江島潔オンライン 山口県雲丹製造工業協同組合 合氣万生道


Winユーザの部屋 一覧に戻る
投稿番号:104385  投稿日:2002年12月30日 10時38分34秒 パスワード
お名前:SiMa

特定の種類のファイル全て消失-Part2

キーワード:突然 ファイル 消失
コメントの種類 :トラブル相談

以前にファイルがごっそりと消失して書き込みをさせて頂きました。

http://bbs.tip.ne.jp/win_slink/104342_12.html

その後、残りファイルはバックアップを取ったものの、今度はなんとCドライブ上のショートカットが全て無くなりました。(他のドライブにはショートカットが無かった為、Cドライブしか確認できず)

今回、消えたタイミングをしっかり見ていたのですが、状況としては、

起動後、2日程付けっぱなしったので、特に不調は無かったのですが再起動をかけたら・・・

起ち上がったときに、デスクトップがやけに寂しい・・・ん?とよくみるとフォルダやマイコンピュータ、マイネットワーク等を残してショートカットが全部無くなってる!?

もしや、と思いスタートアップメニューをみてみるとフォルダだけ残してその中身(ショートカット)がごっそりと消失・・・もちろん、起動時に自動で起ち上がるべき常駐アプリも、起ち上がっていません。(WinXP-SP1、更新は自動DLにて常に実行済みです。)

今さら「助けて下さい・・・!」などと言うつもりはありませんが、皆様この症状、どう思われますか?やはり変な病気を疑うべきなのでしょうか。

ちなみに、LAN上の他のマシン(Win2000-SP3フル更新、とMac)は特に異常なしです。ウイルスチェックでも引っ掛からないし、何か変???です。

[1]驚きさんからのコメント(2002年12月30日 12時45分43秒 )
パスワード
不可解な現象ですね。
ちなみにお使いのHDDのメーカーなどは、どちらですか?

[2]KINさんからのコメント(2002年12月30日 15時20分46秒 )
本人によりコメントは削除されました。 2002年12月30日 15時22分18秒

[3]KINさんからのコメント(2002年12月30日 15時23分37秒 )
パスワード
WindowsUpdateはされているとのことで、可能性は低いですが、
症状としてはこの中ほどにあるのが近いですね。

http://vmag.vwalker.com/news/microsoft/art.asp?newsid=360

[4]BADさんからのコメント(2002年12月30日 15時53分46秒 )
パスワード
ウィルスの可能性は?

少し昔ですが、再起動後に発症すると言う事なので↓を連想しました。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.whiter.trojan.html

亜種がかなりあるって話ですが。

[5]hamakkoさんからのコメント(2002年12月30日 21時50分15秒 )
パスワード
98と2kの両方で、時を異にして起こるということで、ネットワークからのクラッキングの可能性を疑ったのですが、

>起動後、2日程付けっぱなしったので、特に不調は無かったのですが再起動をかけた>ら・・・起ち上がったときに、デスクトップがやけに寂しい・

は、クラックとしても単純ではないのですね。再起動をかける前は、少なくとも的もであるようにみせかけているか、再起動過程で、消去するよう仕掛けてあったか?

ウィルスチェックを掛けて、見つからなかったとのことですが、該当するウィルスのパターンがなければ見つかりません。BADさんご指摘のウィルスパターンはありましたか?亜種も含めて。

実は似たようなことを言っている人が他にもいます。ただ、その人の場合、あまりにも非科学的表現をしており、かつ、観察も科学的態度とは言いがたいため、誰も真剣に取り上げていないのですが、SiMaさんの場合は、そうではないので、出来るならごいっしょに考えさせてもらいたいと思っています。ただ、SiMaさんの観察だけが頼りなのですね。まず、ウィルスと、NWからのクラッキングの可能性がどうなのかを押さえてみてください。

[6]SiMaさんからのコメント(2002年12月31日 05時44分46秒 )
パスワード
●皆様、いろいろと貴重なご意見ありがとうございます。大変為になります。只今ちょっと立て込んでおり、返信が遅れがちになってしまいます。申し訳ありません。

>ちなみにお使いのHDDのメーカーなどは、どちらですか? (驚きさん)

●一年程前からの構成で、
 Primary-Master / Seagate-ST340810A (C:D = 1:4)
 Secondary-Master / SONY-CRX-160E
 Secondary-Slave / Maxtor-DiamondMax80 (E)
となっております。()内はドライブ割り当てです。

CドライブがFAT32でWin98からのアップグレードによりWinXPが入っており、D、EドライブはNTFSでファイル置き場となっております。

>症状としてはこの中ほどにあるのが近いですね。(KINさん)

●読んでいるとよく似た感じの症状がありますね。ただ、条件的にあてはまるものが見当たらないのと、アップデートの履歴をみてみると(メニューから消えていて検索しなければ行けない(泣)ブックマークとればいいけど。)最終更新日が12月21日で、それから10日程は何も無い(毎日使用)というのが不可解な所です。

>少し昔ですが、再起動後に発症すると言う事なので・・・・亜種がかなりあるって話ですが。(BADさん)

●よく読み、スキャンしてみましたがこれもヒットせず、です・・・「亜種」について、ハッキリ判らなくてをどうしたもんだか、と思っております。現在いろいろと調査しておりますが。とにかくTrojan、怪しい感じはしますね。

>実は似たようなことを言っている人が他にもいます。・・・(hamakkoさん)

●やはりファイル消失ですか?「非科学的表現」というのにも何やら興味はありますが、気持ちは解る気がします。

あと、特筆すべき(なのか?)な点は、このマシンでウェブを見ることがめったになく、(WindowsUpdateぐらいです。)この一週間もブラウザを起ち上げていないのと、メールなどの設定も一切していないのです。現在の書き込みも含めて、ネット関係はほとんどMacでやっています。クラッキング等、ケーブルで繋がっている以上関係ないのかもしれませんが。

マシンはほぼいつも起ち上がっているので様子をみていきたいと思っています。

※前に会社でアタック状況を監視するツールを使用している人がいたのですが、ツールの名前を知らないので、(時間がとれたら調べてみますが)その類でおすすめなものってありますか?

[7]YESさんからのコメント(2002年12月31日 10時13分53秒 )
パスワード
クラッキングによるものなのか
マシン上でのみ起きていることなのか
切り分ける意味で、
可能であるならば当面の間
問題のPCをLANから物理的に切り離してみてはいかがでしょ?
必要な時以外、LAN線を抜いておくということです。

あと、今ふと思ったのですが、
XPのリモートデスクトップ機能で
「侵入」された可能性もあるのかなぁ・・・

[8]hamakkoさんからのコメント(2002年12月31日 16時17分14秒 )
パスワード

>●やはりファイル消失ですか?「非科学的表現」というのにも何やら興味はあります>が、気持ちは解る気がします。


そのとおりです。しかも、「朝PCを触って、それから電源を落としてあるのに、夜帰って電源をいれるとファイル群が消えている。」と。
この現象は、実は、SiMaさんの再起動後に消えているという現象と同じですね。再起動前に仕掛けて、再起動時のどこかで、実行している可能性が高いですね。

更なる情報をお待ちしています。

ああ、YESさんのご提案も是非。

[9]hamakkoさんからのコメント(2002年12月31日 16時55分15秒 )
パスワード
下記キーワードで、Googleしてみたら、

delete "specified files" virus


こんなのがありました。
http://www.symantec.com/avcenter/venc/data/w32.xtc.worm.html

W32.XTC.Worm is a worm with backdoor capabilities that allows people on IRC to control the worm's behavior, including updating the worm itself.

Deletes files: The worm can be instructed to delete specified files

つまり、特定のファイルを消せます。しかも、バックドアから、何を消すか指示できそうですね。
まだ詳細は読んでいませんが。

[10]fueさんからのコメント(2002年12月31日 22時24分09秒 )
パスワード
こうなったら徹底的に原因を究明しましょう。
OSを再度クリーンインストールしてみることも必要でしょう。
あるいは、OSを変更してみることも。

その前に、YESさん提案の

>LAN線を抜いておくということです。

で様子をみてみましょう。

とにかく、いろんなことをやって消去法で特定していくしかないでしょう。

[11]hamakkoさんからのコメント(2002年12月31日 23時45分36秒 )
パスワード
>●これなのですが、ウチの環境はルーターからすべて有線LAN(Ether)でMac2台
>とWin2台で無防備にも防御無しでファイル共有(フルアクセス)しておりますが、
>やはり無線でなくてもヤバ気ですよね。

ルータがどんなルータかによります。ブロードバンドルータで、IPマスカレードをしていて、バーチャルサーバを指定していなければ、SMBファイル共有プロトコルによる外からの侵入はできません。ですが、そのPCが、固定グローバルIPをもっているのなら(ルータの設定次第ですが)、外からファイル共有できると思います。ネットワークコンピュータに表示されなくても、たまたまクラッカがまぐれでそのPCのIPアドレスに当たって、かつドライブが丸見えになればですね。

クラッカーどもは、なぜ、こんな個人の田舎のサーバの、こんなポートを見つけるのかと思うようなものを見つけて侵入してきますよ、世界の果てから、本当に。

[12]SiMaさんからのコメント(2003年01月02日 17時24分27秒 )
パスワード
皆様、本当に色々と情報を下さいましてありがとうございます。別マシンの修理が無事に終わりまして(こっちはハードのトラブル)、ただいま実家に帰省しております。という訳で、現在の詳しい状況をお伝えできないのですが、帰省直前に隔離をしておこうとLANケーブルを切り離し、また再起動をしたところ、すごいことになりました。

起動した瞬間に、さまざまなアプリケーションが次々と起動し、その結果ほとんどのものがエラーなどのアラートやメッセージを出し、そのメッセージウィンドウなどでデスクトップが埋め尽くされている、というものです。

さすがにビビりまして、全て「キャンセル」や「いいえ」等を選択してすぐに再起動してみると全く同じ状況に陥りました。すぐに家を出なければならなかったのでとりあえずまた一つずつ「いいえ」などのボタンを押して静めた状態で起動したまま(マシンは隔離状態です)家を出ました。

時間が無くあわてていたので詳しくは見ていませんが、中にはアンインストールや削除をしようとしているものもあり、かなりあやしい状態です。家に戻ったらまた詳しく報告をさせて頂きたいと思っております。乱文にて失礼致しました。

[13]hamakkoさんからのコメント(2003年01月04日 22時47分56秒 )
パスワード
>起動した瞬間に、さまざまなアプリケーションが次々と起動し、

 (-o-)

>家に戻ったらまた詳しく報告をさせて頂きたいと

お待ちしています。

[14]RedEyeさんからのコメント(2003年01月05日 21時23分28秒 )
パスワード
SiMaさん、みなさんこんばんは。
初投稿させていただきます。とゆうのも、SiMaさんと似たような
現象が先ほど起こり、色々調べているうちにこのページに
たどりついたところです。

私の現象を説明します。
OSはWindows XP Pro SP1で、ハードディスクは3台内臓してあります。
また、Windows Updateも結構頻繁に行ってます。

当方マイドキュメントを、Eドライブに移動させており、お気に入り、
メールデータなども、全てその中にあります。もちろんマイピクチャや
マイミュージックなどもです。
これらのうち、お気に入りフォルダ内のサブフォルダや、
メールデータ(Shuriken Pro2)を保存しているフォルダ、
他には[仕事]というフォルダ、[資料]というフォルダ、[バックアップ]という
フォルダの中のファイルが全て消えていました(フォルダ内が空)。
また、[システム]というフォルダがあり、その中にいくつかサブフォルダが
あるんですが、その中のいくつかのサブフォルダ内のファイルが消えていました。
ちなみに、マイピクチャなどは無事です。
SiMaさんのケースと異なる点は、消えたファイルに共通点がないという点です。
ハードディスク内のファイルを色々調べましたが、被害にあったのは、
マイドキュメント内のいくつかのフォルダだけみたいです。

考えられる原因は
@ ハードディスクの故障
A ウイルス
B コンピュータ上のトラブル
C クラッカーによる不正侵入

です。@に関しては、CheckDiskをかけたが問題なし。Aに関しては
ウイルスチェックに何も引っかからず。次にBなんですが、昨日
もう一台のノートパソコンから、初めてオフラインフォルダという
機能を試してみようと思い、テストであるフォルダを共有し、実行しましたが、
途中でエラーがでて(エラー内容は失念しました)、うまくいきませんでした。
そこで、あきらめて、すぐに解除しました。ちなみに共有したフォルダは、
マイドキュメントとは別のドライブにあり、今回消失したファイルとは
なんら関係もないものです。
次にCですが、当方ADSL環境で、ルータ越しに有線LANでネットにつないでます。
また、インターネットをしてないときは、5分で自動切断されるよう
設定してるので、毎回IPが変わります(確認済み)。
ですが、やはりクラッカーの侵入がないとはいいきれません。

一応メールデータ以外はバックアップをとってあったので(メールはあまり
書かないもので(^_^;) )、被害はそれほどでもないのですが、今かなり不安です。
やはりウイルスorクラッカーですかね?それともBが大打撃だったんでしょうか?

[15]SiMaさんからのコメント(2003年01月06日 02時48分58秒 )
パスワード
すみません、日数が経ってしまいましたが、先程戻りましたので詳細を書かせて頂きます。

まず、今更なのですが本体の機種はSONYのVAIO(PCV-R70)で、ハード的な変更点は、

●メモリー増設
 PC133-CL3 256MB×2枚
●CD-Rドライブ交換
 CRX-100EをCRX-160Eに交換
●CPU交換
 Pentium3-550MHzをPentium3-1GHzに交換
●HDD交換・追加
 ブートドライブIBM-20GBをSeagate-40GBに交換
 セカンダリースレイブにMaxtor-80GBを追加
●USBポート(このマシンEtherもってないんで・・・)
 IO-DATAのUSB-ET/TX-SにてLAN接続(現在抜いております)

です。OSは付属のリカバリーROMにてWin98インストール後、WindowsXP-Proにアップグレード、それに伴いGigaPocket(VAIOのMPEGキャプチャソフト)をWinXP対応のVer.3にしました。追加アプリはTMPEGEncとNero5(B's Recorder関係はアンインストール)、それ以外は解凍ツールぐらいです。

NETやLANの状況は、YahooBBのADSLモデムからルーター(NetGenesisのSuperOPT90、デフォルト設定)を介してこのマシン以外に自作マシン(Iwill DP-400 / Win2000 SP3)とMac2台が繋がっており、これらのマシンにはトラブルは出ていません。

さて、先日ちらっと起動時にいろいろと起動するという症状が出た件ですが、とりあえず起動したものを全て閉じてTV録画(予約録画含む)やCD-R焼きなどを試しましたがふつうに使えています。もう一度再起動、やはりバラララっと色々と起ちあがってきます。以下が、それらの一覧です。

■アラートダイアログ
 ●Installer error
  The exectable file has been corrupted (ボタン[OK])
 ●AU30HWEQ
  (黄色三角!マーク)Error:Can't initialize driver.(ボタン[OK])
 ●ActiveX Debugging for Java
  Enable ActiveX Debugging for Java?(ボタン[はい]、[いいえ])
   ↓
  ([いいえ]を選択後)ActiveX Debugging for Java disabled.(ボタン[OK])
 ●Windows 障害報告ツール
  (赤丸×マーク)eyedog.ocx コントロールの作成エラーです。
 ●Confirm File Delection(2つ開いている)
  (フキダシ?マーク)Are you sure you want to completely remove the
  selected application and all of components?(ボタン[はい]、[いいえ])
 ●ファイル削除の確認(2つ開いている)
  (フキダシ?マーク)選択したアプリケーションとそのすべてのコンポーネントを完全に削除しますか?
  (ボタン[はい]、[いいえ])
 ●アプリケーションの削除
  (黄色三角!マーク)コントロールパネルの[アプリケーションの追加と削除]からアプリケーション
  の削除用のプログラムを起動してください。(ボタン[OK])
 ●NTVDM.EXE アプリケーション実行エラー(5つ開いている)
  (黄色三角!マーク)メモリ不足のため実行できません。いくつかのWindowsアプリケーションを終了
  してからやり直して下さい。(ボタン[OK])
■その他
 ●Vortex Control Panel(設定パネル)
 ●Uninstallation(選択肢のパネル、リストにはRealPlayer4.0だけ)
  Please choose product to uninstall(ボタン[OK]、[Cancel])
 ●"C:\vaio-demo\change-vaio\open"はどこですか?(ファイルを開くダイアログ)
  (キャンセルしても何故かフルスクリーンでGigaPocketのデモムービー起動)
 ●Windows ヘルプ(ファイルを開くダイアログ)
 ●レジストリエディタ
 ●メモ帳
 ●CDプレイヤー

ちょっと判りづらいと思いますが、こんな感じです。

>RedEyeさん
ファイルが消えたショックもあるのですが、原因のつかめない不安が結構あるんですよね。

>クラッカーどもは、なぜ、こんな個人の田舎のサーバの・・・侵入してきますよ、世界の果てから、本当に。(レス[11]、hamakkoさん)
そうなんですか!今回の原因がどうなのかは別として、怖いですね。やはり侮るべきではないですね、セキュリティ対策。

それでは、年始から遅刻する訳にもいかないので本日は落ちますが、また何かあれば報告したいと思います。

[16]RedEyeさんからのコメント(2003年01月06日 07時14分46秒 )
パスワード
SiMaさん、お帰りなさい。
すごい状況ですね(^_^;)。
SiMaさんとの私の環境の共通点ですが、
・機種がVAIO(PCV-RX63)である。
・OSがWinXP Pro SP1(当方はクリーンインストール)。
・Giga Pocket(v4.3)をインストールしている。
・Nero、TMPGEnc(for VAIO)をインストールしている。
・HDDを増設している(3台)。
です。被害にあったHDDは、プライマリーマスターに接続してあり、
パーティションを2つに区切って、C:10GB、E:70GB(被害ドライブ)に設定してます。
SiMaさんにちょっと確認して欲しいのですが、イベントビューアに何か不審な
メッセージがでてませんか?こちらでは、ちょうどファイルが消失した時間帯に

-------------------------------------------------------------
プロバイダ OffProv10 は LocalSystem アカウントを使うために
WMI 名前空間 Root\MSAPPS10 に登録されました。このアカウントには
特権があり、プロバイダがユーザー要求を正しく偽装しない場合は
セキュリティ違反が起こる可能性があります。
-------------------------------------------------------------

という見慣れないメッセージがありました。しかし、
http://support.microsoft.com/default.aspx?scid=kb;ja;JP418203
によると問題なさそうなんですが、上記URLに該当するようなこと
(アプリの再インストール)は行っていません。よって今のとこ、これも
マークしてます。怪しさ5くらいです。

あと、SiMaさんの状況は、起動する時、様々なものが実行されているみたいですが、
システム構成ユーティリティー(MSConfig.exe)のスタートアップ欄に、不審な
ものはないでしょうか?(当方はありませんでした)。

> Enable ActiveX Debugging for Java?

これ怪しくないですか?(素人観点ですが…)これ何をしようとしているメッセージなんでしょう??

[17]SiMaさんからのコメント(2003年01月07日 10時35分36秒 )
パスワード
なるほど条件的にいろいろと近いものがありますね。

>イベントビューアに何か不審なメッセージがでてませんか?
>システム構成ユーティリティー(MSConfig.exe)のスタートアップ欄に、不審なものはないでしょうか?

これらの点については、後でチェックしてみます。(スイマセン、今会社にいるので…)

Enable ActiveX Debugging for Java?

についてはそうですね、なんか怪しい感じはします。ただ、イキナリこのようなアラートを出されてもどのプログラムが何をしようとしているのかさっぱりです。

あと、私のところはCドライブがFAT32、それ以外がNTFSなのですが、RedEyeさんはどちらでフォーマットされています?すいませんが念のためにお聞かせ下さい。

それと、ついでに関係ないことを教えて欲しいのですが、XPクリーンインストールからSONYのMPEGコーデックやドライバー、ギガポケット等を入れても録画など特に不具合は無いですか?(今起こってる事自体が不具合ですが…!)ギガポケットが使えればいいので私も今度はクリーンインストールしてみようかと思いまして。

[18]RedEyeさんからのコメント(2003年01月07日 16時14分30秒 )
パスワード
私のところは、全てNTFSです。
ちょっと補足ですが、HDDは
Primary Master :Seagate ST380021A (C:10GB, E:70GB)
Primary Slave :Maxtor 4G160J8 (D:160GB, Giga Pocket用)
Secondary Slave:Maxtor 4D080H4 (F:40GB, G:40GB)
となっています。この中で被害にあったのが、Eドライブにある
マイドキュメントです。ちなみにリモートデスクトップ機能はOFFにしてます。
今まで一度もONにしたこともありません。
また、消えたタイミングは、朝シャットダウンするまではあったファイルが
(インターネットをしたので、お気に入りフォルダはその時まであったことになる)
夕方起動するとなくなっていたという、非科学的な表現をされた方と
共通します(その発言スレは見つけれませんでした。ここのBBSですか?)。

ちょっと皆さんにお聞きします。この現象がクラックだと仮定して、
リモートデスクトップやTelnet、FTPなどを使わずに、マイドキュメントの
中を他者がのぞき見ることって可能なのでしょうか?
ちなみにTelnetサービスやFTPなどのサービスも、一度も行ったことは
ありません。また、マイドキュメントの中のファイルは、いかなるものも
共有してません。共有するときは、ちゃんとそれ専用のフォルダがあるので、
そこにコピーしてます。
しかし、私のユーザー名でTelnetでこのコンピュータに入れば、
アクセス権が許されているフォルダはどこでも見れますよね?
とゆーことはTelnetで使用するポート(80でしたっけ??)を
叩かれたのでしょうか?また、そうだと仮定して、それらのログみたいな、
痕跡を探す手段はWindows XPには標準ではないんでしょうか?
質問ばかりですみません。よろしくお願いします。

SiMaさんへ。
私のところはRX63ですが、クリーンインストールしても
Giga PocketやDVgateなど全く問題なく動作してますよ♪
クリーンインストールお勧めです(ただし他社のプリインストールソフトは
使えなくなります)。下記の2つのサイトが非常にためになります。
http://www.cybalion.com/
http://www.roy.hi-ho.ne.jp/yan2/

[19]YESさんからのコメント(2003年01月07日 23時57分51秒 )
パスワード
SP1当てる前のXPでのセキュリティホールのようですが、
海外にこんなのを発見しました。

http://www.pcworld.com/news/article/0 ,aid,104940,00.asp
http://www.theregister.co.uk/content/4/27074.html

WinXPのヘルプセンターを「悪用」して
ローカルのHDDのファイルを削除する
なんてトラップもあるとのこと。

ちなみにこの問題はWinXP-SP1でFIXされてるらしいです。
なので今回のケースに当てはまるとは言えませんが、
別の何らかのセキュリティホールを突かれて
外部から「操作」された可能性は
そんなに低い確率ではないのかもしれません。

[20]SiMaさんからのコメント(2003年01月08日 13時00分11秒 )
パスワード
>イベントビューアに何か不審なメッセージがでてませんか?

システム関係の所だけで3000ぐらいメッセージがあってヘコみましたが、最初にファイルが消えたあたりを重点的に見ていると、少し前に

"Windows File Protection"
(帰宅が遅く今日もまた職場からなので今は詳細は書けませんが、何やらおかしいのでシステムの安定性を保つためにシステム関係の書類を古いものに戻しますとか何とかそういった感じの内容だったような…スイマセン、文章をコピペすればよかったのですが。)

というのが10コ程連続しています。この種類のログは11月から今までの3000項目のログの中でココと、11/30に2コあるだけで、他は

"Service Control Manager、eventlog"

等といったものがほとんどです。時々単発で"system error"とかが発生しているのですがまだチェックしきれず、な状態です。

>システム構成ユーティリティー(MSConfig.exe)のスタートアップ欄に、不審なものはないでしょうか?

コレについて、不審な訳ではないですが、色々とスタートアップのリストに入っており、何故、いつの間この様な設定になっているのかは解りませんが、おそらくコレが原因で起動時にいろいろと起ちあがっている模様です。

そこで起動する項目を外したりできるのですが、CD Player等明らかにいらなさそうなのは外すとしても、何やらたくさんある上に、全て実行プログラムそのものの名前だったりしてどれが外しても大丈夫なものなのかがイマイチ判らないので放置してます。(いずれ試そうかとは思っていますが。)

>リモートデスクトップやTelnet、FTPなどを使わずに、マイドキュメントの中を他者がのぞき見ることって可能なのでしょうか?

コレは、ホントに私の勝手な想像ですがヘビーなハッカーやクラッカー等はカンタンにやってのけそうな気がします。なんかDOSみたいな画面で。

>また、そうだと仮定して、それらのログみたいな、痕跡を探す手段はWindows XPには標準ではないんでしょうか?

OS標準では無さそうですが、何かそういうソフトはありそうな予感が。またまたいい加減な想像ですが。

>YESさん
ムムム、当方英語力があまり無いのでWEB翻訳して読んでいるのでイマイチ文章的にアレなのですが、いろいろと怪し気な感じです。

んー一般人な考えですがそういう所をほじくってゴヤゴチャするヒマがあるなら何ていうかもっとすることがありそうなモンですけどね。

-------

昨日、別のマシン(同じモニタで切り替えて使用)でTV録画しながらゴチャゴチャとやっていたら、キーボードをまちがえて操作、チャンネルが替わっていて頭10分以降、録りたくもない番組が…

そんな訳で非常にブルーな気分なのですが、こういった操作ミスも疑うべきなのかも知れません。(消え方やその他いろいろと総合的に見て、違うとは思いますけど。)

[21]hamakkoさんからのコメント(2003年01月11日 14時44分11秒 )
パスワード
以下は、私ならこうする、というものです。

1.ルータ設定確認
・ルータ以外、固定IPアドレスを使っていないこと
 つまり、LAN側PCはすべてプライベートIPアドレスであること。

・NetGenesisのSuperOPT90、デフォルト設定
ヴァーチャルサーバ(これは無い?)、DMZ、静的IPマスカレード
を使っていないこと。

====これがインターネットからLAN側PCが見える機能です====
ネットワークゲームへ対応
 -----静的IPマスカレード機能&DMZ HOST機能
サーバー公開やネットワークゲームへの対応手段として、以下の2つの機能を搭載しています。

・静的IPマスカレード機能
インターネット側から発信されたIPフレームを、プロトコルやポート番号に応じてLAN内の特定のIPアドレスへ転送する機能です。

・DMZ HOST機能
インターネット側から発信された全てのIPフレームを、LAN内の特定のIPアドレスへ転送する機能です。
=========================


2.しばらく、インターネットから切り離し、同じ現象が起きるかどうか確認


RedEyeさんの出現で、選択肢が絞られ始めた感じがします。
そもそも、SiMaさんの■アラートダイアログは、ファイル削除関係のものが大半ですね。これまでと異なる現象ではなく、舞台裏が見えてきたみたいな。

VAIO、XP、GigaPocketですか。それにActiveX。今夜、詳細に読ませていただきます。ちょっと、出かけますので。Yesさんの情報も面白そうです。



=>RedEyeさん
>朝シャットダウンするまではあったファイルが
>夕方起動するとなくなっていたという、非科学的な表現をされた方と
>共通します
これは別に非科学的ではありません。
これに続いての原因の推測が非科学的だったのです。今回の問題とは、これは関係ありませんから書きませんでした。電源が切れているPCに侵入できるのはISPしかいないといって、これを責めているのですが。。。(wakeup on modem/LANなんて無しですよ)

>(その発言スレは見つけれませんでした。ここのBBSですか?)。
上記理由で、見ても何の役にもたちません。


>この現象がクラックだと仮定して、リモートデスクトップや
>Telnet、FTPなどを使わずに、マイドキュメントの
>中を他者がのぞき見ることって可能なのでしょうか?
勿論、何らかのサーバ機能が稼動していなければできません。
SMB、いわゆるネットワークコンピュータが稼動しているとか、何らかのサーバ機能が稼動していればですね。Win9xでは、後者はあまり考えられませんが、NT系ではどんなサービスが動いているかです。

>私のユーザー名でTelnetでこのコンピュータに入れば、
>アクセス権が許されているフォルダはどこでも見れますよね?
そうです。
>とゆーことはTelnetで使用するポート(80でしたっけ??)を
>叩かれたのでしょうか?
80は一般にはHTTPです。telnetは23です。telnetなど立ち上げているのですか??
BBルータ越では冒頭に挙げたようなことをしていなければできません。

>また、そうだと仮定して、それらのログみたいな、
>痕跡を探す手段はWindows XPには標準ではないんでしょうか

私は、XPは知りませんがログが無いわけがないと思います。
ただ、クラッカは、そのログを消してから出て行くとか、--でも
そのログを消したログは?--とか色々やるよおうです。残念ながら
私もその手口は知りません。

[22]hamakkoさんからのコメント(2003年01月11日 23時43分52秒 )
パスワード
●下記サイトを使えば、自分の環境を(今の場合、ルータとその内側のLAN/PC)ポートスキャンしてくれます。つまり、インターネット側から自分のLANがどのように見えているか、ある程度分かります。ある程度というのは、全てのポートを調べてくれるわけではなく、有名なものだけだからです。

 http://sakaguch.com/ServicePort.html

実際にポートスキャンしてくれるのはSYGATEのサイトです。
なお、注として、
 −セキュリティが下記アドレスをアタックと間違えてlogするかもしれないが、これはSYGATEである。
  207.33.111.35, 207.33.111.36 or 207.33.111.37.

 −30秒で終わる

ただ、RedEyeさんのお話と総合すると、クラックだとしたら、IE回りっぽいかなという気もします。その場合、これやっても無駄ですが。

★"C:\vaio-demo\change-vaio\open"はどこですか?
Giga何とかは、IEを使って予約しますね。そのようなことはされていますか?
つまり、家のVAIOから、VAIOぼWebsiteにアクセスして、そこに指示しておいた録画予約情報を使って自動録画するとかです。


●以下は、単なる情報;
・eyedog.ocx
に buffer overflow する弱点があるという指摘。悪意ある web サイトが client コンピュータにおいて任意のコードを実行できてしまうという。 eyedog は fix 版がすでに出ており。。。 
1999のことですから、もう関係ないでしょうが、まあ、YESさんの情報と言え、穴だらけですね。

★ActiveX Debugging for Java
ActiveXのデバグモードは、まともなら関係ないでしょう。まともなら、です。
関係有るとしたら、このモードにするとeyedog.ocxのように穴が開いて、何でもあり、なんてことでしょうけど、分かりません。

それから、ActiveXですから、IEにかかわります。つまりIEの穴からの侵入という可能性も考えられることになります。IEは穴だらけで、かなりふさいだのですが、まだ残っている可能性は極めて高いと思います。

http://www-pw.physics.uiowa.edu/~rlb/nssdc/temp/windows/JAVADBG.TXT
 You can enable that mode by running "SetDebug.exe",
によれば、このメッセージを出すには、"SetDebug.exe"を起動します。
でも、誰(何)が、"SetDebug.exe"を起動しているのでしょう?


・>とゆーことはTelnetで使用するポート(80でしたっけ??)を
>叩かれたのでしょうか?

そんな露骨/簡単な話ではないと思います。

・SiMaさんの情報では、幾つかdriversや、OSにかかわるエラーが出ていますね。
XP自体もかなりへたっているのでは?

例えば;
■アラートダイアログ
 ●AU30HWEQ
  (黄色三角!マーク)Error:Can't initialize driver.(ボタン[OK])
 ●ActiveX Debugging for Java
  Enable ActiveX Debugging for Java?(ボタン[はい]、[いいえ])
   ↓
  ([いいえ]を選択後)ActiveX Debugging for Java disabled.(ボタン[OK])
 ●Windows 障害報告ツール
  (赤丸×マーク)eyedog.ocx コントロールの作成エラーです。

 ●NTVDM.EXE アプリケーション実行エラー(5つ開いている)
  (黄色三角!マーク)メモリ不足のため実行できません。いくつかの
■その他

 ●Windows ヘルプ(ファイルを開くダイアログ)
 ●レジストリエディタ

がそうですが。

[23]SiMaさんからのコメント(2003年01月13日 03時09分06秒 )
パスワード
だいぶスレッドも下がりましたが、ひきつづきの情報提供ありがとうございます。

ル−タ−設定は、まだあまり詳しく解っていないのですがとりあえず固定IPにはなっていない模様です。Sygateのスキャンも、全てBLOCKEDとCLOSEDでサーバー設定にはなっていない感じです…

念のためDMZ、静的IPマスカレード等の設定を確認しておっしゃるように設定してみたいと思います。

GigaPocketの件なのですが、家のネットが開通したのが最近だったので、すっかりマニュアル録画予約に慣れてしまっていて、ネット予約は1回試しにやったぐらいで、今だに手動予約、という状況なのですが、このアプリほとんど起動しっぱなしですし(もちろんマシンは何日もつけっぱなし、まるでサーバー状態)裏でどの様な挙動をしているかは不明です。

マシンの方はここのところ切り離して、あいかわらず起動後の処理をしつつごまかしごまかし使用しておりましたが、昨日とうとうexe関係も消失していたりして(各プログラムフォルダ下の.exeと.dllばかり、C、D、EのうちCドライブとEドライブの大部分にて確認。これについては例の処理時に誤った可能性アリ)再起動したところ、ついにdllが無いとかで起動もできなくなったので、もうめんどうくさくなりXPのCDからコマンドにて物理フォーマット、OSクリーンインストールとなりまして、登録関係やWindowsUpGradeで何かと大変な一日となりました。(ついでにグラフィックボード替えたり、Macの方でもゴチャゴチャやっていたのでヘタヘタです。)

ちなみに、XPクリーンインストールからGigaPocket単体インストール、無事動きました♪
改めてRedEyeさん、情報ありがとうございます。

とにかく、コメント下さった皆様、とりあえず本当にありがとうございます。ルーター等についてもっと勉強しつつ、ひきつづきスッキリしてしまったマシンで様子をみて行きます。また再現してほしいような、してほしく無いような…変な気分ですが。(いや、本当はウンザリなのですが。)

[24]YESさんからのコメント(2003年01月13日 10時22分43秒 )
パスワード
SiMaさん:

この度はお疲れ様でした。

> 昨日とうとうexe関係も消失していたりして(各プログラムフォルダ下
> の.exeと.dllばかり、C、D、EのうちCドライブとEドライブの大部分に
> て確認。これについては例の処理時に誤った可能性アリ)再起動したと
> ころ、ついにdllが無いとかで起動もできなくなったので、

 LANから切り離してもなお続いた不可解なファイル削除現象・・・
明日は我が身と考えると、SiMaさんのみならず、このスレッドを見ている
人たちも原因を知りたかったでしょうが、一連の現象を振り返ってみて、
確実に言えるのは、パソコンがこの「病気」にかかったことに気付いたら
一刻も早く必要なファイルを外部メディアに緊急避難させるべき、という
ことしかなさそうですね。

[25]hamakkoさんからのコメント(2003年01月13日 10時48分28秒 )
パスワード
とうとうinstallしなおしですね。

できれば、
しばらくは、ネットにつながず、ネット関係以外は、これまでと同じ使い方をしていただき、PCの挙動を観察していただければ、有りがたいです。

結局、
1.ネットから誰かが侵入して、ワクチン会社にも知られていないウィルスを仕込んだのか
2.入れたアプリに重大なバグがあったのか
3.入れたアプリにワクチン会社にも知られていないウィルスがはいっていたのか

は分からずじまいでした。

ネットから切り離しても、ファイルの削除が続いていたことから、
4.リアルタイムでのネットからの侵入ではない
ことだけはわかりました。

それから
5.SYGATEをしてもらったことと、
6.BBルータが入っていて、default設定のままでDMZ/バーチャルサーバ/静的マスカレードなどは使っていなさそうな事、
7.RedEyeさんのように、IPアドレスを頻繁にかえている

ということで、PCのサーバ機能が稼動して、そこからの侵入ということでもなさそうなこと、がわかりました。

もし、ネットからの侵入なら、

8.port80のWebですね。この可能性は、YESさんの情報など、からも可能性が消えていません。ここからbuffer overflowなどを起こさせて侵入する。しかし、これは、こちらがアクセスしたWebサイトのWebmaster級でないとできないので、これも??状態です。

part3を期待しています。

RedEyeさんもどうぞよろしく。

[26]RedEyeさんからのコメント(2003年01月14日 14時41分52秒 )
本人によりコメントは削除されました。 2003年01月14日 14時54分52秒

[27]RedEyeさんからのコメント(2003年01月14日 14時50分20秒 )