にセーブ
attrib -s -h -r a:\nt*
attrib -s -h -r a:\boot*
attrib -s -h -r c:\nt*
attrib -s -h -r c:\boot*
copy a:\ntldr c:
copy a:\ntdetect.com c:
copy a:\boot.ini c:
copy a:\bootfont.bin c:
attrib +s +h +r c:\nt*
attrib +s +h +r c:\boot*
(*:wildcard character)
a.batで保存。
2)緊急起動フロッピーをA:に入れたままa.batを実行
(·boot.ini ·ntldr ·ntdetect.com ·bootfont.bin をC:にcopyするbatchファイルを実行)
3)以上でフロッピーを抜いて再起動

§下記のエラー表示で止まる。(3)
<Windows root>\system32\hal.dll.
■上記のファイルをインストールし直してください。

1.「 boot.ini 」に書かれている情報が間違っている場合:
起動時に「 hal.dll 」エラーが出てきたりして停止する場合があります。
  • boot.iniの修復
オリジナルセットアップCD-ROM(メーカー製PCの 再セットアップCD-ROM ではない)を使って、
回復コンソールを起動
回復コンソール C:\WINDOWS>から
「 bootcfg␣/rebuild 」 と入力
>Windowsのインストールの全てのディスクをスキャンしています
>Windows のインストールのスキャンは成功しました。
>メモ : これらの結果は、このセッションで静的に保存されます。
>このセッションの間ディスク構成が変更される場合、更新されたスキャンを取得するために、最初に再起動して、ディスクを再スキャンしてください。
>Windows のインストールとして認識された合計数 : 1
>[1]: C:\WINNT
>インストールをブート一覧に追加しますか? (Yes/No/All) :
ここで「 Y 」を入力
>読み込み識別子を入力してください :
ここで起動させるWindowsXPのタイトルを入力します(Home Editionであればそれを入力)。
次に
>読み込みオプションを入力してください。:
「 /fastdetect 」 と入力
>Windows のインストールのスキャンは成功しました。
と出れば一応成功したということなので
C:\Windows>EXIT と入力
再起動が始まるのでそのまま待機。
そうすると選択メニューが出てくるので、先ほど入力したWindowsのタイトルの方を選択。無事デスクトップの画面が出てくれば修復完了です。
2.「 hal.dll 」が破損している場合
  • hal.dllの修復
オリジナルセットアップCD-ROM(メーカー製PCの 再セットアップCD-ROM ではない)を使って、
回復コンソールを起動
回復コンソール C:\WINDOWS>から
「 cd system32 」 と入力
「 ren hal.dll hal.dll.bk 」と入力して(念のためBackUp)
「 copy X:\i386\hal.dll c:\windows\system32\hal.dll 」と入力
X:CD-ROMドライブ)
これで hal.dll が再生できたので
C:\Windows>EXITで戻る。
これでも直らない場合は、別の問題です。
§下記のエラー表示で止まる。(4)
次のファイルが存在しないかまたは壊れているため、Windowsを起動できませんでした:
<Windows root>\system32\hal.dll.
■上記のファイルをインストールし直してください。

・・・・ntoskrnl.exe(Windows2000)
・・・・hal.dll(Windows XP)
1.主な原因は、boot.ini。
KnoppixかUbuntuで起動させ、C:相当ディスクのboot.iniを修復(boot.iniはC:の直下)
boot.iniの内容:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
3行目:特殊なことをしていない限り、「 rdisk(0)partition(1) 」になる
5行目:/noexecute=optin → バッファオーバーフロー対策用起動オプション(XP SP2以降・・・それ以前は削除)
注:\WINDOWS・・・2000では\WINNT。XPの場合2000からUpGradeの場合\WINNT
2.本当にntoskrnl.exeが失われたか、壊れている場合(駄目な場合)
回復コンソールを起動
C:\WINDOWS\SYSTEM32>ren ntosknl.abc(念のためリネームして置いておく)
Windows XP CD-ROM から ntosknl.exe ファイルを復元
expand X:\i386\ntosknl.ex_ c:windows\system32 (X:CD-ROMドライブ)
「 1 ファイルを展開しました。」
「 exit 」で回復コンソールを終了。
コンピュータを再起動。
これで解決できない場合、レジストリ?? Windowsを起動できない場合のレジストリの修復を参照。
★VistaやWindows7の場合は boot.ini なし。起動情報はbootmgr(BinaryFile)。BCD(Boot Configuration Data)ストアという新しいブート・メカニズムを利用しています。

§Windows Vista & Windows 7 の 修復 (非常に面白い実験が載ってます。 参考になります。)
※ プレインストールのPC(インストールディスクが添付されない)の場合は「 システム修復ディスク 」を必ず作成してください。
システム回復オプションからの操作が基本です。
Windows7の「 インストールDVD 」 または 「 Windows7の修復CD 」で起動
Windowsの起動時ロゴマークが表示される手前から「 F8 」を押し続けます。
詳細ブートオプション 」が表示されるので、カーソルキーで「 コンピューターの修復 」を選択。
その後はウィザードに表示される指示に従い、キーボードの種類やユーザー名・パスワードなどの入力を行うと「 システム回復オプション 」が起動。
回復ツールを選択する。
【スタートアップ修復】
システム ファイルの欠落や損傷など、Windows の正常な起動を妨げる可能性のある特定の問題を修復します。
スタートアップ修復を実行すると、コンピュータに問題がないか調べられて、コンピュータを正常に起動できるように問題の解決が試行されます。
  • スタートアップ修復を選択
  • 「スタートアップ修復はシステムの問題を確認しています...」と表示、しばらく待つ。
  • スタートアップ修復が完了するので、[完了]をクリック。
【システムの復元】
「 システムの復元 」で作成した「 復元ポイント」を利用して復元します。
ユーザー ファイルは現状のまま維持しながら、コンピューターのシステム ファイルを過去のある時点の状態に復元します。
復元操作を元に戻すことはできません。
「 システム回復オプション 」からではなくてもコントロールパネルから「 システムの復元 」は可能ですがシステムが不安定な場合や起動しない場合には、こちらから「 システムの復元 」がオススメです。
  • システムの復元を選択
  • 「システム ファイルと設定の復元」と表示、[次へ]をクリック。
  • 「復元ポイントを選択してください。」(Windows 7の場合「選択したイベントの前の状態にコンピューターを復元します。」)と表示。一覧から復元ポイントを選択し[次へ]をクリック。
  • 「復元するディスクの確認」と表示、[次へ]をクリック。
(※Windows Vistaのみ)
  • 「復元ポイントの確認」と表示、[完了]をクリック。
  • 「いったんシステムの復元を開始したら、中断することはできません。続行しますか?」と表示、[はい]をクリック。
  • 「システムの復元は正常に完了しました。」と表示、[再起動]をクリック。コンピューターが再起動します。
【システムイメージの回復】(Vistaの場合は【Windows Complete PC 復元】)
コントロールパネルの「 バックアップと復元 」内の「 システムイメージの作成 」で作成した「 システムイメージのバックアップ 」をリカバリします。
リカバリはコントロールパネルの「 バックアップと復元 」からも実行できますが、「 システム回復オプション 」の「 システムイメージの回復 」はWindows7が起動しなくても実行できます。
【Windowsメモリ診断】
パソコンに搭載されている物理メモリを診断します。 この診断はメモリに負荷をかけた上で、データの読み書きに問題がないかを診断します。
コントロールパネルの「 管理ツール 」からでも実行できます。
※メモリを増設した場合には不具合がでる前に実行した方が良いでしょう。
【コマンドプロンプト】
Windows7のコマンドプロンプトはUSBメモリやUSBハードディスクなどにアクセスできるのでWindows7が起動できない場合にもデータを吸い出すことが可能になります。
問題を診断してトラブルシューティングするための他のコマンド ライン ツールを実行することもできます。
[XCOPY]などのコマンドを利用すればハードディスク内のデータを吸い出す事も可能です。
起動領域にトラブルを抱えている場合には F8 からの「 システム回復オプション 」が起動できない可能性があります。その場合には「 インストールディスク 」(あれば)もしくは「 システム修復ディスク 」から起動させ、「 システム回復オプション 」から作業してください。
ご参考:BlueScreenになり、HAL.DLLが壊れていますと出る・・・BIOSのブート順番が狂っていた!!

§Windows Vista & Windows 7 が起動できない場合の、
マスタ ブート レコード (MBR)
ブート マネージャー
ブート構成データ (BCD) ストア
の修復。
▪ Windows DVDをPCの電源を入れた時に挿入して、HDDではなくDVDディスクでパソコンを起動する形でスタートアップ修復ツールを立ち上げる。
▪ 『Windowsのインストール』という専用画面が立ち上がりますので、下部に表示されている[コンピュータを修復する(R)]をクリック。
▪ 『システム回復オプション』画面でmicrosoft Windows Vista(または7)を選択して『次へ』を押します。
※ 修復するOSが表示されない場合は 3.へ
選択メニュー
スタートアップ修復
システムの復元
Windows Complete PC復元 (Win7の場合は システムイメージの回復)
Windowsメモリ診断ツール
コマンドプロンプト
1.[スタートアップ修復]を選んで自動診断・回復を行う。
回復できない場合、
2.「システムの復元」から【適当な復元ポイント】からシステムの復元を行う
表示の日付と時刻をさかのぼるときはチェックを入れる!!
起動できない場合
3.「コマンドプロンプト」から
MBR作成するためのパーティションアクティブ化
1. diskpart
2. list disk コマンド→ OSが入ってるdiskの番号を覚えておく
3. select disk [disk no.]
4. list partition → OSが入ってるpartitionの番号を覚えておく
5. select partition [disk no.]
6. active
7. exit → diskpartの終了
MBRを作成
1. bootrec /fixboot
2. bootrec /fixmbr
3. bootrec /RebuildBCD
4. bcdedit → BCDを確認
5. 再起動→Windowsが立ち上がれば成功
またはパーティションアクティブ化の後
bcdboot.exe c:windows /l ja-JP (bcdbootにてbootmgr、\boot\bcdが作成される)
または
「システム修復ディスク」の
bootmgr
\boot\bcd
をc:にコピー
[スタートアップ修復]を選んで自動診断・回復を行う。
§Windows7パソコンが勝手に電源が入る(起動する)?
Windows7のWindows Media Center搭載機は、セットアップ時に、タスクスケジューラーから「mcupdate_Scheduled」の設定を確認する必要あり。
セットアップ時には忘れずに。
§VistaやWindows7パソコンが急にネットワークに繋がらない (デフォルトゲートウェイが2つ!?)
コマンドプロンプトから
>ipconfig
デフォルトゲートウェイ・・・・・ :0.0.0.0
:192.168.xxx.xxx
デフォルトゲートウェイが2つある・・・0.0.0.0 と ルーターのIP
(デフォルトゲートウェイは1つでないとダメ!!)
修正方法
① コマンドプロンプトから
  • ネットワーク宛先0.0.0.0、ネットマスク0.0.0.0のルーチングテーブルを削除
>route delete 0.0.0.0 mask 0.0.0.0
  • ネットワーク宛先0.0.0.0、ネットマスク0.0.0.0、ゲートウェイ192.168.xxx.xxxのルーティングテーブルを追加
>route add 0.0.0.0 mask 0.0.0.0 192.168.xxx.xxx(本来のゲートウェイのIP)
② デバイスマネージャーから
  • 「ネットワークアダプター」を削除
  • 再起動して再度ネットワークアダプターのドライバを読み込ませる
②の方が確実なようです。
Windows Vista/7特有のバグ??

§NETWORKが繋がらない
○ LANに接続できない (有線、無線共通)
1.コンピュータのLAN設定ができているか?(LANカード・・ボードの出口までOKか?)
コマンドプロンプトからipconfig /all
PCの
  • IPアドレスと マックアドレス
  • サブネットマスク
  • デフォルトゲートウェイ(ルーター)
  • DNSサーバー
のアドレスなどを表示するか?
アドレスを表示しない場合 :PCのNetWorkの設定見直し(DHCPやDNS自動割り当てでもその値が表示されます)
:ルーターと子機の設定が不一致
(ルーター:「 DHCPエントリー=割り当てなし 」 で 「 子機:IPアドレスを自動的に取得するに チェック 」 )
:機器の故障
※ IPアドレス設定の場合 ネットマスク値に注意!!
ファイヤーウォールの設定(特にセキュリティーソフト)に注意:テスト時は「 無効 」に!!
2.LANの何処まで繋がっているか?
コマンドプロンプトからping xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx:アクセスポイントやルーターのIPアドレス
応答:
C:\>ping 192.168.XXX.XXX
192.168.XXX.XXX に ping を送信しています 32 バイトのデータ:
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =3ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
応答がない場合:
C:\>ping 192.168.XXX.YYY
192.168.XXX.YYY に ping を送信しています 32 バイトのデータ:
192.168.XXX.XXX からの応答: 宛先ホストに到達できません。
192.168.XXX.XXX からの応答: 宛先ホストに到達できません。
192.168.XXX.XXX からの応答: 宛先ホストに到達できません。
192.168.XXX.XXX からの応答: 宛先ホストに到達できません。
何処までが正常に動作(通信)できているか確認できる。
3.LANボードやLANカードが正常に動作しているか?
デバイスマネージャーで確認(ネットワークアダプター名が正しく表示されているか?マークや ×マーク(Win7の場会:マーク)が付いていないか?)
  • ×が付いている場合:ネットワークアダプター名を右クリックし「 有効 」をクリック。
  • がついている場合、& アダプター名が違っている場合:ネットワークアダプター名を右クリックし「 削除 」をクリック。
「 操作(A) 」から「 ハードウェアー変更のスキャン 」を。・・・(ドライバーの再インストール。)
4.アンチウィルスソフトやファイアウォールのソフトが邪魔をしている。(「 例外 」を許可していない)
アンチウィルスソフトやファイアウォールのソフトを停止してみてください。
(Windowsのファイアーウォールとアンチウィルスソフトのファイアーウォールを同時に「 有効 」にするとよく起こります。)
確認:ウイルス対策ソフトの常駐監視を停止してみる。
(常駐停止を探すのが結構大変ですが・・・・)
これで接続できればウイルス対策ソフトの設定の問題!です。
説明書(ほとんどのソフトが、インターネットで見ることになっている!!)で調べてください。 (笑)
5.ネットワーク設定がネットワーク環境に合っていない
  • ワークグループ名やドメイン名(ドメインの場合、ドメインコントローラに登録してある機械の名前も)が違っている。
  • PCの名前が重複していないか? IPアドレスが重複して割り当てられていないか?
調査IPアドレスのNET接続を解除して コマンドプロンプト から
arp -g
IPアドレスが表示。
重複していることは分かるのですが、重複したマシンを探すのはひと苦労です。
  • IPアドレスやDNSの設定が必要なネットワークの場合。
必要事項を「 ネットワーク接続 」の「 プロパティー 」「 TCP/IP 」「 プロパティー 」に設定してください。
6.ネット回線がケーブルの場合
ケーブルモデムから直接PCにつないでいる場合、PCの認識情報がモデムに残っていると別なPCが使用できないケースがあります。
モデムの電源を切って30分くらいしてから入れてみると、情報が初期化されて新しいPCで使えるようになります。
7.DHCPサーバーの割り当てトラブル
家庭や小規模オフィスではまず起こりませんが・・・。【 ご参考 】
DHCPのリース期間のせいでIPアドレスが割り当てられないという、おかしな現象が起こるケースがありえます。
リプレイスするマシンの数が多くて、リプレイス前のマシンの数と合わせると、DHCPサーバが割り当て可能なIPアドレスの数を超えてしまうこ場合、DHCPサーバのリース期間が長いと、リプレイス前に割り当てられたIPアドレスが戻ってこずに、新マシンの一部にしかIPアドレスの割り当てができない、ということが起りす。
※ ウイルス対策ソフトのバージョンアップでネットワークが繋がらなくなる場合が結構あります
PC購入時にサービスで試用期間半年とかで、付いてくるやつです。購入もコンシューマ用は通常1年で、ライセンスが切れる前に "これでもか" というぐらい有償契約をポップアップしてきます。
大体がWEBからの上書きインストールですが、これが曲者で、上書きした途端ネットに繋がらなくなる場合があります。
アンインストールもWindowsの「 プログラムの追加と削除 」では完全に削除できず、特にNETWork関係には、わけのわからないサービスが残ってしまい悪さをするようです。
(スタートからそのプログラムのファイルを開きアンインストールを実行。)
変なものが残ったっ場合や「 プログラムの追加と削除 」で削除してしまった場合、それぞれ専用のアンインストール用のソフトがありますので、それを使わないとダメのようです。
ググればいっぱい出てきます。それだけ問題が多いということでしょう。
ちなみに、私はFreeのソフトを使ってます。2年近くなりますが全く問題ありません(^0^)

○ 有線LANの場合
1.接続先のパソコン、機器へ「 ping 」が通るか?
  • ルーターのIPアドレスを調べて(変更してなければ、ルーターの説明書に書いてあるアドレス)「 コマンドプロンプト 」から
ping 192.186.XXX.XXX
と入力。(ほかのPCのアドレスでもOK)
pingが成功:ハードウェアやファイアウォールの設定に問題はありません。
pingが不通:ネットワーク設定がネットワーク環境に合っていない可能性があり。
2.LANケーブルの確認(抜けていないか? ケーブルの種類は?)
  • 二台のPCを直接ケーブルで接続する場合:クロスケーブル(ケーブルに表示されている場合があります。)
ケーブル端子を横に並べた時、配線の色順番が逆になります。
  • ハブを経由してPCを接続する場合(一般的):ストレートケーブル(ケーブル端子を横に並べた時、配線の色順番が同じです。
  • LANケーブルのソケット部のLEDは点滅しているか:点滅していない場合、LANボードが壊れている可能性があります。

○ 無線LANの場合
アクセスポイント(又は無線ルーター)とPCとが無線通信できているかの確認が、有線LANに付加されます。
1.アクセスポイントの「 SSID 」や「 WEP 」「 WPA 」等の無線の認証、「 共有キー 」や「 MACアドレスフィルタリング 」などのセキュリティーが設定が子機(PC)とあっているか??
  • 設定されている場合、子機(PC)の設定をアクセスポイントと合わす。
2.アクセスポイント機器に「 ping 」が通るか?(IPアドレスが分かっている時)
  • 「 ping 」通った場合(応答があった場合)、アクセスポイントまでの接続はOKです。
3.アクセスポイント機器に接続可能なクライアント数を超えていないか?(家庭ではまずありえません)
  • アクセスポイント機器のマニュアルを参照してください。
4.[ネットワーク接続]に「 ネットワーク ブリッジ 」アイコンがないか?
  • ブリッジが「 ネットワーク接続 」にある場合、右クリック「 削除 」する。
5.無線が繋がったり切れたりする
  • 一番ややこしいトラブルです。(無線LAN規格が「 IEEE802.11b 」、「 IEEE802.11g 」、「 IEEE802.11n 」(2.4GHz帯)の場合)
2.4GHz帯は、電子レンジやBluetooth対応機器、アマチュア無線など多くの機器が2.4GHz帯の周波数を利用することにより、それぞれの機器から発せられる電波が相互に干渉し、無線通信速度が遅い、無線通信が切断される、無線通信できないなど、無線LANの通信が不安定になる可能性があります。(特に11nの場合)
11gでは問題なく11nが途切れる現象がよくあります。(距離や遮蔽物が大きく影響するようです。)
チャンネルを切り替える、11gとの切り替えができる場合は11gで、どうしようもない場合も結構あります。
※ 接続ソフト(無線LANの場合)
接続ソフトには子機メーカーから提供されたものと、マイクロソフト提供のもの(XP以降:Wireless Zero Configurationサービス)とがあります。どちらもあまり差がないようですが、私は情報の多いマイクロソフトのものを使っています。

§インターネットへの接続トラブル
○インターネットに接続できない
★光回線の終端装置やADSLモデムの電源は入っているか?
回線業者の基地局(例えばNTTのDSLAM)とモデムをつなぐ回線が物理的、電気的に繋がっていて双方で通信準備が完了している(LINK状態にある)必要があります。ADSL回線の場合、モデムのADSLやLink、Lineなどのランプが点灯していれば基地局とモデム間の回線は正常です。点灯しない場合は、回線業者に問い合わせが必要です。
一例です。(フレッツ・光プレミアムのONU)
STATUS点灯(緑)正常
点灯(赤)回線終端装置(ONU)の障害
FIBER点灯(緑)正常
消灯WAN側接続(光ファイバー側)がリンクしていません。回線障害の可能性
LINK点灯(緑)正常
消灯LAN側接続(CTU側へ)がリンク出来ていません。LANケーブルを確認
FULL点灯(緑)正常
点滅・点灯(赤)装置準備中または回線障害
  • アンチウィルスソフトやファイアウォールのソフトが邪魔をしていないか?(「 例外 」を許可していない)
アンチウィルスソフトやファイアウォールのソフトを停止してみてください。
(Windowsのファイアーウォールとアンチウィルスソフトのファイアーウォールを同時に「 有効 」にするとよく起こります。)
確認:ウイルス対策ソフトの常駐監視を停止してみる。
アンチウィルスソフトのバージョンアップがうまくいかない場合の削除やアンチウィルスソフトを削除する場合はunninstallで行ってください。(コントロールパネルの 「プログラムのアンインストール」 は使わないで!!・・・もし「プログラムのアンインストール」を行った場合は、ウイルス対策ソフトのホームページから削除ツールをダウンロードして再度削除してください。)
ルーターのLAN側IPアドレスへのPing
  • ルーターへの「 ping 」は通る・・・192.168.XXX.XXX:ルーターのアドレス
ping 192.168.XXX.XXX
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =3ms TTL=255
192.168.XXX.XXX からの応答: バイト数 =32 時間 =2ms TTL=255
ルータまでの接続は正常。
ルーターとプロバイダーのサーバーとの接続トラブル。
ルーターのWNA側の設定:プロバイダーからの書類通りか?
PPPoE接続の
User ID:
Pass Word:
優先(Primary) DNS サーバーアドレス:(最近は自動で付与の場合が多い)
代替 (Secundary)DNS サーバーアドレス:(最近は自動で付与の場合が多い)
を再確認。
電話と共用の場合(IP電話を含む)プロバイダーからの接続詳細図通りかを確認。
接続できない場合、WAN側回線に問題ある場合が多い。(プロバイダーに電話で確認)
あまり役に立たないかもしれませんが・・・
  • 経路障害のTEST。(ネットワークの経路を調べる)
C:\>tracert www.yahoo.co.jp
www.ya.gl.yahoo.co.jp [124.83.187.140] へのルートをトレースしています
経由するホップ数は最大 30 です:
1 2 ms 2 ms 2 ms web.setup [192.168.10.1]
2 13 ms 9 ms 8 ms KD113156238241.ppp-bb.dion.ne.jp [113.156.238.241]
3 10 ms 10 ms 11 ms obpBBML09.bb.kddi.ne.jp [222.227.24.190]


17 24 ms 24 ms 23 ms 124.83.128.146
18 23 ms 33 ms 23 ms f11.top.vip.ogk.yahoo.co.jp [124.83.187.140]
トレースを完了しました。
異常がない場合の例です。
異常があればその場所で異常を表示するはずです。・・・もっとも場所が分かってもどうしようもないですが・・・。
  • ルーターへの「 ping 」が通らない
NETWORKが繋がらない の項参照。
電話と共用の場合(IP電話を含む)プロバイダーからの接続詳細図通りかを確認。

○インターネットエックスプローラ(IE)のメニューが英語表示に
IE8やIE9へのバージョンアップ(Windows Updateで自動の場合が多い)でよく起ります。
原因は対応するバージョンの日本語の言語パックがインストールされていないためで言語パックをインストールすれば治ります。
IE8の場合
IE9、IE10の場合
結構多いトラブルのようです。
IE9(Windows Vista & Win7) で起こった例
1.
インターネットに繋がらない訳では無いんですが・・・
現象 ウェブブラウザー(IE)に何も出ない。(部分的に一部表示?)
コマンドバー他よく解らないToolBar(ほぼFreez状態で何もできない)
ブラウザーを開くとIEが3個立ち上がりCPUは100%状態
(タスクマネージャはCtrl/Deleteで起動)
ほとんどHungUp状態でタスクマネージャーからの「タスクの終了」しかできない
構成 eo光 。無線LANルーターと内臓無線LANとで接続
ファイヤーウォール、ウイルス対策ソフトOFF 全く同じ(ダメ)
ルーターへのping
(Buffaloのルーターだったので
ping 192.168.11.1)
異常なし
念のため ipconfig /all 異常なし
自分のHomePageへ
tracert www.kijimomi.net
HomePage Addressまでtrace異常なし・・・繋がっている!!
繋がっているけど表示されない。
これはIEそのものかVistaの何処かが壊れたか?・・・
そもそもIEのバージョンすら分からない・・・(ブラウザーが反応しない)
デフォルトディスクの空きが10%未満を30%に・・・変化なし
システム回復には回復ポイントがない。
別のUserIDを起しても現象変わらず。
コンパネの「 プログラムの追加と削除 」でToolBar色々削除。更新履歴でIE9のインストールを確認。
IE8へ戻してみる・・・・(^0^);OK!!
今一原因はよく解りませんが、
  • IE9からIE8へ戻したこと
  • ToolBarの削除(Yahoo、Google、JWordその他色々)
  • ディスクの空き容量の確保
のどれか、もしくは全てが効いたものと思われます。
2.
Windows 7 で IE9のメニューとプルダウンメニューが英語で表示される。
「何時からかはわからない」とのことでしたが、更新履歴でIE9のインストールを確認。
[アンインストール]してIE8へ。
表示OK!
再度IE9へ・・・・OK(^0^)

○特定のサイトに接続できない
今のところUser側ではどうしようもないようです。
  • アクセスできないサイトのIPアドレスを「 nslookup 」で調べる
C:\>nslookup www.yahoo.co.jp
サーバー: web.setup
Address: 192.168.10.1
権限のない回答:
名前: www.ya.gl.yahoo.co.jp
Address: 124.83.171.240
Aliases: www.yahoo.co.jp
得られたIPアドレスでブラウザーから「 http//124.83.171.240 」でアクセスしてみる。
アクセスできるようであれば、DNSサーバーが働いていない可能性があります。(名前解決出来ていない)
hostファイル(c:\Windows\System32\drivers\etc)に変な記述がある可能性があります。(テキストファイル)
(hostsファイル:「 IPアドレス 」と「 名前 」を関係付づけるList・・・DNSサーバーより優先される)
「 127.0.0.1 localhost 」の記述の下に変な記述がないか・・・あればスパイウェアーの可能性あり。
ちなみに、逆の「 名前 」を「 IPアドレス 」に関連づけるのは lmhost ファイル。
(同じところに lmhosts.sam ・・・(サンプルファイル)があります。DNSサーバーが無いとき、ルーター超えの機械名とIPアドレスをlmhostsに記述します・・・lmhosts.samではありません。)

§エラーチェック(BlueScreeで止める)
(ハードディスクのエラーチェック、メモリ不良のチェック等)
メーカーロゴ表示直後に「 F8 」キ ーを連打 後、「 システム障害時の自動的な再起動を無効にする 」を選んで起動。
ここで
The problem seems to be caused by the following file:-----
*** STOP:0x--------
*** ---------------
これを調べる。(ググってみる)

§Windowsを起動できない場合のレジストリの修復
■lsass.exe システムエラーと表示され、再起動を繰り返したり、フリーズしたりする
■<Windows root>\system32\config\system エラー
レジストリが壊れています。
Windows やアプリケーションソフトを利用するための設定情報がレジストリファイルに保管されています。
この情報が壊れてしまうと、Windows が起動できなかったり、起動途中で停止します。
Microsoftで紹介されている回復方法 は、回復コンソールを使ったものですが WindowsがOEM版(プリインストールされているパソコン)では、repairフォルダを用いてレジストリを修復してはいけません。
(※ ほぼ確実に、 起動できなくなります。 ・・・自作機やショップブランドでもない限りOEM版です!!)
○Knoppix(or Ubuntu)でレジストリを修復する。
  • 「 Cドライブ 」に該当するパーティションを、書き込み可能な状態でマウントし
「 /WINDOWS/system32/config 」フォルダを参照します。
(この中にあるのが、Windowsのレジストリファイル群です)
Windowsが使用しているレジストリファイルは、「 default 」 「 sam 」 「 security 」 「 software 」 「 system 」の計5つです。(5個で1セット)
レジストリが破損している場合は、これらのファイルをまとめて正常なファイルに置き換える必要があます。
  • レジストリファイルの復元
現在使用しているレジストリファイルの名前を変更。ここでは、拡張子「 .bak 」を付けて保存。(念の為)
(「 default.bak 」 「 sam.bak 」 「 security.bak 」 「 software.bak 」 「 system.bak 」)
次に「 /System Volume Information/_restore{〜}/RP〜/snapshot 」フォルダを参照
( Windowsのシステムの復元機能で、レジストリファイルがバックアップされているフォルダ )
フォルダやファイルの作成日時が、そのまま復元ポイントの作成日時です
レジストリバックアップファイル
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
の5個を「 /WINDOWS/system32/config 」フォルダにコピー
ファイルのコピーが完了したら、これら5つのレジストリバックアップファイルを、正規のレジストリファイル名に変更

§メーカー製パソコンの「 修復インストール 」(Windows XP)・・・データを残して
(※ Windows Vista以降の OS には「 修復インストール 」に代わり 「 スタートアップ修復 」 機能が導入され「 修復インストール 」 を行うことができなくなっています。)
メーカー製パソコンの場合、リカバリCD-ROMはあっても、修復インストールはできず、Cドライブを消去してしまう「 リカバリ 」しかできません。
ハードディスクリカバリーの場合も同様です。
「 リカバリ 」をすると、100%データは吹っ飛んでしまいます。(自動的にフォーマットされます)
XPのインストールCDで修復インストールをやってみると、メーカー製パソコンとはプロダクトキーの種類が違うため、プロダクトキーを入力しようにも、パソコンの筐体に貼ってあるキーは合わないので、修復インストールができません。
OEM版のWindowsのCD-ROMが必要!!
DELLのリカバリーCD-ROMはOK!!・・・
DSP版(Delivery Service Partner)をパーツショップで購入するか・・・
OEM版のWindowsのCD-ROMがあっても、クリーンインストールは注意が必要。(ドライバーの入手が可能か?)
このCD-ROMから起動させて、Windowsセットアップから「 修復インストール 」を選んで実行。
XPの初期セットアップの画面が出て、改めてユーザー名の登録画面が出る。
「 次へ 」ボタンに並んで「 省略 」というボタンがあるのでこれを押してセットアップを完了。
ライセンス認証のメッセージ画面で「 OK 」。
筐体シールにあるプロダクトキーを入力。
※ メーカー製パソコンの修復(ハードディスクアウトの場合)
基本的にはメーカー修理です。(データは消えます。めっちゃ高いです。!!)
ハードディスクを新品と取り換えることは作業的には簡単ですが、以後メーカー保証は受けられなくなります。
リカバリーディスクを作成していればそれでリカバリー、OEM版(DSP版)CDがあればそれでインストール。
本体シールのプロダクトキーでライセンス認証でOK
※ 現在の日本のPCメーカーはリカバリーDiscが付いていない事がほとんどです。
(HDDリカバリーがほとんどです。)
「 購入者自身でリカバリーDiscを作ってください 」という方法が一般的です。
各メーカーのリカバリー制作ツールなどで作られるディスクは、OSディスクとは違い、ソフト一式含めたディスクになるため、「 PC購入時に戻す 」(一部ソフトは対象外)ためのディスクの作成となります。
(当然、データはすべて消えます。・・・・データディスクが別のディスクの場合は大丈夫です。)
メーカーによってはリカバリーDiskが購入できるようです。

§BIOS設定画面( CDからの起動方法 )
1)BIOS設定で、ドライブの起動順位を変える方法
* BIOS設定画面の出し方(ノートPCの場合)
起動直後、メーカーロゴ表示中に特定のキーを押して呼び出す。
NEC :F2
富士通 :F2
ソニー :F2
東 芝 :F2
Lenovo :F1
HP(Compaq) :F10
Dell :F2 or 「Ctrl+Alt+Enter」
日 立 :F2
Panasonic :F2
Sharp :F2
ASUS :F2
* マザーボードメーカー別
起動直後、メーカーロゴ表示中に特定のキーを押して呼び出す。
ASUS :Del
Intel :F2
Giga-byte :Del
ESC :Del
ASROCK :F2
MSI :Del
BIOSでBoot Deviceの順番を設定します。
CMOS Setup Utillty が表示されたら(BIOS画面)、キーボードの「矢印」キーを使って「Advanced Bios Features」もしくは「Advanced Bios Setup」にカーソルを移動させ「Enter」キーを押す。
(マザーボードメーカーやロットにより違います)
「Advanced Bios Features」メニュー画面が表示されたら、「〜 Boot Device」の文字を探す。
(例:「First Boot Device」「Second Boot Device」「Third Boot Device」と表示される)
First Boot Device に [ CD-ROM ] 、Second Boot Device に [ Floppy ] 、Third Boot Device に [ HDD-0 ] 等と設定されている状態なら起動ディスクからでも、インストール CD-ROM からでも起動でき、何も無い場合は Third Boot Device のハードディスクから起動する。
もし、ハードディスクが First Boot Device に設定され、ハードディスクに Windows がインストールされている場合、ハードディスクから起動され、CD-ROM からの起動はできない。その場合はこの順番を変更。
一般的に CMOS Setup Utillty ではマウスによる操作ができず、キーボードの矢印キーでメニューの項目を移動して「Enter」キーで決定。「ESC」キーで終了、階層下のメニューにいる場合は、一つ上のメニューに戻る。
§各社ルーターのDEFAUT設定(アクセスポイントモード時は変わります)
★ルーターのLAN側IPアドレス、及びID、パスワード
ルーターの工場出荷時の設定は、以下のとおり。
メーカー LAN側IPアドレス (AP時) ID パスワード
BUFFALO 192.168.11.1 192,168.11.100 root  ナシ
NEC 192.168.0.1 192.168.1.210 admin  任意(※初回接続時に入力)
corega 192.168.1.1 192.168.0.220
or 230 
root  ナシ
PLANEX 192.168.111.1 192.168.1.250 admin  pasword
IOデータ 192.168.0.1 192.168.0.201 admin  ナシ
Logitec 192.168.2.1 192.168.2.1 admin  admin
eo光 BAR100M01 192.168.0.1 -----  ―
OCN CTU https://ctu.fletsnet.com -----  ―
OCN 光電話ルーター 192.168.1.1 ? ----- admin ?  ―

※ メーカーや機種、ファームウエアーのバージョンによって指定の接続ソフトを使わないとブラウザーからは接続できなかったり設定できない場合があります。

§各社イーサネットコンバータのDEFAUT設定
★コンバータのLAN側IPアドレス、及びID、パスワード
コンバータの工場出荷時の設定は、以下のとおり。
メーカー LAN側IPアドレス ID パスワード
BUFFALO エアーステーション設定ツール root ナシ
NEC 192.168.0.245 ---- 任意 (※初回接続時に入力を求められる)
corega 192.168.1.235 root ナシ
PLANEX 192.168.111.249 admin pasword
IOデータ 192.168.0.202 admin ナシ
Logitec 192.168.3.1 admin admin

§Windows7とXPのフォルダ対比
★Windows7とXPとではフォルダの場所がかなり違っています。(Vistaからのようです。)
名称 XP のフォルダ 7 のフォルダ
C:\Documents and Settings\(ユーザー名) C:\Users\(ユーザー名)
C:\Documents and Settings\All Users C:\ProgramData
インターネットの
キャッシュ
%USERPROFILE%\Local Settings\
Temporary Internet Files
%USERPROFILE%\AppData\Local\
Microsoft\Windows\
Temporary Internet Files
クッキー %USERPROFILE%\Cookies %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Cookies
マイドキュメント %USERPROFILE%\My Documents %USERPROFILE%\Documents
マイミュージック %USERPROFILE%\My Documents\My Music %USERPROFILE%\Music
マイピクチャ %USERPROFILE%\My Documents\My Pictures %USERPROFILE%\Pictures
マイビデオ %USERPROFILE%\My Documents\My Videos %USERPROFILE%\Videos
アプリケーションデータ %USERPROFILE%\Application Data %USERPROFILE%\AppData\Roaming
デスクトップ %USERPROFILE%\デスクトップ %USERPROFILE%\Desktop
お気に入り %USERPROFILE%\Favorites %USERPROFILE%\Favorites
インターネット履歴 %USERPROFILE%\Local Settings\History %USERPROFILE%\AppData\Local\
Microsoft\Windows\History
共有フォルダ履歴 %USERPROFILE%\NetHood %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Network Shortcuts
プリンタ フォルダ %USERPROFILE%\PrintHood %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Printer Shortcuts
プログラムメニュー
(個人)
%USERPROFILE%\スタート メニュー\プログラム %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Start Menu\Programs
プログラムメニュー
(全ユーザー)
%ALLUSERSPROFILE%\スタート メニュー\プログラム %ALLUSERSPROFILE%\Microsoft\
Windows\Start Menu\Programs
[XP] 最近使ったファイル
[7] 最近使った項目
%USERPROFILE%\Recent %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Recent
送る %USERPROFILE%\SendTo %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\SendTo
スタートメニュー %USERPROFILE%\スタート メニュー %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Start Menu
スタートアップ %USERPROFILE%\スタート メニュー\プログラム\
スタートアップ
%USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Start Menu\
Programs\Startup
テンプレート %USERPROFILE%\Templates %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Templates
%USERPROFILE%:C:\Users\***** (*****:登録アカウント)

§[windows][コマンド]ファイル名を指定して実行でコントロールパネルとかを表示
"Winキー+R"の「ファイル名を指定して実行」
control コントロールパネル
appwiz.cpl プログラムの追加と削除
hdwwiz.cpl ハードウェアーの追加ウィザード
ncpa.cpl ネットワーク接続
powercfg.cpl 電源オプション
winmsd システム情報
winver Windows Windowsバージョン情報
dxdiag DirectX診断ツール
taskmgr タスクマネージャ
inetcpl.cpl インターネットのプロパティ
control userpasswords2 ユーザーアカウント等設定画面

§ワンクリック詐欺
画像ポップで、会員登録入会の完了通知や高額な有料料金支払い請求の通知が出る。
一番簡単な対応は「システムの復元」で感染前の状態に戻すことです。
「システムの復元」が行えない場合、
HTMLアプリケーション(*.hta)を悪用した事例の駆除・削除・対処方法になります。
タスクマネージャー(Ctrl+Alt+Delキー)を起動して、プロセスに「mshta.exe」があることを確認してください。
「mshta.exe」が画像ポップを表示してるプログラムなので、このプロセスをタスクマネージャーから直接終了させることで画像ポップは難なく消せます。
※ 「mshta.exe」自体はHTMLアプリケーションを処理するための正規プログラムでウイルスではありません。
このプロセス「mshta.exe」を終了させた後で、ウイルスにより不正に登録された下の1番、あるいは加えて2番の処理を解消しなければなりません。
  • パソコン起動時に表示される ⇒ Windowsのレジストリエディタで不正なレジストリデータを削除する[1]
  • パソコン起動時に表示される / 少し経ったら復活する ⇒ Windowsのタスクスケジューラで不正なタスクを削除する[2]
[1] 不正なレジストリ
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 1 名前 : (任意の文字列)
種類 : REG_SZ
データ: mshta.exe [ファイルパス]\***.hta
または
データ: C:\Windows\System32\mshta.exe [ファイルパス]\***.hta
[ ※ mshta.exe は拡張子が省略され、単に mshta になってる場合あり ]
このパスにある「***.hta」ファイルをゴミ箱へ
捨てる作業も別に行なうとGood!
 2 名前 : (任意の文字列)
種類 : REG_SZ
データ: mshta.exe http://[URLアドレス]
または
データ: C:\Windows\System32\mshta.exe http://[URLアドレス]
[ ※ mshta.exe は拡張子が省略され、単に mshta になってる場合あり ]
 3 名前 : (任意の文字列)
種類 : REG_SZ
データ: [ファイルパス]\***.vbs
このパスにある「***.vbs」ファイルをゴミ箱へ
捨てる作業を別に行なうとGood!
[2] タスクスケジューラに不審なタスク (Windows Vista、Windows 7 のみ)
Windowsパソコン立ち上げ時に特定のプログラムを起動させたり、一定間隔で特定のプログラムを起動させることができるタスクスケジューラが悪用される場合があるので、不審なタスクを削除(無効)する。
基本的にWindows VistaとWindows 7で起こる感染挙動になりますが、悪用されるかどうかは実行し感染させてしまったワンクリウェアウイルスの種類に依存します。
  1. 「タスクスケジューラ」を起動します。
    手順:[スタート]→[すべてのプログラム]→[アクセサリ]→[システムツール]→[タスクスケジューラ]を選択します。
  2. 「ユーザーアカウント制御」が表示された場合は、[続行]をクリックします。
  3. 「タスクスケジューラ」画面が表示されるので、「アクティブなタスク」を確認します。
    「場所」の項目が「\」のみのタスクや、「タスク名」がランダムな文字列になっているものから順に、該当タスクをダブルクリックします。
  4. タスクの詳細設定画面が表示されるので、下枠内の「操作」のタブをクリックし、「mshta http://〜」や「C:\・・・\〜.hta」「mshta C:\・・・\〜.vbs」などの文字列がないかを確認します。
  5. 手順「4.」で該当するタスクがあれば、右枠内にある「削除」ボタンをクリックします。

§ゲーム機の暗号化方式への対応
暗号化方式 WEP(128bit) WPA-TKIP WPA-AES WPA2-TKIP WPA2-AES
解  読 解読済 解読済 未解読
ニンテンドーDS YES NO NO
ニンテンドーDSi+DS用ソフト YES NO NO
ニンテンドーDSi+DSi専用ソフト YES YES YES
PSP-3000 YES YES NO
Xbox360(X360) YES YES NO
ニンテンドーWii YES YES NO YES
PlayStation3(PS3) YES YES YES

§HijackThisログ解析
01:hostファイルの変革 hostsファイルの改変では、「右側に現れるドメインに対して左側のIPを割り当られて違うサイトに飛ばされる」というのが症状なのですが、飛ばされるIPに「127.0.0.1」やローカルID、「0.0.0.0」などを定義して当該ドメインを単に無効化している場合には、HijackThisのログに全く現れません。
02:BHO(BrowserHelperObjects)の一覧 BHO(Browser Helper Object)は、もともとブラウザの機能を拡張するためのものですが、同時にマルウェア系に狙われやすいものでもあります。次の項目のO3とセットで現れることも多いですので、O2に怪しいものが見つかった場合はO4の自動起動と共にO3もチェックした方が良いです。チェックポイントの一つはO2に現れているファイル名です。
03:IEのツールバー一覧 ツールバー系のマルウェアには必ず現れます。O2とセットで現れることも多く、マルウェアの場合これだけをFixしてもO4(自動起動)によって復活することがあります。
IEの画面上に対応するツールバーが現れるはずですので、そのツールバーの何も無い部分で右クリックすると、ほとんどの場合はそのツールバーの名前が確認できます。
04:自動起動エントリー一覧 ほとんどのマルウェアは、OSの起動とともに自分を起動させます。これによって、マルウェアはユーザの意思と無関係に勝手に動作したり、削除から身を守ったりすることになります。そういう意味で自動起動に関するエントリはきわめて重要です。ただし、このO4以外にも自動起動する方法は存在します(例えばHijackThisエントリのO20-O23)。
このO4では、レジストリから起動する「通常の」自動起動およびスタートアップフォルダの中身が現れます。
O4に現れたエントリは、HijackThisから問題なくFixすることができます。
ただし、Fixする際に起動されてしまっている悪玉プロセスに感知されて妨害される可能性がありますので、あらかじめセーフモードで起動しておくか、タスクマネージャやプロセス管理ツールで当該プロセスを停止してから作業を行って下さい。
レジストリからの自動起動は、こちらの一連のレジストリキーに対応します。
HKLMの一連のもの
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCUの一連のもの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
05:インターネットオプション画面表示の制限の有無 コントロールパネルの中で、特定のオプションを消失させて操作できなくするものです。
06:インターネットオプションの機能制限 インターネットオプションの一部機能を制限することができるレジストリキーが、存在した場合に現れます。実際に制限されているかどうかには無関係です。
07:レジストリエディタの無効化 レジストリエディタを使えなくしてしまうエントリです。O6と違い制限がかかっている場合のみ「DisableRegedit=1」として現れます。
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
08:IEの右クリック IEで右クリックしたときに出るメニューに対応しています
正規なエントリの例
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
不正なエントリの例、
iSearchによるもの
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
CommonNameによるもの
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm
レジストリは
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
に対応します。
09:IEの「ツール」メニュに項目を追加したり、ボタンを追加 IEのツールバーに項目やボタンを追加するものです。例えばYahoo!メッセンジャーの場合は
こんな感じです。この場合のログは、
O9 - Extra button: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra 'Tools' menuitem: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
となり、「O9 - Extra button」が一番右の追加ボタンに(画像では紫色のもの)、「O9 - Extra 'Tools' menuitem」
がツールメニューの追加に相当します。
正規なエントリの例、
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
不正なエントリの例、
MaxSpeedによるもの
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
SideFindによるもの
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9に対応するレジストリ
これらは、そのCLSID({08B0E5C0-4FCB-11CF-AAA5-00401C608501}など)を名前として、ログオンユーザーに有効なHKCUに存在する、
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions]
または、すべてのユーザーに影響するHKLM、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
のサブキーの中に定義されています。
これらの定義は、サブツリー内で
"ButtonText" : 値名で定義されているテキストが追加されたボタンの名前
"MenuText" : 値名で定義されているテキストが[ツール]メニューに追加される項目
となっています
010:LSP (Layered Service Provider) のハイジャック O10は、下手に触るとネットに接続不能になってしまう可能性がある怖いエントリです。LSP群は一つの連鎖をなしていますから、この一環に入り込んでしまった悪玉モジュールだけを不用意にスパイウェア除去ソフトや手動で除去すると、連鎖が破壊されてネット接続ができなくなる恐れがあります。
悪いものの例だと、
O10 - Broken Internet access because of LSP provider 'vlsp.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system\msspi.dll
O10 - Hijacked Internet access by New.Net
なお、Broken Internet AccessとHijackThisが認識していても、現実にネットに接続できなくなっているとは限りません。
たとえば次のものは正規ファイルのエントリで、問題なければ何もせずに放置です。
O10 - Broken Internet access because of LSP provider 'tasp.dll' missing
O10はHijackThisからFixはできなくなっています。Fixしようとするとこんな警告が出ます
コントロールパネルから削除が可能かつ適切な例もあります。例えば
例: NewDotNet (New.Net) によるもの
O10 - Hijacked Internet access by New.Net
例: WebHancer によるもの
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing
ただ、原則としてLSP-fixで対処を検討して下さい。
O11:IEのインターネットオプションの「詳細設定」に項目を追加 IEのインターネットオプションの「詳細設定」タブに項目を追加するものです。Jwordの場合を例にとると、
という風に項目が追加されてます。レジストリでは、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS
エントリの例 (Jword)
実際問題、Jword以外このエントリを出すものはほとんど存在しません。Jwordの場合は個別対処が必要で、HijackThisからFixしてはいけません。
ログには、
O11 - Options group: [!CNS] JWord (日本語キーワード)
と出ます。O11以外にもO2、O4、O8、O9にもエントリが出ますので、こちらもHijackThisのFix対象からははずします。
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (現在は出ない?)
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O9 - Extra button: JWord (日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file missing)
O11に対応するレジストリ
O11に対応するレジストリは、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
です。このエントリの下に、標準以外のサブキーが存在した場合にO11が現れます。に対応します。
エントリの例 (Jword)
実際問題、Jword以外このエントリを出すものはほとんど存在しません。Jwordの場合は個別対処が必要で、HijackThisからFixしてはいけません。
ログには、
O11 - Options group: [!CNS] JWord (日本語キーワード)
と出ます。O11以外にもO2、O4、O8、O9にもエントリが出ますので、こちらもHijackThisのFix対象からははずします。
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (現在は出ない?)
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O9 - Extra button: JWord (日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file missing)
O11に対応するレジストリ
O11に対応するレジストリは、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
です。このエントリの下に、標準以外のサブキーが存在した場合にO11が現れます
O12:IEのプラグインおよびMIMEの拡張機能 IEのプラグインです。よく見られるのはこの様なQuickTimeのプラグイン群です。
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
この部分に現れるスパイウェアには出会ったことがありませんが、同時に上記の様なプラグインはいつでもダウンロードできるものなのでFixしてしまっても問題ありません。
O12に対応するレジストリ
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\
の下に、
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\.bmp
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\.mid
などのサブキーが作成されています。
O13:URLにデフォルトの文字列を追加 100%スパイウェアだと考えて良いです。例としてはあまり多くありませんが、
O13 - DefaultPrefix: http://193.125.201.50/?trk=
O13 - DefaultPrefix: http://www001.upp.so-
あるいは、
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=120&q=
などです。HijackThisからFixして下さい。
O13に対応するレジストリ
O13に対応するレジストリキーは、
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
です。デフォルトの値は、
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
となります。
O14 - IERESET.INFの定義 (IEのホームページをリセットしたときのURLがMicrosoft以外の場合) O14 - IERESET.INF: START_PAGE_URL=http://www.odn.ne.jp/index.html
O14 - IERESET.INF: START_PAGE_URL=http://www.biglobe.ne.jp/
O14 - IERESET.INF: START_PAGE_URL=http://www.spacetown.ne.jp/
などなど。
どちらにしても、このエントリはFixしてはいけません。FixをするとWeb設定のリセットができない状態になってしまいます。
O15 - IEの「信頼済みサイト」の登録状況の表示 IEのインターネットオプションの「セキュリティ」にある「信頼済みサイト」に登録されているものがここに現れます。
この部分の判別法は簡単です。「登録されているサイトが怪しいものかどうか」「信頼済みサイトに登録した覚えがあるか」です。ただし、会社のPCの場合は事前に必要なサイトが信頼済みに設定されている場合がありますので、念のためシステム管理者に確認した方が良いでしょう。
また、個人のPCの場合は、防御のために信頼済みサイトのセキュリティレベルを「中」に設定しておくのも良い手です。
エントリの例
悪玉の例です
O15 - Trusted Zone: *.waitsex.com
O15 - Trusted Zone: *.coolwwwsearch.com
対処法
このO15に関しては、「.com」「.org」などドメイン中にドットが一つのものはHijackThisからFix可能です。
ところが、「.co.jp」などドメインに二つ以上のドットが含まれるものは、エラーも出ずFixできた様にみえるのですが実際には修正されずにログに現れ続けます。
このエントリはIEのインターネットオプションから簡単に削除可能ですので、原則としてこちらを参考に対処して下さい
「信頼済みサイト」のチェック - スパイウェア除去ウィザード
ただし、O1と同様にこれらはスパイウェアによって改ざんされた「結果」ですから、これだけを修正しても症状は改善しません。「原因」の駆除が先決です。
O15に対応するレジストリ
O15に対応するレジストリキー(=IEの「制限付きサイト」)は4種類あります。
現在ログオンしているユーザーのみに反映されるHKCUに2つ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\
そのPCのユーザーすべてに反映されるHKLMに2つ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\
です。いずれの場合も「Domains」の方はドメインそのものがサブキーとして、「Ranges」の場合はIPの範囲で規定されます。
ドメインのキーにあるDWORD値の意味は、
0x00000000 - マイ コンピュータ
0x00000001 - イントラネット
0x00000002 - 信頼済みサイト
0x00000003 - インターネット
0x00000004 - 制限付きサイト
であり、ログに現れる場合は「2」 (信頼済みサイト)が格納されています。
ProtocolDefaultsキー
このO15エントリは、「ProtocolDefaults」キーに関してもチェックを行っています。チェックしているレジストリは、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
に相当します。この「ProtocolDefaults」キーが削除されると、O15には、
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
として現れ、Fixすることが不可能になります。通常この様な状態になることは考えにくいので、このエントリが現れた場合はマルウェアの仕業の可能性が高いです。
この二つのキーをデフォルトの値に修正するには、
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000
のレジストリパッチを用いればOKです。これをメモ帳などのテキストエディタに貼り付け、「.reg」の拡張子で保存して実行します。
ちなみに、この場合のDWORD値の意味は前に書いたものと一緒です。例えばここで「"http"=dword:00000002」などとしてしまうと、自動的にすべての「http://」によるアクセスが「信頼済みサイト」のレベルが適用されてしまいます。
O16 - ダウンロードされた ActiveX の一覧 O16に何かリストされているということは、ActiveXコントローラを使ったプラグインがインストールされているということです。ActiveXコントローラは便利な機能ですが、プログラムのダウンロードをはじめ「何でもできる」危険性をはらんでいます。ですから、これを沢山使うような設定になっているのはセキュリティ上良いことではありません。必要であればすぐにダウンロードできますから、日頃使ってないものは極力削除しておくべきです。なお、WindowsUpdateやFlashなどの、明らかに問題のないエントリはログに現れません。
O16エントリの怖さは、いったん最初に許可してプログラムをインストールしてしまうと、その後警告なしでかなりのことをデフォルトで実行されてしまうことです。すなわち危ないサイトでO16をインストールされてしまうと、以後同様のサイトを訪れた時にActiveXコントローラによって新たなマルウェアを食らってしまう可能性があります。
エントリの例
WindowsUpdateやFlash、Shockwaveなど、明らかに問題がないものについてはログ自体に現れません。
典型的な悪玉の例としては、異様なCLSIDで始まる
O16 - DPF: {11111111-1111-1111-1111-119945377365} (f11213)- mh★tml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f11213.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} (ms-its) mh★tml:file://C:\ss.MHT!http://213.159.117.236/buka.chm::/hz.exe
があります(ログ中の「★」は、Nortonの誤検出防止のために入れたものです)。これと類似のものは無数に報告されています。
判定方法
ログに現れたO16の善悪を識別するために、これらのサイトから検索してみて下さい
CastleCops ActiveX Objects aka O16
HJT DB - higaitaisaku.com
また、こちらはadultさんが問題ない物とあるものを調査する方法について詳細に書かれたものです。O16の解析に大変役立ちます。
HijackThis の O16 エントリからわかる事 - 【アダ被害の部屋】Wiki
前に書いたように必要な場合には「セキュリティ警告」とともにいつでもインストールできるものですから、極端な場合は全部Fixしても構わないです。
FixすることによってPCに深刻なダメージを与える可能性はありませんので、「疑わしきはFi x」が基本方針です。
ただし、インストールしているアンチウイルス関連のエントリは不具合が起こる可能性があるのでFixは避けて下さい。
例えばMcAfeeが出すこちらのエントリ
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/jp/1,0,0,21/mcgdmgr.cab
に関しては、FixしてしまうとMcAfeeの再インストールが必要な事態を招くことがあるのでFixは避けて下さい。
対処法
HijackThisから問題なくFixすることができます。
O16に対応するレジストリ
Microsoftの「Windows Genuine Advantage」のエントリを例にとります
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
レジストリには、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units
にCLSIDのサブキーとして登録されています。 すなわち、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{17492023-C23A-453E-A040-C7C580BBF700}]
です。その中の「DownloadInformation」に、
"CODEBASE"="http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409"
"INF"="C:\WINNT\Downloaded Program Files\LegitCheckControl.inf"
として定義されている値のうち、上の"CODEBASE"がログに現れています。
また、ログには現れませんがこの"INF"の中身のinfファイルは(この場合は「C:\WINNT\Downloaded Program Files\LegitCheckControl.inf」)には関連のファイルの情報が記述されています。これはもともとこのファイルの記述に基づいてインストールされた訳ですから当然といえば当然ですが。ただし、「Downloaded Program Files」フォルダ内の詳細を見るにはちょっとしたコツが必要です。こちらを参考にして下さい。
Downloaded Program Filesフォルダ内の詳細を見る方法 - 【アダ被の部屋Wiki】
もう一ヶ所、このCLSID({17492023-C23A-453E-A040-C7C580BBF700}など)をキーとして、
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
の下に値の名前として設定されてます。この場合だと、
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17492023-C23A-453E-A040-C7C580BBF700}]
です。このキーの既定の値として、
@="Windows Genuine Advantage"
が定義されており、これがエントリの中に、内容を識別するための名前として現れます。