ログオン時に黒い画面とコマンドプロンプトが開く– Explorerシェルなし

コンピューターの暗号化マルウェアの感染により、ユーザーアカウントにログインした後、コマンドプロンプトウィンドウが開いた状態で黒い画面が表示されます。 コマンドプロンプトウィンドウにexplorer.exeを手動で入力しない限り、デスクトップ、タスクバー、壁紙(エクスプローラシェル)は読み込まれません。 この問題は、マルウェアやクリプトマイナーの削除後も続く可能性があります。

マルウェアは、ログインごとにコマンドプロンプトが開き、コマンドプロセッサの自動実行レジストリ値を使用して不正なプログラム/コマンドラインを自動的に実行するように、レジストリ設定を変更している可能性がAutorunます。

MicrosoftのAutorunsユーティリティを使用してWindowsの起動を管理する場合、マルウェアによってWinlogon\Shell値が( HKEY_CURRENT_USER下に-ユーザーごとのオーバーライドとして)追加されていることがわかります。

%comspec%を現在のユーザーのデフォルトシェルとして設定

起動時の黒い画面とコマンドプロンプトの解決策

問題を解決するには、次の手順に従います。

  1. コマンドプロンプトウィンドウで、 explorer.exeと入力し、Enterキーを押します。
  2. レジストリエディター( Regedit.exe )を起動し、次のブランチに移動します。
  3.  HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon 

  4. 右ペインで、 Shellレジストリ値を右クリックし、[削除]を選択します。
  5. Winlogonキーを右クリックし、[ HKEY_LOCAL_MACHINE移動 ]をクリックして、 HKEY_LOCAL_MACHINEルートキーの下の同等のレジストリキーにジャンプします。 次のキーに移動します:
  6.  HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon 
  7. シェルの値がexplorer.exe設定されていることを確認します
  8. 次に、次のキーに移動します。
  9.  HKEY_CURRENT_USER \ Software \ Microsoft \ Command Processor 
  10. Autorunという名前の値が存在する場合は、右クリックして[削除]を選択します。
  11. レジストリエディタを終了します。

また、Malwarebytes Premium(14日間の全機能試用版が利用可能)を使用したフルシステムスキャンと、まだ実行していない場合は更新された定義を使用したウイルス対策ソフトウェアでフォローアップします。

関連記事