account.binの情報が消えます - 秀丸メール情報交換会議室 - スレッド06859, 2002/05/02

account.binの情報が消えます

SBNB さん　02/05/02 09:16

よく分からない不可解な症状なのですが、アカウント情報が書いてある（らしい)acc
ount.binで「account.binが壊れています。」(正確じゃないです)のようなメッセー
ジが出てきました。

ファイルをバイナリエディタで見ましたら、バイト数は3612バイトで同じなのですが
中身が全て00hで埋まっていました。復旧ツールがあったので掘り出して?戻したら直
りました。

このファイルが消えてしまうとちょっと困りますね。
アカウント情報は手動で復帰できるようにメモしておいたほうが良いみたいです。
(当然、各自しておかなければいけないものなのですが。。。。)

どんな時に起こるのか、鶴亀の関連ではなくて、単なるファイルの破損なのか、今の
ところ不明ですがお知らせまで。

WIN2000 SP2 NTFS 鶴亀V1.84です。

ついでですが、NTFSにしてから、ファイルの破損というのとは縁が無くなったのです
が、なぜか鶴亀のフォルダの list.bin が複数のフォルダで破損しています。まあ、
list.binは消しても順序が変わるだけとアナウンスがあるので消せばいい話ですね。

ノートパソコンのバッテリーが調子が悪くて休止中が間に合わずに電源断に数度なっ
たのでそのせいなのかもしれません。そのとき動作していたファイルを多く扱いそう
なソフトは鶴亀だけなので、そういう理由も納得いきます。

RE:06859 account.binの情報が消えます

ながさわ さん　02/05/02 15:13

長澤です。
// 解決策とか症状報告とかではありません、すみません。

>ファイルをバイナリエディタで見ましたら、バイト数は3612バイトで同じなのです
>が中身が全て00hで埋まっていました。復旧ツールがあったので掘り出して?戻した
>ら直りました。

なんかクレズの破壊活動に遭った様な症状ですね。実際はクレズは拡張子がbinのフ
ァイルを標的にはしていなかったと思いますが、亜種が出ているとすれば判りません。
GW最終日の5月6日はクレズ発病日です。GW明けに出社すると、（土日祝祭日が関係な
い会社から）『PCが起動しない～』って報告が来そうで怖い。

RE:06859 account.binの情報が消えます

秀まるお2 さん　02/05/02 15:56

　鶴亀メールのaccount.binの保存の処理を見てみたんですが、そこの処理が
何らかの間違いを犯したとしても、00hが書き込まれることは起こりえないと
思います。最低でもファイルの先頭に"TuruKame user account file"とうい文
字列が入るはずです。

　仮に保存の処理の最中で鶴亀メールが死んでしまったとしたら、ファイルサ
イズが０バイトになると思います。

　詳しいことは分かりませんが、鶴亀メール以外の所でファイルが壊れたのだ
と思います。それ以上は分かりません。

RE:06864 account.binの情報が消えます

SBNB さん　02/05/04 10:08

>なんかクレズの破壊活動に遭った様な症状ですね。
ご指摘を受けて心当たりがあったので調べてみました。
クレズが私の名前をかたって撒き散らしているようなので、ひょっとしてと思ったの
ですが、拡張子も違いますし、クレズは不特定な文字列を書くそうで、こちらの症状
は今のところ特定の文字コードなので違いそうです。

ウイルス対策ソフトもきちんと最新版になっていますし、なによりメールソフトは鶴
亀を使っていますし、どうなんでしょう。。。

ちなみにうちにはクレズのEばかりが毎日数通来てIPAへの届出がめんどうです。

RE:06869 account.binの情報が消えます

SBNB さん　02/05/04 10:17

>　詳しいことは分かりませんが、鶴亀メール以外の所でファイルが壊れたのだ
>と思います。それ以上は分かりません。

分かりました。ありがとうございます。

予想ですが、あるファイルを消去して、そのエリアをパージして、それがたまたまフ
ァイルと入れ替わったとすれば中身が00hになったということもあるかなと思います。

ディスクの中でおかしくなっていた部分がたまたま鶴亀関連の場所だったので鶴亀の
ところだけおかしくなったように感じたのかもしれません。

何かわかりましたら、また投稿します。

RE:06859 account.binの情報が消えます

hej さん　02/05/04 17:19

SBNBさん、秀まるお2さん、こんにちは。hejです。

実は、僕のところでも「account.binが壊れています」の表示が出ました。
TuruKame1.80です。

で、僕の場合には原因らしいことに、心あたりがあったので、投稿しました。

エッチ画像を見れるサイトを●通った●とき、一時的にセキュリティーレベルを、
「中」にして、試しにファイルをダウンロードしてみたことがあったんです。これが、
そもそもの原因かもと思ったんですが。

このとき【保存先に指定したフォルダ】には、 b×××.exe ファイルがDLされてい
たので、何もしないですぐに削除しました。このときに削除したのは、ダウンロード
の時【保存先】に指定したフォルダ内の b×××.exe ファイルだけでした。
こんなことは、やってみない方がいいですね（^_^；

その後何日か経って、偶然TuruKameのホームディレクトリを開く機会がありました。

1　TuruKameの保存フォルダ（ホームディレクトリ）を開くと、【_____0】のような
名前のフォルダが、新しくできているのに気づく（アカウント名が並んでいる一階層
目のフォルダの中に）。知らないうちにできたフォルダの中には、MS.....exe ファ
イルがありました。

2　ウイルスチェックで、ウイルス見つからなかったので、削除はせずそのままにし
ておきました。（定義ファイルは最新のものです）

3　もう一度、さっきのエッチ画像のURLを捜して、行き、再び、DLしてみました。

4　今度は、Windowsの検索で、ダウンロードした b×××.exe を、検索対象としてH
DD全体に検索をかけてみました。

5　そしたらDLした b×××.exe と同じファイル名が、TuruKameのホームディレクト
リ内にもあったんです。（=Windows検索画面から見たとき）

6 それで、【______0】フォルダと b×××.exe ファイルを削除しました。削除後
から、【アカウントが壊れています】と、なり始めたような気がします。

7　削除後DL先のフォルダに【TuruKame us 】（0バイト）というファイル（スペー
スが入っていました）が新しくできてたんですが、これが削除できないんです。【削
除できません】というメッセージがでます。

8　確認のためにもう一度、DLを試してみたんですけど、今度はTurukameのホームデ
ィレクトリには、何もDLされなかったです。

というわけで、残念ながら【_____0】フォルダは再現はできなかったんですが。。。

【_____0】フォルダと b×××.exe ファイルを削除したあとから account.bin が壊
れているというメッセージが出始めたように思います。

account.bin の方は、バックアップから正常に戻せました。
TuruKame us の方は、削除できないままです。

RE:06878 account.binの情報が消えます

秀まるお2 さん　02/05/04 21:57

　Klezは今までで最高の広がりを見せてるような気がします。

　xxxxxxxx@nifty.ne.jpに届くメールの1/3近くがウィルスメールで、そのほと
んどがKlezの亜種みたいです。

RE:06879 account.binの情報が消えます

アルビレオ さん　02/05/05 02:17

アルビレオです

>予想ですが、あるファイルを消去して、そのエリアをパージして、
>それがたまたまファイルと入れ替わったとすれば中身が00hになったという
>こともあるかなと思います。

身に覚えはなくても原因がはっきりしない以上、念のためにKlezのスキャンはしてお
くことをお勧めします。

RE:06880 account.binの情報が消えます

アルビレオ さん　02/05/05 02:32

アルビレオです

>エッチ画像を見れるサイトを●通った●とき、一時的にセキュリティーレベルを、
>「中」にして、試しにファイルをダウンロードしてみたことがあったんです。これ
>が、そもそもの原因かもと思ったんですが。

この段階ですでに実行されてしまった可能性があります。
恐らく標準のメーラのフォルダに組み込まれてしまうプログラムだったのでしょう。

>TuruKame us の方は、削除できないままです。

Windowsの起動時に実行されている可能性が高いのでSafeModeで削除してみてください。
削除後に再起動するとエラーメッセージが出ると思うので、どこで問題のプログラムが
登録されているかわかると思います。

RE:06885 account.binの情報が消えます

SBNB さん　02/05/05 13:03

アルビレオさん、お勧めありがとうございます。

>身に覚えはなくても原因がはっきりしない以上、念のためにKlezのスキャンはして
>おくことをお勧めします。

念を入れて2社のウイルス対策ソフトで試してみました。今のところ幸いなことに存
在していないようです。

対策ソフトのメーカーのwebでは、スペースで埋められることもあるように書いてあ
りました。00hのファイルって、メモ帳なんかで見るとスペースに見えるのではない
かと。。。そうするとウイルスのこともありということになります。

最近ダウンロードしたものと言えば鶴亀ばかり。。。
アダルトサイトからダウンロードもしていませんし、なんなんでしょうねぇ。

ウイルス対策ソフトって、ウイルスと同名の同パスになるフォルダを作成するみたい
です。ログファイルも英語なので「作られている(created)」と表示されたので感染
していたのかと焦りました。ウイルスがいたのではなくて、ウイルス対策ソフトが作
ったようです。びっくり。

RE:06880 account.binの情報が消えます

秀まるお2 さん　02/05/06 00:04

　実は他の方からもアカウントが消えたとの報告が届いています。

　アカウント用のフォルダ自体は残っているけども、account.binファイルだけ
が無くなってるような雰囲気らしいですが…。

　とりあえずaccount.binが間違って消えても復旧できるような対策を考えます。

RE:06886 account.binの情報が消えます

hej さん　02/05/06 14:09

アルビレオさん、こんにちは。hejです。

>Windowsの起動時に実行されている可能性が高いのでSafeModeで削除してみてくださ
>い。
セーフモードでやってみました。

DL用フォルダ（物理的に別のHDDにあります）の中身は、

通常のモードだと、「TuruKame us 」と言う名前のファイル1個　0バイト

セーフモードだと、ファイル名が変わって、しかも1.7GBもの巨大ファイルになって
ました。で、空のフォルダが2つ作成されてました。2つの空フォルダは無事セーフ
モードで削除。残念ながら、巨大ファイルの方は削除不可でした。

Cドライブをバックアップしてたので、復元してみました。で、復元後にもう一度DL
用フォルダを見たら、不審なファイルは消えてました。

解決しました。アルビレオさん、アドバイスありがとうございます。