インターネットに接続できない場合があった問題

TROUBLE REPORT


インターネットに繋がらないことがある…?

インターネットにつながらないことが頻繁にある、との話をうけて、その状況を調べてみることとなりました。

実のところ数日前にもそれに似た問題があったため、見に行ってはいたのでした。その時は、「この時間になると繋がる」 と聞かされていた通り、その頃になると特に問題もなかったかのようにスムーズに繋がっていたし、内部ネットワークの調整も終わって問題なし、と思っていたのでした。

 

あと考えられることとすると、ADSL 回線を使用しているのですけど、それの回線品質ではないの…? と思いつつ、他にもプリンタが繋がらないとかのお話があったため、下見ついでに招かれてみたのでした。

"tracert" やら "ping" やらで外部との接続を調べてみると、まれに "tracert" は順調な応答を示すことがあるものの、"ping" のほうは見る限り、いっさい正常な応答を得ることはありませんでした。

ADSL の接続状態は、ルータの確認ページをみるかぎり、正常に接続は維持しているようです…。

 

とりあえず、設定内容に間違いが無いかを確認しつつも、安定するその 「時間」 まで様子をうかがってみることにしました。

夕刻を回ったあたりから、徐々に繋がる確立が増えているような気がするな…、と思いつつも、ルータの状態チェックページをいろいろと散策していると、ひとつのあることに気づきました…。

 

NAT テーブルが、そのルータの最大容量 (1024 件) に達している…?

よく調べてみたところ、どうやらチェックに使っていた PC と、もう一つの IP アドレスばかりが NAT テーブルの大部分を占めてしまっているではないですか。

普段、NAT 変換を 1 台の PC がどれくらい要求するかはあまり気にしていなかったですけど、これはいくらなんでも多すぎです。しかも、接続先は外部への 132 番ポートとか 445 ポートとか怪しげなものばかり。

 

これは…、ウィルスに感染した PC がアタックをかける際にたくさんのインターネット接続を試みるために、NAT テーブルが使い果たされてしまっているのが原因、のようでした。

繋がらないことが多いのは、NAT テーブルに空きが出来るのを待っているから。そして夕刻を過ぎたころから快適になるのは、そのウィルスが感染している PC を使っている人が帰宅するから…。

つじつまは完璧でした。

 

ウィルスを駆除する

とりあえず、稼働中のウィルスプログラムがあるはずなのでそれを停止したかったのですけど、タスクマネージャを眺めてみてもそれらしい、というか怪しい名前のプログラムファイルは見つかりませんでした。

なのでとりあえず、ウィルスチェックを行ってみることにしましたが、これにも少々手間取りました。

ウィルス対策ソフトは無いか聞いたところ、古いものしかないとのこと、それもライセンスがあまっているのか疑問だったので、http://www.trendmicro.co.jp/ さまのオンラインウィルススキャンを利用させてもらうことにしたのですが…。

 

インターネットが非常に繋がりにくい状態なので、なかなか繋がりません。…って、危うく見逃すところでしたけど、TrendMicro 社の IP アドレスが 127.0.0.1 として名前解決されているではないですか。

この時点で、ウィルスであることほぼ確定です。

 

そしてこんな芸当ができるのは HOSTS ファイルをおいて他にはないので、C:\WINNT\System32\drivers\etc\HOSTS ファイルを参照してみたところ…。

ありました。ぞろぞろとウィルス対策関連のドメインがローカルホストを参照するように設定されていました。これを修正して再びオンラインウィルススキャンを行います。

 

もっともネットワークの重さは相変わらずなのでなかなか接続できないのですが、その間にも、感染しているであろうもう一台の状況も確認したりしてみました。

すると…、共通して、レジストリの Run のところに "sysconf.exe" という実行ファイルが指定されていることに気づきました。名前自体は変ではないけれど、これって起動のたびに必要なものなのかしら…。

とりあえずこのプログラムが何に含まれているかを調べるために http://www.google.com/ で検索をしてみると…、出てきました。どうやらこのプログラムはウィルス W32.Gaobot.gen!poly でほぼ確定のようです。

 

そうとわかれば、とりあえずは駆除作業です。いったんオンラインスキャンの作業をやめて、W32.Gaobot.gen!poly に記されている方法で除去作業を進めます。

作業自体はレジストリ操作に慣れていれば特に難しいことはなく、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ キーの中の Run と RunService の2箇所から、"Video Process" = "sysconf.exe" という文字列値を削除します。

もうひとつ、文書中では HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan も削除せよとのことでしたけど、これは今回の2台ともに存在していませんでした。

 

このような作業を行って PC を再起動してみます。そしてルータの管理ページを眺めてみると、NAT テーブルの使用量が 40 個程度と激減していました。実は、2台再起動した時点でもうひとつの IP が過剰なパケットを投げている事が判明…。それも感染しておりました^^;

 

さて、これでようやくインターネットは完全に復活です。あとは念のためオンラインウィルススキャンを行ってウィルスが無いかどうかを確認して、今回のトラブルは解決ということになったのでした。