pingもnslookupも出来て一回だけWebも見れるが後は通信が出来なくなる、というような謎の事例について電話で相談があり、調査しました。

環境は、YBBでモデム直結、WinXP SP2にノートンが入っていて、あとは会計処理ソフトとBecky!。
なぜか起動して一回目のWebページの閲覧は可能です。
その後、IEでもBecky!でも通信できなくなり、そうなるとtelnetでIPで110や25、80を叩いてもダメでした。
IPはちゃんと取れてきていて、Webやメールが通信できなくなってからも、nslookupも引けるし、pingをドメイン名で打っても通ります。
最初、単純にノートンが止めてるせいだと思ったんですが、ノートンやウインドウズファイアウォールを止めてもダメ。ちなみにノートンをアンインストールしてもだめとのことでした。

で、こんだけおかしな挙動だと、考えにくいけどNICのハードトラブルか、ノートン入ってるけどウイルスかbotに感染してるか、と思いました。
そこでイベントビュアーを見てもらうと「不完全な外向きのTCP/IPの同時接続数が10を越えました」だったかな？そんなメッセージが出ているとのことでした。
※参考　鵜飼裕司のSecurity from USA : Windows XP/2003のTCP同時接続数制限とその回避
これはだいぶ怪しいので、コマンドプロンプトから

netstat -a

で接続しようとしている先を見てもらうと、主に中国やら韓国のIP宛に「ms-sql-s」のポートに対して接続しようとしているものたちがいました。

これでほぼbotに感染してるっぽいのが確定なので、あとはどうやってbot本体を削除するか、が問題です。
ネットワークに繋がらないので、ノートンのアップデートも出来ないため、bot本体の場所を突き止めて、むりやり起動できないようにしてやり、その後ノートン等で削除させようと考えました。
とりあえずここまでで対応終了で、その後のbot本体の探索のため、Windowsでlsofのようなツール無いのかなと思って探したところ
＠IT：外部を勝手に攻撃しているのは誰？
より、XP SP2以降のnetstatはそれが出来るオプションがあることを知りました。

netstat -abv

これで、どのファイルが接続しにいってるかがわかります。

今回の件は、会計ソフトを入れたときに、MS SQL Serverあたりが一緒に入ってるらしくて、その穴を突かれたんじゃないかな？と推測してます。
再起動してすぐのときにWebが見れたりするのは、まだbotによるTCPのセッション数が10に達してないため、その一瞬だけはいけたようです。
しかし、非常に不思議な状況だったので、わかるまでは結構悩みました。