初期化の原因を探る

ども。
今秋を「食欲の秋」にだけはしないよう注意している担当ちゅんです。

とある学校のPC教室で不可解な出来事が発生しました。1台のPCのCドライブにインストールされていたアプリケーションなどが一切無くなってしまったとのこと。それだけではなく、起動させると「ようこそ」画面からスタートし、マシン名もドメイン名も全てが初期値に戻ってしまったとのことです。

さあ大変です。最も危惧するケースとしては、ランサムウェアなどに感染したことに伴って発生したインシデントの可能性。この場合は一大事となり、ネットワーク接続されているサーバ等システム全体への影響が懸念されます。ただ、今回の症状を見るに、間違いなく「初期化」されていて、工場出荷時の状況に戻っているように感じられます。

念のためPCを職場に運搬し、じっくりと調査を行いました。全てのファイル・アプリケーションは見事にクリーンアップされてしまっています。イベントログを見てみると、システムログもアプリケーションログも綺麗さっぱりある日を境に消えてしまっています。コマンドから「systeminfo」を見てみると、「最初のインストール日付」もその日になっています。どうやら、間違いなく再インストールされてしまったようです。
あれこれ探っているうちに、Windowsディレクトリの中に「DtcInstall.log」なるファイルを見つけました。タイムスタンプはイベントログが消去されたその日になっています。中を開いてみると「DTC Install error = 0, SysPrepDtcCleanup」といった文字が並んでいます。

「Oh…,SysPrep….」

はい、どうやら原因が見え隠れしてきましたね。同じく、Windowsディレクトリ内にあったhogehoge.logというファイルを片っ端から開いていくと、中には「WinPE」という表記であるとか「User HDD」などの表記が確認できました。
つまり、今回の出来事、原因はハードディスク内のリカバリー領域からWindowsPEが実行され、リカバリーが実行されたことで起きたものと考えられます。おそらく、生徒が興味本位で実行してしまったか、どなたかが間違って実行してしまったものなのでしょう。
最悪のケースにならずに済んでホッとしました。やはり、じっくりと観察することは重要なことです。原因を突き止めるまでは、諦めてはいけませんね。

リカバリー中
実際にリカバリーして同じ状況になるのを確認しました。やれやれ・・・。

(投稿者:ちゅん)


カテゴリー: つぶやき パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です