添付ファイルが無限に開かれるNo.08819
taku さん 03/05/16 09:59
 

添付ファイルを開こうとすると無限に開かれることがあります。
※再現性は低いです。 ここ1週間で3回程度。
  少々長いですが、発生時のdump.txtもメールにつけておきます。

<再現手順>
1. htmlメールを鶴亀ビュアで開く。
2. htmlメールをダブルクリック。
3. 鶴亀のウィルス警告ダイアログが表示されるので、
   開くボタンを押す。

→ IEが起動し、さらに次々とIEが起動し該当HTMLメール
   を際限なく表示する。

 ・起動するIEをすべて終了させても、1、2秒すると、
   また、わらわらとIEが起動し始める。

 ・鶴亀を終了させても、IEの無限起動は行われました。
   (鶴亀は常駐で起動していて、常駐鶴亀も終了しました)

 ・タスクマネージャでプロセスを見てみると、
   TurukKame.exeがまだ居たので、強制終了させると
   IEの無限起動はとまりました。

※ 添付ファイル(エクセル)を開こうとした場合でも
   発生したことがあります。

※ はじめはウィルスかと思い、ウィルスチェック
   しましたが、問題ないようでした。
   もちろんパターンファイルは最新版を使用してます。

環境
WindowsXP SP1
鶴亀 Ver2.78

------ dump.txt --------
22:36:59.312 (7108) ProcessCommand 40038
22:36:59.402 (11712) tid=3128 HmCreate
22:36:59.402 (2005) tid=3128 call WinMainSub
22:36:59.412 (2005) tid=3128 FrameWndProc: WM_CREATE
22:36:59.412 (2005) tid=3128 ClientWndProc: WM_CREATE
22:36:59.432 (2005) tid=3128 return WinMainSub
22:36:59.432 (11716) tid=3128 HmCreate return
22:36:59.442 (4689) tid=3128 InitOuterHidemaru
22:36:59.502 ( 194) tid=3128 will SHGetFileInfo
22:37:01.896 ( 197) tid=3128 done
22:37:04.149 (5928) tid=3128 DialogBox2Param() template=222
22:37:05.601 (5930) tid=3128 DialogBox2Param() exit
22:37:11.690 (8209) tid=3128 ProcessFrameClose()
22:37:11.700 (8267) tid=3128 DestroyWindowします
22:37:11.720 (4020) tid=3128 WM_DESTROY
22:37:11.790 (4028) tid=3128 ImeをOFFにしました
22:37:11.820 (8269) tid=3128 DestroyWindowしました
22:37:11.850 (11853) tid=3128 Hidemaru Message-loop exit
22:37:17.168 (7108) ProcessCommand 40159
22:37:17.268 (7800) NotifyListCacheBaseMoved
22:37:17.278 (7756) NotifyListCacheOffsetMoved
22:37:17.278 (4967) 8 / 最近の分=195 / 未読=129 / マーク=2
22:37:17.348 (7611) status
22:37:17.348 (7613) e-status
22:37:17.358 (7619) folder
22:37:17.368 (7644) free
22:37:17.368 (7646) e-free
22:37:18.319 (7108) ProcessCommand 40038
22:37:18.339 (4967) 8 / マーク=2
22:37:18.349 (11712) tid=3128 HmCreate
22:37:18.349 (2005) tid=3128 call WinMainSub
22:37:18.359 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:18.359 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:18.369 (2005) tid=3128 return WinMainSub
22:37:18.369 (11716) tid=3128 HmCreate return
22:37:18.379 (4689) tid=3128 InitOuterHidemaru
22:37:18.399 ( 194) tid=3128 will SHGetFileInfo
22:37:18.429 ( 197) tid=3128 done
22:37:19.651 (5377) tid=3128 エディタコマンド: 44001
22:37:19.651 (4556) tid=3128 entered
22:37:19.651 (2005) tid=3128 CommandMacroSub exit.mac
22:37:19.711 (4563) tid=3128 leave
22:37:19.721 (5377) tid=3128 エディタコマンド: 40142
22:37:19.721 (8209) tid=3128 ProcessFrameClose()
22:37:19.721 (8267) tid=3128 DestroyWindowします
22:37:19.831 (4020) tid=3128 WM_DESTROY
22:37:19.831 (4028) tid=3128 ImeをOFFにしました
22:37:19.841 (8269) tid=3128 DestroyWindowしました
22:37:19.841 (11853) tid=3128 Hidemaru Message-loop exit
22:37:20.192 (7108) ProcessCommand 40159
22:37:20.212 (7756) NotifyListCacheOffsetMoved
22:37:20.222 (4967) 7 / 最近の分=194 / 未読=128 / マーク=2
22:37:20.282 (7611) status
22:37:20.282 (7613) e-status
22:37:20.292 (7619) folder
22:37:20.302 (7644) free
22:37:20.302 (7646) e-free
22:37:20.893 (7108) ProcessCommand 40038
22:37:20.913 (4967) 7 / マーク=2
22:37:20.923 (11712) tid=3128 HmCreate
22:37:20.933 (2005) tid=3128 call WinMainSub
22:37:20.933 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:20.943 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:20.953 (2005) tid=3128 return WinMainSub
22:37:20.953 (11716) tid=3128 HmCreate return
22:37:20.963 (4689) tid=3128 InitOuterHidemaru
22:37:25.339 (5377) tid=3128 エディタコマンド: 44001
22:37:25.339 (4556) tid=3128 entered
22:37:25.349 (2005) tid=3128 CommandMacroSub exit.mac
22:37:25.349 (4563) tid=3128 leave
22:37:25.359 (5377) tid=3128 エディタコマンド: 40142
22:37:25.359 (8209) tid=3128 ProcessFrameClose()
22:37:25.359 (8267) tid=3128 DestroyWindowします
22:37:25.460 (4020) tid=3128 WM_DESTROY
22:37:25.470 (4028) tid=3128 ImeをOFFにしました
22:37:25.480 (8269) tid=3128 DestroyWindowしました
22:37:25.480 (11853) tid=3128 Hidemaru Message-loop exit
22:37:25.840 (7108) ProcessCommand 40159
22:37:25.860 (7756) NotifyListCacheOffsetMoved
22:37:25.870 (4967) 6 / 最近の分=193 / 未読=127 / マーク=2
22:37:25.930 (7611) status
22:37:25.930 (7613) e-status
22:37:25.940 (7619) folder
22:37:25.940 (7644) free
22:37:25.950 (7646) e-free
22:37:26.401 (7108) ProcessCommand 40038
22:37:26.411 (4967) 6 / マーク=2
22:37:26.431 (11712) tid=3128 HmCreate
22:37:26.431 (2005) tid=3128 call WinMainSub
22:37:26.441 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:26.441 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:26.451 (2005) tid=3128 return WinMainSub
22:37:26.451 (11716) tid=3128 HmCreate return
22:37:26.461 (4689) tid=3128 InitOuterHidemaru
22:37:26.481 ( 194) tid=3128 will SHGetFileInfo
22:37:26.521 ( 197) tid=3128 done
22:37:29.145 (5928) tid=3128 DialogBox2Param() template=222
22:37:30.357 (5930) tid=3128 DialogBox2Param() exit
22:37:32.229 (8209) tid=3128 ProcessFrameClose()
22:37:32.239 (8267) tid=3128 DestroyWindowします
22:37:32.319 (4020) tid=3128 WM_DESTROY
22:37:32.339 (4028) tid=3128 ImeをOFFにしました
22:37:32.339 (8269) tid=3128 DestroyWindowしました
22:37:32.389 (11853) tid=3128 Hidemaru Message-loop exit
22:37:44.397 (7108) ProcessCommand 40159
22:37:44.417 (7756) NotifyListCacheOffsetMoved
22:37:44.417 (4967) 5 / 最近の分=192 / 未読=126 / マーク=2
22:37:44.487 (7611) status
22:37:44.487 (7613) e-status
22:37:44.497 (7619) folder
22:37:44.507 (7644) free
22:37:44.507 (7646) e-free
22:37:44.897 (7108) ProcessCommand 40038
22:37:44.907 (4967) 5 / マーク=2
22:37:44.917 (11712) tid=3128 HmCreate
22:37:44.928 (2005) tid=3128 call WinMainSub
22:37:44.928 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:44.938 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:44.948 (2005) tid=3128 return WinMainSub
22:37:44.948 (11716) tid=3128 HmCreate return
22:37:44.958 (4689) tid=3128 InitOuterHidemaru
22:37:45.498 (5377) tid=3128 エディタコマンド: 44001
22:37:45.508 (4556) tid=3128 entered
22:37:45.508 (2005) tid=3128 CommandMacroSub exit.mac
22:37:45.518 (4563) tid=3128 leave
22:37:45.518 (5377) tid=3128 エディタコマンド: 40142
22:37:45.528 (8209) tid=3128 ProcessFrameClose()
22:37:45.528 (8267) tid=3128 DestroyWindowします
22:37:45.639 (4020) tid=3128 WM_DESTROY
22:37:45.639 (4028) tid=3128 ImeをOFFにしました
22:37:45.649 (8269) tid=3128 DestroyWindowしました
22:37:45.649 (11853) tid=3128 Hidemaru Message-loop exit
22:37:45.799 (7108) ProcessCommand 40159
22:37:45.819 (7756) NotifyListCacheOffsetMoved
22:37:45.819 (4967) 4 / 最近の分=191 / 未読=125 / マーク=2
22:37:45.889 (7611) status
22:37:45.889 (7613) e-status
22:37:45.899 (7619) folder
22:37:45.909 (7644) free
22:37:45.909 (7646) e-free
22:37:46.139 (7108) ProcessCommand 40038
22:37:46.149 (4967) 4 / マーク=2
22:37:46.169 (11712) tid=3128 HmCreate
22:37:46.169 (2005) tid=3128 call WinMainSub
22:37:46.179 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:46.189 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:46.189 (2005) tid=3128 return WinMainSub
22:37:46.199 (11716) tid=3128 HmCreate return
22:37:46.209 (4689) tid=3128 InitOuterHidemaru
22:37:46.800 (5377) tid=3128 エディタコマンド: 44001
22:37:46.810 (4556) tid=3128 entered
22:37:46.810 (2005) tid=3128 CommandMacroSub exit.mac
22:37:46.820 (4563) tid=3128 leave
22:37:46.820 (5377) tid=3128 エディタコマンド: 40142
22:37:46.830 (8209) tid=3128 ProcessFrameClose()
22:37:46.830 (8267) tid=3128 DestroyWindowします
22:37:46.920 (4020) tid=3128 WM_DESTROY
22:37:46.920 (4028) tid=3128 ImeをOFFにしました
22:37:46.950 (8269) tid=3128 DestroyWindowしました
22:37:46.950 (11853) tid=3128 Hidemaru Message-loop exit
22:37:47.101 (7108) ProcessCommand 40159
22:37:47.111 (7756) NotifyListCacheOffsetMoved
22:37:47.121 (4967) 3 / 最近の分=190 / 未読=124 / マーク=2
22:37:47.191 (7611) status
22:37:47.201 (7613) e-status
22:37:47.201 (7619) folder
22:37:47.211 (7644) free
22:37:47.221 (7646) e-free
22:37:47.451 (7108) ProcessCommand 40038
22:37:47.471 (4967) 3 / マーク=2
22:37:47.481 (11712) tid=3128 HmCreate
22:37:47.491 (2005) tid=3128 call WinMainSub
22:37:47.501 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:47.501 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:47.511 (2005) tid=3128 return WinMainSub
22:37:47.511 (11716) tid=3128 HmCreate return
22:37:47.521 (4689) tid=3128 InitOuterHidemaru
22:37:48.032 (5377) tid=3128 エディタコマンド: 44001
22:37:48.042 (4556) tid=3128 entered
22:37:48.042 (2005) tid=3128 CommandMacroSub exit.mac
22:37:48.052 (4563) tid=3128 leave
22:37:48.052 (5377) tid=3128 エディタコマンド: 40142
22:37:48.062 (8209) tid=3128 ProcessFrameClose()
22:37:48.062 (8267) tid=3128 DestroyWindowします
22:37:48.172 (4020) tid=3128 WM_DESTROY
22:37:48.182 (4028) tid=3128 ImeをOFFにしました
22:37:48.192 (8269) tid=3128 DestroyWindowしました
22:37:48.192 (11853) tid=3128 Hidemaru Message-loop exit
22:37:48.322 (7108) ProcessCommand 40159
22:37:48.342 (7756) NotifyListCacheOffsetMoved
22:37:48.342 (4967) 2 / 最近の分=189 / 未読=123 / マーク=2
22:37:48.403 (7611) status
22:37:48.413 (7613) e-status
22:37:48.413 (7619) folder
22:37:48.423 (7644) free
22:37:48.433 (7646) e-free
22:37:48.743 (7108) ProcessCommand 40038
22:37:48.753 (4967) 2 / マーク=2
22:37:48.783 (11712) tid=3128 HmCreate
22:37:48.783 (2005) tid=3128 call WinMainSub
22:37:48.793 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:48.793 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:48.803 (2005) tid=3128 return WinMainSub
22:37:48.813 (11716) tid=3128 HmCreate return
22:37:48.813 (4689) tid=3128 InitOuterHidemaru
22:37:50.826 (5377) tid=3128 エディタコマンド: 44001
22:37:50.836 (4556) tid=3128 entered
22:37:50.836 (2005) tid=3128 CommandMacroSub exit.mac
22:37:50.846 (4563) tid=3128 leave
22:37:50.856 (5377) tid=3128 エディタコマンド: 40142
22:37:50.856 (8209) tid=3128 ProcessFrameClose()
22:37:50.866 (8267) tid=3128 DestroyWindowします
22:37:50.966 (4020) tid=3128 WM_DESTROY
22:37:50.966 (4028) tid=3128 ImeをOFFにしました
22:37:50.976 (8269) tid=3128 DestroyWindowしました
22:37:50.986 (11853) tid=3128 Hidemaru Message-loop exit
22:37:51.988 (7108) ProcessCommand 40159
22:37:52.008 (7756) NotifyListCacheOffsetMoved
22:37:52.008 (4967) 1 / 最近の分=188 / 未読=122 / マーク=2
22:37:52.068 (7611) status
22:37:52.078 (7613) e-status
22:37:52.078 (7619) folder
22:37:52.088 (7644) free
22:37:52.098 (7646) e-free
22:37:52.899 (7108) ProcessCommand 40038
22:37:52.919 (4967) 1 / マーク=2
22:37:52.939 (11712) tid=3128 HmCreate
22:37:52.939 (2005) tid=3128 call WinMainSub
22:37:52.949 (2005) tid=3128 FrameWndProc: WM_CREATE
22:37:52.959 (2005) tid=3128 ClientWndProc: WM_CREATE
22:37:52.959 (2005) tid=3128 return WinMainSub
22:37:52.969 (11716) tid=3128 HmCreate return
22:37:52.979 (4689) tid=3128 InitOuterHidemaru
22:37:52.999 ( 194) tid=3128 will SHGetFileInfo
22:37:53.029 ( 197) tid=3128 done
22:37:55.342 (5928) tid=3128 DialogBox2Param() template=222
22:37:56.324 (5930) tid=3128 DialogBox2Param() exit
22:37:58.197 (8209) tid=3128 ProcessFrameClose()
22:37:58.207 (8267) tid=3128 DestroyWindowします
22:37:58.287 (4020) tid=3128 WM_DESTROY
22:37:58.327 (4028) tid=3128 ImeをOFFにしました
22:37:58.357 (8269) tid=3128 DestroyWindowしました
22:38:02.903 (4741) syscommand 61536
22:38:02.953 (7756) NotifyListCacheOffsetMoved
22:38:02.963 (7619) folder
22:38:02.963 (7644) free
22:38:02.973 (7646) e-free
22:38:03.074 (8093) StopAutoDownTimer()
[ ]
RE:08819 添付ファイルが無限に開かれるNo.08820
Mattz さん 03/05/16 10:18
 
html ファイル自体にそういうスクリプトが仕込まれている
可能性もなくはないので、添付htmlのソースにスクリプトが
書かれていないかどうかも知りたいところです。
[ ]
RE:08820 添付ファイルが無限に開かれるNo.08821
秀まるお さん 03/05/16 10:43
 
 たぶんHTMLファイルにスクリプトが埋め込まれていて、それがいたずらしてる
だけだと思います。そういう「爆弾」的なHTMLメールは、アンチウィルスソフト
で検知することも出来ません。

 該当するHTMLメール(の受信ログ)を送っていただければ原因がはっきりしま
すけど…。

 鶴亀メール側でどういうスクリプトが含まれているか調べればいいじゃないか
と思われるかもしれませんが、例えばhtmlメールが特定サイトのスクリプトをイ
ンクルードしてたりすれば検出不可能なので、やはり「怪しいHTMLメールは開か
ない」ということで対処してもらうしか無いと思います。
[ ]
RE:08821 添付ファイルが無限に開かれるNo.08822
taku さん 03/05/16 11:06
 

> たぶんHTMLファイルにスクリプトが埋め込まれていて、それがいたずらしてる
>だけだと思います。そういう「爆弾」的なHTMLメールは、アンチウィルスソフト
>で検知することも出来ません。
>
> 該当するHTMLメール(の受信ログ)を送っていただければ原因がはっきりしま
>すけど…。
>
> 鶴亀メール側でどういうスクリプトが含まれているか調べればいいじゃないか
>と思われるかもしれませんが、例えばhtmlメールが特定サイトのスクリプトをイ
>ンクルードしてたりすれば検出不可能なので、やはり「怪しいHTMLメールは開か
>ない」ということで対処してもらうしか無いと思います。

そのメールを開くと、100%発生するわけではないのですが
そう思われます?
しかも、エクセルファイルでも同様に発生します。
(そのエクセルは、マクロ付ではありませんでした)

複数HTMLメールがあり、発生した、HTMLメールが特定
できないので、すぐに送れませんが、再度発生したら、
そのメールのログを送りたいと思います。
[ ]
RE:08822 添付ファイルが無限に開かれるNo.08823
秀まるお さん 03/05/16 11:36
 
> そのメールを開くと、100%発生するわけではないのですが
> そう思われます?
> しかも、エクセルファイルでも同様に発生します。
> (そのエクセルは、マクロ付ではありませんでした)

 なら違うそうな気がします。

 dump.txtにはメールを開いたりメールを削除したりした記録が出ているようで
すが、これは現象が起きる前の記録ですよね。

22:38:03.074 (8093) StopAutoDownTimer()

 の後に現象が起きているのだとしたら、つまりdump.txtには何も記録が無いっ
てことになります。

> ・タスクマネージャでプロセスを見てみると、
>   TurukKame.exeがまだ居たので、強制終了させると
>   IEの無限起動はとまりました。

 では、とりあえず鶴亀メール側で、添付ファイルを開く時にdump.txtへ何か情
報出力するように修正してみます。
[ ]
RE:08823 添付ファイルが無限に開かれるNo.08824
taku さん 03/05/16 11:57
 

> dump.txtにはメールを開いたりメールを削除したりした記録が出ているようで
>すが、これは現象が起きる前の記録ですよね。
>
>22:38:03.074 (8093) StopAutoDownTimer()
>

現象が発生したので、XPを再起動したあと、
dump.txtを出力するように設定して、もう一度、
試したら発生した時のログです、
現象が発生したタイミングはStopAutoDownTimer()の後なのか、
前なのかは判りません。

dump.txtの取得時には、確か、下記のようなことを行いました。

1. メールを色々開き、添付ファイルを開いて発生するか試す。
2. 発生したので、鶴亀を終了(常駐鶴亀まで終了させました)
3. タスクマネージャから、残っているturukame.exeを終了

> では、とりあえず鶴亀メール側で、添付ファイルを開く時にdump.txtへ何か情
>報出力するように修正してみます。

よろしくお願いします。
[ ]
RE:08824 添付ファイルが無限に開かれるNo.08825
秀まるお さん 03/05/16 15:04
 
 実は別のユーザー様から「うちでも同じような現象が起きる」ということで、
現象の起きたhtmlメールの内容を教えて頂いたんですが、中身は普通のテキスト
のみで、スクリプトは埋め込まれてませんでした。

 ということで、メール爆弾では無いようです。ただし、鶴亀メールを使ってる
ユーザーさんみんなが起きる訳でもないはずなので、たぶん何か他の条件が関係
してるんじゃないかとも思います。

 いわゆる常駐ソフト類で疑わしき物があったらそれはを終了させるとか、ある
いは最近起きるようなったということなら、最近インストールした何かのソフト
が関係してるとか、そういうことかもしれないです。

 とにかくdump.txtへの出力を強化して今日にでもバージョンアップさせていた
だきます。
[ ]
RE:08824 添付ファイルが無限に開かれるNo.08826
秀まるお さん 03/05/16 15:28
 
 よくよくdump.txtを見たら、どうもエディタを終了した後の動きがおかしいよ
うです。

 エディタ終了した時に、最後に、「Hidemaru Message-loop exit」がdump.txt
に入ってないといけないんですが、それが無いです。ということは、エディタの
ウィンドウが終了した後に、エディタ用のスレッドのメッセージループが終了せ
ずに回り続けてるようです。

 なぜそうなるのか分かりませんが、とにかくその辺でdump.txtを出力させるな
り、強制メッセージループ終了させるなり手を考えてみます。
[ ]