- ベストアンサー
マイクロソフトのサイトにアクセスできない理由とは?
- DNS周りの問題でマイクロソフトのサイトにアクセスできない症状が発生しています。
- ホストファイルの改竄の痕跡は見られないため、別の設定ファイルが存在する可能性があります。
- ウイルスの仕業かと思われますが、ウイルスは削除されました。PC内の設定を無視してDNSに問い合わせる方法があれば教えてください。
- jelfe
- お礼率86% (52/60)
- ウィルス・マルウェア
- 回答数6
- ありがとう数9
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
接続障害が起きる時 http://www.systemexplorer.net/index.php http://www.virustotal.com/index.html に接続できますでしょうか? 接続できれば、SystemExplorerを使ってプロセス・モジュール・サービス・スタートアップなどの疑わしいファイルを片っ端からVirusTotalでチェックしてみることができます。 キャッシュ無効にしてネットが正常にアクセスできる場合は、プロセスに見つけ出す事はできなくても、モジュール・サービス・スタートアップはチェックできると思います。 SystemExplorerの日本語解説(およびダウンロード)は http://www.gigafree.net/security/process/systemexplorer.html ダウンロードはもちろん本家URLですが、ややわかりにくい。 http://www.systemexplorer.net/download.php の中央「Download FREE Trial」ではなくその下の二つのテキストリンクです。 インストールして使用する常駐版とUSBメモリーなどから使える非常駐版です。 SystemExplorer起動してプロセスなどの一覧から、怪しいプロセスを右クリックし、プルダウンされるメニューの一番下「ファイルのチェック」にVirusTotal.comがありますから、それを選択すればアップロードして40程のアンチウイルスソフトで検査してくれます。 例えば、Ano.5で紹介したTrojan-Downloader.Win32.Kido.aは次のリンクのように40全てのアンチウイルスソフトで検出されます。 http://www.virustotal.com/file-scan/report.html?id=5398f2579043a069206c0383d307bcb0 VirusTotalは、新種ウイルスがどのアンチウイルスソフトにも検出されない事があり、アンチウイルスソフトの誤検出も頻繁にありますので絶対確実なものではありませんが、一つのアンチウイルスソフトに頼り切るより検出力は上がります。 このソフトのせいか、最近時間帯によってVirusTotalで検査順番待ちになることが多くなっています。 SystemExplorerは細かいアップデートが頻繁にあり、アップデートのお知らせやアップデート作業が煩わしいのが欠点です。 アドバイスできそうな事は尽きました。 幸運をお祈りし、私からの最終回答とさせていただきます。
その他の回答 (5)
- John_Papa
- ベストアンサー率61% (1186/1936)
キャッシュが壊れてたんですね。 C:\>ipconfig /flushdns と言うコマンドでクリアできます。 C:\>net stop dnscache では、キャッシュそのものを停止させてしまいます。 再び有効にするには C:\>net start dnscache これで症状が復元するようであれば、dnsrslvr.dllに異常があるのかもしれません。 dnsrslvr.dllはSVCHOSTで起動されるサービスの一つです。 dnsrslvr.dllそのものがマルウェアというケースは探しても見つかりませんでした。 でもキャッシュ寿命は24時間、DNS登録が見つからないURLに関しては15分が標準設定だった筈です。 レジストリを変更されてるかもしれません。 次のレジストリをご確認ください。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters (規定) REZ_SZ (値の設定なし) ServiceDll のEXPAND-SZ値はdfaultで %SystemRoot%\System32\dnsrslvr.dll 標準設定では次のエントリーはありませんが、エントリーを製作してキャッシュ寿命(1秒単位)を変更できます。 MaxCacheTtl のDWORD値がdefaultで 86,400 MaxNegativeCacheTtl のDWORD値がdefaultで 900 参考URL:http://support.microsoft.com/kb/318803/ja (レジストリの変更は最悪の場合システムクラッシュの危険が伴います。ご承知の上、変更は自己責任で行ってください。) カスペルスキーのウイルス百科事典にdnsrslvr.dllをフックして特定サイトへのアクセスを遮断するマルウェアが登録されていました。 Trojan-Downloader.Win32.Kido.a http://www.viruslistjp.com/viruses/encyclopedia/?virusid=21782844 おそらく、これと同じか、同機能のマルウェアなんでしょう。 また一つ勉強させていただきました。
お礼
本当に丁寧にありがとうございます。 本来、私がするはずの検索までしてもらって申し訳ないです。 > C:\>ipconfig /flushdns > と言うコマンドでクリアできます。 ところが、キャッシュのシステムそのものを停止しないとDSNが正常に動作せずアクセスできないことを確認しました。 > 次のレジストリをご確認ください。 > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters > (規定) REZ_SZ (値の設定なし) > ServiceDll のEXPAND-SZ値はdfaultで %SystemRoot%\System32\dnsrslvr.dll おそらくデフォルトのままでした。 > MaxCacheTtl のDWORD値がdefaultで 86,400 > MaxNegativeCacheTtl のDWORD値がdefaultで 900 存在しませんでした。(存在しない状態でデフォルトの動作?) URLより > マルウェアは、システムがセーフモードで起動できないように、次のレジストリキーを削除します: > [HKLM\System\CurrentControlSet\Control\SafeBoot] 存在しました。 SafeBoot → AlternateShell のみ入っています。値はcmd.exe SafeBoot → \Minimal と \Network がキーとして入っていますが中身は規定値のみで空です。 デフォルトがどうなってるのかは分かりませんがたぶんOK? セーフティモードの起動はしました。 > システムが再起動するときに自動的に起動されるように、マルウェアの実行ファイルがシステムレジストリへ追加されます: > [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] > また、次のレジストリキー値を変更します: > [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] > "<rnd>" = "rundll32.exe <実行ファイルのパス>" 入っていたのは ctfmon.exe のみ。デフォルト? どうやら違うウイルスっぽい気がします。 WindowsXP-KB951748-x86-JPN.exe(DNSキャッシュの脆弱性をなんとかするらしい更新) をしてみましたが無意味のようです。 dnsrslvr.dllの更新日時は一応見ましたが、ずっと更新されてないため違うと思いました。 (日時自体を書き換えられてたら知りませんが)。 一応マイクロソフトなどにアクセスできるようになったため、 ウイルスの検出などをしてみましたがそれらしい物はひっかかりませんでした。 (他の方法を取れば引っかかるかもしれませんが)。 とりあえず今はどこをおかしくされてるのかが気になります。
それはこのカテゴリーの適応外ですか? >>いいえ、ウィスル関連の処理なので、その状況から質問されたほうが回答が得られやすいと思いました。カテゴリーのことは気にしなくてもよろしいかと思っています。 なお、回答時点で、該当PCでnslookup出来ていると思うことと、私のPCのhostsファイルを確認したところ、まるっきりの空であることからの回答でした。私の環境は、hostsファイル自体は、3個ありますが全部空状態です。(サーバーも立てていません。)ネットワーク接続のTCPIPアドレス設定は、すべて固定しています。 net stop dnscacheでwindowsのdnsキャッシュクリヤはIEにも影響ない部分かと思い、そう考えると、たしかにそれで復帰できたことが納得できますね。 役に当てなくすみませんです。
お礼
何度もありがとうございます。 IEと言うかこのPCのシステム自体(全部)のアドレス変換問題ですね。
- John_Papa
- ベストアンサー率61% (1186/1936)
TCP/IPの設定でDNSを指定できますが、通常は自動取得にするかルーターのIPにします。 直接指定する場合はプロバイダに指定されたDNSサーバーのIPを入力します。 ここを書き変えれば、犯人の都合の良いDNSサーバーを使わせる事ができます。 DNS設定は、無線LANルーターの方でもできますので、パスワードを変更してない有名無線ルータでDNSの書き換えをされてしまう事が2007年頃より指摘されています。 しかし、hostsに優先しませんので、ブラウザのアドオンに何か入っているかもしれませんね。 なお、OSが解りませんが、XPならIEの制限付きサイトに登録すれば標準で書き込まれる %windows%\system32\Drivers\etc\hosts だけでなく98との互換性の為、 %windows%\hosts も参照します。 %windows%は通常C:\windowsです。 他にもWindows配下のディレクトリに置けたと記憶してますが何処だったか思い出せません。
お礼
詳しい情報ありがとうございます。 おかげでかなり解決に近づくことができました。 > OSが解りませんが すみません。XPでした。 > 98との互換性の為、%windows%\hosts も参照します。 > 他にもWindows配下のディレクトリに置けたと記憶してますが何処だったか思い出せません。 hostsが複数存在するなんて知りませんでした。 ただ、%windows%\hosts この位置にhostsはなく、 windows標準の検索をしてもhostsは%windows%\system32\Drivers\etc\hosts でさえ検出されませんでした。 システムファイルだからだとは思いますが役に立たない検索です。 どうやらレジストリのHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath がhostsの位置を定義してるらしいので、書き換えられてないかチェックしてみましたが正常でした。 で、XPにはクライアントのDNSキャッシュとやらがあってアクセスを向上させているようです。 net stop dnscache とコマンドするとキャッシュ機能の使用が止まるらしいのでやってみた所、今までアクセスできなかったサイトにアクセスできるようになりました。 きっとキャッシュ内容を書き換えられたんでしょう。 それにしても、hostsより単なるキャッシュの方が優先度高いだなんて…。
アドレスからIPを引いて直接アクセスしたところ、アクセスできて >>これができるなら、DNSがちゃんと動いていますね。 DNSサーバーはプロバイザのものを使用していませんか? マイクロソフトのものではないはずです。 HOSTSファイルは元に戻したほうがいいと思いますが。 ウィルス関連なので、ウィスル駆除した状況で、質問したほうがいいと思います。
お礼
> アドレスからIPを引いて直接アクセスしたところ、アクセスできて > >>これができるなら、DNSがちゃんと動いていますね。 引いたのは違うPCからです。 例えばこのPCでIPを引く処理をプログラミングして動かしてみましたが何も戻り値を得られません。 > HOSTSファイルは元に戻したほうがいいと思いますが。 Hostsは現在存在自体が無視されてるようです。 > ウィルス関連なので、ウィスル駆除した状況で、質問したほうがいいと思います。 アンチウイルス関連の接続が繋がらないので、駆逐できたか副次的な作用が残ってるのかの判断はおろか、 原因のウイルス名も分からない勢いですねー。 それはこのカテゴリーの適応外ですか?
- beingpeace
- ベストアンサー率19% (203/1025)
http://www.atmarkit.co.jp/fnetwork/rensai/troutol07/03.html ウイルス。スパイウェアが動いているので無理ですね。 PCリカバリか高性能のスパイウェア大佐おくソフトをインストールしてスキャンするか、高性能のウイルス対策ソフトをインストールしてスキャンするか、どれかになると思います。
お礼
自分での調査は難しいところがありますね。 リカバリーなどは最終手段に残しておこうと思います。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
何度もありがとうございます。 いろいろと助かりました。