● 「 インターネット アクセスなし 」 ● |
● 現場 |
1 | NK産廃 様 : KG市 |
● 環境 |
1 | Win 10 Pro 64bit |
2 | 富士通 : D583/K |
3 | IO・DATA : WN-AC433UA |
↑ 5 GHz対応だが、現場の親は 2.4 GHz限定機 |
● 症状 |
1 | 現場の他 PC やスマホは、Wi-Fi 動作正常 |
2 | 該当PCのみ ncpa.cpl から [ Wi-Fi ] を開くと、IPv4 + IPv6 ともに 「 インターネット アクセスなし 」 |
3 | ↓以下で 変化なし |
[ 1 ]. 該当PCの 再起動 |
[ 2 ]. USB子機を 別のジャックに挿す |
[ 3 ]. ( 他 PC を遠隔操作して ) ルータ + APの再起動 |
[ 4 ]. 該当PCの IPを固定 |
[ 5 ]. 該当PCの DNSを 8.8.8.8 |
4 | 数時間後、ユーザ申告 「 ごちゃごちゃ いじっていたら、インターネットが復活した 」 |
↑遠隔操作したら、ncpa.cpl に 不明のネットワーク 「 ローカル エリア接続 2 TAP-Windows Adapter V9 」 がある |
↑それを無効にしたら またネットが切れたので 訪問 |
● 原因 |
1 | マウルェア感染 |
● 処置 |
1 | Dr.Web CureIt で ヒット × 多数 |
↑ウイルス駆除中に ネットワーク [ TAP-Windows Adapter V9 ] が消え、少ししたら インターネットが復旧した ( = 駆除完了前に ) |
2 | AVGを入れて常駐に |
↑ Microsoft Defender は正常動作していたようだが |
● 備考 |
1 | 現場は VPN なんて使っていないので、データを流す裏道でも作られたのか … ? |
●バックドア+ハイジャッカ● |
●症状 |
1 | ファイル共有=反応は遅いが、可 |
2 | ブラウジング=遅いが1ページ目は、表示することもある |
2ページ目からは、必ず「ページを表示できません」 |
3 | ダイヤルアップ、ルータ下部とも、同症状 |
4 | 「セーフモードとネットワーク」では、問題なし |
●原因 |
1 | 以下の2種の、感染 |
「sysmgr.exe」=バックドア系 |
「WinFx.exe」=ハイジャッカー系 |
●仮処置 |
1 | msconfigのスタートアップを切れば、一時的に症状は消える |
●処置 |
1 | 「sysmgr.exe」=ZEROのスキャンで、普通に駆除 |
2 | 「WinFx.exe」=system32に入っていたので、手動駆除 |
●備考 |
1 | 「sysmgr.exe」=発症時、「Norton AntiVirus 2007」で、ノーヒット |
お客様がノートンに処理を求められて、「無視する」を選択したか? |
あるいは、対ノートン用に、検出されない仕様だったのか? |
2 | 「WinFx.exe」=発症時、「ZERO」で、ノーヒット |