:>>サポート記録

svchost.exeアプリケーションエラー(妙高市工団町)

NEC_LL910/A WindowsXP
<症状>
Windows起動しログオン画面で「svchost.exeアプリケーションエラー」、パスワード入力しログオンしてもすぐにログオフしてしまい、ログオンできずデスクトップが表示されない。

svchost.exeアプリケーションエラー ←クリックで拡大します

<対処>
そのままの状態でいると、次に別のエラーが表示されます。なんだかシステムプログラムが正常に動作していないようです。
でも「helpers32.dll」ってなんだろう

正しくないイメージ ←クリックで拡大します

セーフモードでも同様にログオンできません。Administratorでも同じです。こうなるとかなり面倒です。

お客様かのお話では、マカフィーがトロイの木馬を検出し隔離してから症状が出るようになったとのこと。もしかしてウイルス感染が原因している可能性も考えられました。

とにかくも最低セーフモードでログオンできないとどうにもならないのでその回復に取り掛かりました。

まずはハードディスクの障害がないかチェックしましたが特に問題はなさそうです。次にシステムの復元を考えましたがセーフモードすら使えませんので普通にはいきません。ここでknoppixの出番です。

詳細は割愛しますが、C:¥System Volume Informationの中にある過去のある時点でのレジストリをC:¥windows¥system32¥configへコピーします。今回は正常だった7月1日時点を選びました。この状態で正常にログオンできるかやってみます。今度はセーフモードで正常にログインできました。ということはシステムファイルではなくレジストリが破損もしくは不正な状態になっていた可能性があります。

先のお客様のお話からウイルス感染の疑いもありましたので、セーフモードネットワークで起動して、トレンドマイクロのオンラインウイルススキャンを実行しました。いくつか検出されましたが特に重大なものは出てきませんでした。

先ほど書いた「helpers32.dll」はインターネットで検索すると「Security Essentials 2010」という偽ウイルス対策ソフトのファイルであるらしい。かなりやばいみたいですが。。。

次に通常モードで再起動して正常にログオンできましたのでひとまず安心。もともとインストールされていたマカフィーが更新されていないという表示がでていましたので、更新を行いました。

ちなみにC:¥Program filesを確認したら「Security Essentials 2010」というフォルダがありました。中身は空でした。やはりその偽ソフトが入り込んだ可能性があり、マカフィーが駆除した時にレジストリが破壊された可能性が考えられます。