Bot 　検出と対策

社内の多くのＰＣが毎日ではないのですが、一定の時間になるとある一定のＩＰアドレスレンジをあて先にTCP http　の接続をしてこれがネットワークの渋滞の原因になっていることが分かりました。 全てのＰＣにはシマンテックのクライアントがインストールされていて、毎日アップデートとスキャンを自動で行なっておりますが、これまで一切ウイルスや怪しいものは検知されていません。 これらのＰＣが勝手にTCP http　接続している時にユーザーが通常の業務に使用しているものもあれば、誰も使用してなくて私がＲＤＰ接続してnetstat　コマンドで調べるという作業だけのものもあれば、人的に全く使用されていないものもありますが、TCP http　がバックグラウンドで行なわれてパケットがどんどんＬＡＮ内に流れ込んでいるという状態のようです。 ユーザーは自分のＰＣ上では特になにも異変は感じずに、ただ急激にインターネット接続が遅くなるというのがＬＡＮ全体における目に見える症状で、日によって起きなかったり、長くても２０－３０分で収まります。 Wireshark　をインストールしてこのあて先ＩＰのレンジのみに絞ってTCPパケットのキャプチャーをしてみたのですが、three way handshakes　とhttpのソースとデスティネーションポートが繰り返し示されるくらいで、特に何が原因なのかを特定することができませんでした。 また、スキャンも再度して見ましたがなにも検出されませんでした。 ちなみにあて先ＩＰアドレスはＤＮＳレコードなどを調べてもウエブサイトなどではなく、何のためのアクセスかはさっぱり分かりません。 最終的には、これらのシステムの再インストールをしなければならないとも考えていますが、その前にもう少しいったい何が起きているのか、今後の対策のためにも調べたいのですが何かアドバイスを頂ければと思い投稿しました。 宜しくお願いします。