２ちゃんねるで・・

Question

言い合いになってしまって、相手に攻撃されてしまいました。掲示板の画面が文字化けでいっぱいになって、その後勝手にファイルのダウンロードが始まりました。すぐＰＣの電源を切ったのですが、調子が悪いです。
何かされてしまったのでしょうか？

noname#41381 · Accepted Answer

#17補足より
>電源を入れ直しても反応が無いので仕方なくそのまま初期状態に戻してしまいました。 
>大事なバックアップも当然消え
 ...(snip)
>
あらら...。
「Invalid systemdisk Replace the disk.and then press anykey」
ならシステムファイルがおかしくなっただけだったので、
データは取り出すことはできたのですが...残念です。
今からでもファイル復元ツールでなんらかしらのデータは復元できるかもしれません。
だめもとでやってみてはいかがでしょうか？
http://www.vector.co.jp/soft/dl/win95/util/se192983.html

とりあえず、本編として
#17お礼より
>もう一度netstat -anの結果を載せてみますので見てください。 
>
はい、特に怪しいものはありません。(当然ですが...)
とりあえず、他のPCからファイル共有をしていないのであれば、
「Microsoftネットワーク 共有サービス」は消しておいた方がいいでしょうね。
ネットワークのプロパティで「現在ｎネットワークコンポーネント」から「...共有サービス」を削除です。

参考URL：http://www.vector.co.jp/soft/dl/win95/util/se192983.html

o_tooru · Answer

こんばんわ、お力になれずにごめんなさいね。

たぶん既存のHDDに上書きでOSを再インストールしたのですよね。それでしたら、データーのサルベージは難しいですね。

HDDを別に購入し、そちらのHDDにOSを再インストールしたのですと、データーのサルベージも可能でしたが。


これを機会にファイアーウォールなどの導入を検討されてはいかがですか？下記のサイトを参考にフリーのファイアーウォールもあります。また、防御の方法もありますので、参考にしてみてください。

参考URL：http://articles.zdnet.co.jp/db/qa1k_c2/yig0212qa/0440.html

noname#41381 · Answer

#16 補足より
>自分のＩＰアドレスの後に三桁の異なる数字がついてますが、それは何でしょうか？
>
どこのことでしょうか？netstat -an の結果ですか？
で、#13で記載しましたが、
　xxx.xx.xx.xx:aaa
と:aaa　の数字がついている部分はその数字をそのまま記載していただけますか。
（これがポート番号です）

で、
> TCP 0.0.0.0:22102 
> UDP 0.0.0.0:22102 
>
やっぱりこれが何のサービスで使っているかがわからないです。
XPならtasklist,2000ならtlistで何が使っているか確認できますが、
Windows98では標準では厳しいです(フリーのツールがあるかもしれませんが...)

なので、まずはMSN Messengerを終了してください。
で再度netstat -anをして変化があるかどうかを確認。
これで22102が消えればいいのですが、まだ残っている場合は、
その他にいろいろタスクを終了させて(Alt + Ctrl + Del等で)
何のタスクを終了したらこの22102ポートが消えるを確認して、そのタスク名を補足してください。

noname#41381 · Answer

#12補足より
>TCP 0.0.0.0:1025　TCP 0.0.0.0:22102で宜しいでしょうか？
>
すみません、全部の情報が欲しかったです。
唯一のグローバルIPも問題なさそうなので(後述)、
自分のIPアドレス以外は0.0.0.0や127.0.0.1含め全て記載していただけますか？
特に22102/TCPで待ち受け(LISTENING)する主要サービスが見つからなかったので、
ちょっと心配です。


あわせて#13補足より
>ESTABLISHED→207.46.106.73:1863です。
>
IPアドレスは「baym-cs73.msgr.hotmail.com」ですし、
ポート番号からこれはMSN Messengerでしょうね。
MSN Messengerが起動しているのであれば問題ないです。

>もうこの辺で放っておいた方がいいのでしょうか？
>kanop_98さんの迷惑にもなりそうですし・・。
>
いえいえ、il_ripさんが納得されるまでご投稿下さい。
例え自分が回答できなくなってもo_tooruさん含め他の方が回答してくれると思いますよ。
＃逆にとことん詰めた方が、このサイトとしては有意義ですね。がんばりましょう！

o_tooru · Answer

>　207.46.106.73:1863
MSメッセンジャー使っていますか？
メッセンジャーがマイクロソフトのサーバーにアクセスして、1863のポートを使っているようですが？

o_tooru · Answer

> Foreign Address State 
> 0.0.0.0:0 LISTENING 
> 0.0.0.0:0 LISTENING 
> xx.xx.xx.xx 　　　　　　ESTABLISHED 
ローカル側のアドレスはともかく、こちらのアドレスとポート番号を知りたいですね。

私の所では、
>  202.210.180.29:80      ESTABLISHED
>  202.210.180.29:80      ESTABLISHED
>  216.239.53.104:80      ESTABLISHED

というように出ています。たぶん202.210.180.29がOkWebのアドレスだと思います。そして80というのがＷｅｂサービスのポートになります。
216.239.53.104は私がブラウザに組み込んでいるgoogleバーが自動的に外部に対して情報を送っているから、こういうコネクションが発生します。（ある意味で情報漏れともいいますが）

下記のサイトで、そのIPアドレスがどこのアドレスかが分かります。

ちなみに、あまり恐縮しなくて良いですよ、私などは仕事の合間にぽつぽつとやっていますので、リプライは遅くなりますが。

参考URL：http://www.mse.co.jp/ip_domain/

noname#41381 · Answer

とりあえずはリカバリされるようなので、それこそ一安心ですが...

#11の補足より
> Proto Local Address
> TCP xx.xx.xx.xx 
>
ポート番号が記載されてないです。
　xx.xx.xx.xx:aaaa
とIPアドレスの後ろに aaaa といったポート番号が記載されていますので、
それはその数字そのまま記載してください。

>xx.xx.xx.xx 　　　　　　ESTABLISHED 
>
ここのIPアドレスは自分以外(ipconfig で表示されるもの)ということでいいですか？


>ちなみにwindows98です。
>
Windows98で動くrootkitは出回っていないのでrootkitの危険性は低いでしょうね。
(自分もそれほど知っている訳でもないので、あれですが...)

noname#41381 · Answer

#6お礼より
>ウイルスチェックをさせていただきましたが、確認されませんでした。
>一安心というとこでしょうか？
>
ウイルス類に関しては安心、ということですね。
一安心とはいかないです。
たとえば、自作したファイルを消すバッチなんかを落とされたら
それはウイルスチェックには引っかかりません。

>初心者質問で申し訳ないのですが、OSから入れ直すというのは
>ＰＣを初期状態に戻すという意味でしょうか？
>
はい、そういうことです。
今時のメーカPCなら簡単に初期状態に戻すCD-ROM等と簡単な説明が添付されていると思います。
ただほとんどの場合、今あるデータは消えてしまうのでご注意を。


>何度も言いますがＰＣ初心者なもので、どう悪用されてるかわからないので不安です。
>今このページで書きこんでることも見られてるのでしょうか？？ 
>
ほんとに攻撃類のツールを入れられたら、それは玄人でも判断は難しいと思いますよ。
このページの書き込みが見られているかどうか...については#5の条件であるツールを使用し
IEであれば書き込んだPOST情報も確か取得できた(=書き込み内容もわかる)はずです。
ただ、このツールは確実に相手のPCに接続する必要があるので、
接続しているかどうかはnetstat で確認できます。
(135/UDPを使用していたはず)

noname#41381 · Answer

#10補足より (...o_tooruさん しゃしゃり出てすみません^ ^;;)
>結果をここに貼り付けたら見て頂けますか？それは危険ですか？
>
とりあえず "Local Address"と"Foreign Address"のIPアドレスは全て xx.xx.xx.xx としておけば
大丈夫でしょう。
そして"Foreign Address"で自分のIPや0.0.0.0や127.0.0.1以外のIPアドレスが出ていた場合、
まずはそのIPアドレスは記載しなくていいですが、その旨を記載してください。
あと、OS名も補足願います。

何度もしつこいですが...NTrootkitではnetstat でバックドアを確認することはできません。
(簡単に存在が見つからないように隠されている)
本気でバックドアなんかをつくろうと思っていたら、netstatの結果は信頼できないです。

ですが、やはりnetstatで確認しておく必要はあるでしょうね。

o_tooru · Answer

・・・ああ　ごめんなさい、MS-DOSプロンプトでいいです。それで試してみてください。

２ちゃんねるで・・

#17補足より

こんばんわ、お力になれずにごめんなさいね。

#16 補足より

この回答への補足

#12補足より

この回答への補足

> 207.46.106.73:1863

この回答への補足

> Foreign Address State

この回答への補足

とりあえずはリカバリされるようなので、それこそ一安心ですが...

この回答への補足

#6お礼より

この回答への補足

#10補足より (...o_tooruさん しゃしゃり出てすみません^ ^;;)

この回答への補足

・・・ああ ごめんなさい、MS-DOSプロンプトでいいです。

この回答への補足

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

>　207.46.106.73:1863

#10補足より (...o_tooruさんしゃしゃり出てすみません^ ^;;)

・・・ああ　ごめんなさい、MS-DOSプロンプトでいいです。