2011年02月06日

ネットワークアドレス障害【保守】

お客様よりUPSの障害発生後、RouterやServerを再起動してから
社内のファイルサーバーへ接続できなくなったとの連絡を受けました。

インターネットへの接続は可能とのことでしたから、
リモートでクライアントPCへ接続しネットワーク環境を確認します。

一部を除くクライアントPCはRouterのDHCPから払いだされるIPアドレスを使用しているのですが、
台帳に設定されている範囲とは違うIPアドレスが払いだされており、
結果ファイルサーバーとはネットワークアドレスが違っている事が原因のようです。

正常時:192.168.1.0/24
障害発生時:192.168.11.0/24

Routerの設定画面を見てみるとIPアドレスが工場出荷時になっており、
DHCPの範囲もこれに応じて変わっています。
その他PPPOE接続設定、セキュリティ設定などは保持されていました。

珍しいことですがRouterのIPアドレスのみ変わってしまったようです。

RouterのIPアドレスを正常な状態に戻しネットワークの復旧を確認します。
posted by ishikawa at 10:47| Server・PC・周辺機器

マルウェア駆除5【保守】

セキュリティソフトを騙った system tool の駆除をおこないました。

以前にも駆除した security tool や Security Essentials 2010 と同様にタスクマネージヤー起動不可、右クリック不可、アプリケーションの起動不可、ネットのみ接続可能といった症状です。

実行ファイル名を特定してからセーフモードで起動し対象ファイルを削除します。
テンポラリフォルダ内のファイルも削除してから再起動、ウイルススキャンを実行します。

ここで userinit.exe が改変されていることを確認しました。

再度セーフモードで起動して userinit.exe を削除しますが、
削除のみ実行して再起動するとOSへログオン出来なくなりますから、
正規の userinit.exe を dllcacheフォルダからコピーしておく必要があります。

今回はこの部分を見落としてしたためメンテナンス用の win7pe を起動し、
dllcache フォルダの userinit.exe をコピーしました。

仮想環境でテストしてみたところ、
userinit.exe をリネームした場合 dllcache フォルダから正規のファイルが自動的にコピーされますが、
ウイスルなどで上書きされた場合はそのままのようです。

以前の Security Essentials 2010 ではレジストの値を改ざんして別ファイルでのログオンが実行されましたが、
今回は userinit.exe 自身がウイスルで上書きされていました。

正常起動後ウイルススキャンを実行し完了します。
posted by ishikawa at 10:45| OS・ソフトウェア