with no name on hatena.

■[life]PCの反乱再び

ここ数日、メインマシンであるところのThinkPad T42がまともに動かなくなって弱ってました。が、悪戦苦闘の末、今日の夜になってようやくまともに動くように。鎮圧宣言。

エンジニアの端くれとしては紺屋の白袴的なところもあってちょっと恥ずかしいんですが、もしかしたら同じような症状に見舞われてる人がいるかもしれないので細かめに記録を残しておきます。Web上でどんぴしゃな解決策が見当たらなかったし。

症状

• ある時突然WindowsXPが起動しなくなった。
• HW増設したりとかソフトをインストールしたとかそういう記憶はない。
• 初期ロード画面（ThinkPadなのでIBMのロゴ）は表示されるが、その先に進まない。ディスプレイはブラックアウトしたまま。HDDへのアクセスもない。
• リカバリディスクの類は用意してない。
• 家族共用マシンがあるのでwebを調べたりとかはできる。

格闘の経緯

1. Access IBMボタンを押すとRescue and Recoveryは立ち上がる。BIOSの設定画面にも入れる。なので最低限のHWは大丈夫っぽい。
2. Rescue and Recoveryであれこれしてみようと思うも、パスワードが分からない＞＜
3. すぐに解決しない予感がしたので、とりあえずHDDのデータが無事かどうか確かめてみることに。
4. CD起動ができるLinux（SystemRescueCd）を準備。ちなみにチョイスに深い意味はなし。使い慣れてるものがあるわけじゃないので、webで探して適当にチョイス。
5. SystemRescueCdでCドライブをマウントしたらちゃんと読めたのでHDDが死んだわけではなさそう。
6. HWも生きててHDDも無事となると、MBRが死んだか？
7. Lenovoが用意しているリカバリー修復ディスケットを使ってMBRの復旧を試みる。と思ったらFDDドライブが見つからない。持ってたはずなんだけどなあ。捨てたのか何なのか見当たらなかった．．．
8. 仕方がないのでFDDドライブ購入。約4,000円。結構いいお値段。
9. ところがMBRを復旧しても事態は変わらず。ここでだいぶ行き詰る。
10. Webをうろうろしてたら、そう言えばセーフモードを試してないことに気づく。と言うか、セーフモードはWindowsのロゴが出てから切り替えるんだとばかり思い込んでた。
11. セーフモードで立ち上げてみたら特定のドライバロードで毎回確実に止まることが判明。見方を変えると起動の最初期段階はクリアしてるって事で、MBRとかその辺が犯人じゃなかった。HWじゃなくてドライバ側がイカれたという線で調査することに。
12. 回復コンソールを使うために起動ディスクを用意。イマドキFDD6枚って＞＜（足りなくて買い足した）
13. 起動ディスク経由でCドライブ配下を探索。C:\windows\system32\driversあたりを。タイムスタンプを頼りに怪しいものを探す。（この時点では、ドライバファイルが壊れてるのが原因で、コピーして置き換えれば直ると考えてた）
14. 起動しなくなった頃のタイムスタンプを持ち、ファイルサイズが0バイトのgghxov.sysというファイルを発見。何か怪しい．．．ググってみても全然ヒットしない。
15. 一方、Listsvcコマンドで確認したら確かにブート時にロードされる設定になってた。
16. Disableコマンドでgghxov.sysを無効化してマシンをリブート。
17. 無事Windowsが立ち上がるように!!

結論

症状から見て十中八九ウィルスかトロイの木馬あたりだろうなあ。gghxov.sysって言うのはランダムに振られる名前でしょう。復旧後にNorton先生のフルスキャンをかけたらトロイの木馬らしきものが一つ捕獲されたのでそいつが犯人かも。

一応セキュリティは人並み程度には気を使ってたつもりなんだけど、Norton先生のライセンス購入が遅れてちょっと空白期間が出来たのがまずかったかなあ。油断大敵ですね．．．

教訓

• ウィルス対策ソフトはとりあえず入れとけ。
• バックアップはこまめに。
• リカバリディスクは用意しておくべき。
• メインマシンに全てを託しちゃダメ。サブマシンなりクラウドなりを上手く活用すべし。