Windows Server 2003 を再起動すると、灰色の画面が表示されることや、コンピュータが応答を停止したように見えることがある

文書番号: 924995 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

Computer Associates (CA) eTrust Antivirus のシグネチャ 303.3.30.54 は、Microsoft Windows Server 2003 の Lsass.exe ファイルを、感染したファイルとして認識し、隔離します。この動作が原因で、コンピュータの再起動時に灰色の画面が表示される場合があります。また、コンピュータが応答を停止したように見える場合もあります。
先頭へ戻る | フィードバック

現象

Windows Server 2003 を再起動すると、灰色の画面が表示されたり、コンピュータが応答を停止したように見えたりする場合があります。そのコンピュータは、ping コマンドには応答を返す場合がありますが、他の方法でそのコンピュータにアクセスすることはできません。また、Win32/Lasssrv.b ウイルスに関する簡単な警告メッセージが表示される場合もあります。
先頭へ戻る | フィードバック

原因

この現象は、Lsass.exe ファイルが実際にはウイルスに感染していない場合でも、Computer Associates eTrust ソフトウェアによってこのファイルが隔離されたことが原因で発生します。

CA のウイルス対策シグネチャ 303.3.30.54 は、Lsass.exe ファイルをウイルスとして認識します。このシグネチャは、クライアントの構成に応じて、Lsass.exe ファイルを削除または隔離します。詳細については、次の CA Web サイトを参照してください。
http://www.casupport.jp/resources/info/eitm_0905_bk060906.htm
(http://www.casupport.jp/resources/info/eitm_0905_bk060906.htm)
先頭へ戻る | フィードバック

回避策

この問題を回避するには、Lsass.exe ファイルを置き換えます。Lsass.exe ファイルを置き換えるには、次のいずれかの方法を使用します。

方法 1 : 回復コンソールを起動した後、Lsass.exe ファイルを置き換える

  1. 回復コンソールを起動した後、目的のインストールに対応する番号を入力します。
  2. コンピュータのローカル管理者のパスワードを入力します。
  3. 次のコマンドを入力します。
    copy c:\windows\system32\dllcache\lsass.exe c:\windows\system32\lsass.exe
    : このコマンドを実行したときに "ファイルが見つかりません" というエラー メッセージが表示された場合は、正常に機能するコンピュータからフロッピー ディスクに Lsass.exe ファイルをコピーする必要があります。または、このファイルを Service Pack から抽出して、フロッピー ディスクにコピーすることもできます。その場合には、次のコマンドを入力します。
    copy a:\lsass.exe c:\windows\system32\lsass.exe
  4. セーフ モードでコンピュータを再起動します。
  5. すべてのウイルス対策サービスを無効にします。これを行うには、次の手順を実行します。

    重要 : 以下の手順を実行すると、セキュリティ リスクが高まるおそれがあります。また、悪意のあるユーザーやウイルスなど悪意のあるソフトウェアによる攻撃をコンピュータまたはネットワークが受けやすくなる場合もあります。この資料の手順は、プログラムの設計どおりの動作を可能にする場合、または特定のプログラム機能を実装する場合にお勧めします。これらの変更を行う前に、記載された回避策を現在の環境に適用した場合の危険性を評価することをお勧めします。この手順の使用を選択した場合は、記載されている手順以外にも、システムを保護するための適切な手順を実行してください。この手順はどうしても必要な場合にのみ実行することをお勧めします。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。msconfig と入力し、[OK] をクリックします。
    2. [サービス] タブをクリックします。
    3. [Microsoft のサービスを全て隠す] チェック ボックスをオンにし、すべてのウイルス対策サービスを無効にします。
  6. コンピュータを再起動した後、CA のシグネチャを更新します。 このシグネチャを更新するには、次の CA Web サイトを参照してください。
    http://www.ca.com/jp/securityadvisor/virusinfo/signaturefiles/detail.aspx?CID=49737
    (http://www.ca.com/jp/securityadvisor/virusinfo/signaturefiles/detail.aspx?CID=49737)
    Lsass.exe ファイルが Dllcache フォルダの一覧に表示されない場合は、別の方法を使用してこのファイルを入手することが必要な場合があります。

方法 2 : 回復コンソールを使用して eTrust のサービスを無効にする

重要 : 以下の手順を実行すると、セキュリティ リスクが高まるおそれがあります。また、悪意のあるユーザーやウイルスなど悪意のあるソフトウェアによる攻撃をコンピュータまたはネットワークが受けやすくなる場合もあります。この資料の手順は、プログラムの設計どおりの動作を可能にする場合、または特定のプログラム機能を実装する場合にお勧めします。これらの変更を行う前に、記載された回避策を現在の環境に適用した場合の危険性を評価することをお勧めします。この手順の使用を選択した場合は、記載されている手順以外にも、システムを保護するための適切な手順を実行してください。この手順はどうしても必要な場合にのみ実行することをお勧めします。
  1. 回復コンソールを起動します。
  2. 次のプロセスを無効にします。
    • eTrust Antivirus Job Server
    • eTrust Antivirus Realtime Server
    • eTrust Antivirus RPC Server
    : これらの eTrust プロセスを無効にしなかった場合、Lsass.exe ファイルは再度隔離されます。
  3. Lsass.exe ファイルを C:\Windows\System32\Dllcache フォルダと C:\Windows\System32 フォルダにコピーします。
  4. コンピュータを再起動した後、CA のシグネチャを更新します。 このシグネチャを更新するには、次の CA Web サイトを参照してください。
    http://www.ca.com/jp/securityadvisor/virusinfo/signaturefiles/detail.aspx?CID=49737
    (http://www.ca.com/jp/securityadvisor/virusinfo/signaturefiles/detail.aspx?CID=49737)

方法 3 : システム上で Windows プレインストール環境またはパラレル インストールを使用してアクセスを可能にする

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

: この方法は、回復コンソールを使用できない場合にのみ使用してください。
  1. コンピュータで Windows Server 2003 Service Pack 1 (SP1) が実行されているかどうかを確認します。これを行うには、次のいずれかの方法を使用します。Windows プレインストール環境 (Windows PE) にアクセスできる場合は、1 つ目の手順を使用します。
    • Windows PE を起動し、レジストリ エディタを起動します。[HKEY_local_machine] をクリックし、次のレジストリ サブキーの下にある CSDVersion REG_SZ 値の値を確認します。
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • サーバー上にパラレル インストールを作成し、レジストリ エディタを起動します。[HKEY_local_machine] をクリックし、次のレジストリ サブキーの下にある CSDVersion REG_SZ 値の値を確認します。
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  2. Windows CD から Lsass.exe ファイルを抽出します。または、問題が発生しておらず、同じレベルの Service Pack が適用されたサーバーから Lsass.exe ファイルをコピーします。

    : パラレル インストールを実行した場合、必要に応じて Windows Server 2003 SP1 を適用した後、そのパラレル インストールから Lsass.exe ファイルをコピーできます。
先頭へ戻る | フィードバック

プロパティ

文書番号: 924995 - 最終更新日: 2007年6月12日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
キーワード:?
kbtshoot kbprb KB924995
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る