Чужеродный траффик непонятными порциями

[SIZE=3][FONT=Times New Roman][SIZE=3]Сеть из небольшого числа компьютеров (везде WinXP SP2)[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Сервер Win2003 (Запущена WindowsUpdate – качаются все критические обновления)[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Symantec AntiVirus Corp 10.0.2.2000 на сервере (обновляется как только выходят обновления), на клиентах – клиентская часть.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]На клиентах обновления происходят по локальной сети по мере их появления на сервере.[/SIZE][/FONT]
[FONT='Times New Roman']Выход в Интернет на сервере через биллинговую программу [/FONT][FONT='Times New Roman']T[/FONT][FONT='Times New Roman']rafficInspector ( в ней включен свой сетевой экран).[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Пользователь заметил очень быструю работу счетчика трафика.[/SIZE][/FONT][FONT=Times New Roman]Причем счетчик начинает работать очень быстро как только открывается Explorer. Быстренько накачивает 14-20Мб и дальше все нормально.[/FONT]
[FONT=Times New Roman][SIZE=3]Это происходит бессистемно: один раз на одной машине, другой на другой, периодичность тоже непонятна.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Когда попыталась разобраться, выяснилось, что 14-20Мб это то, что пользователь (и то не всякий) заметил, а частенько это происходит менее заметно – по 1-2Мб (не точно, с копейками или без или вообще по мелочи). Я отследила пару адресов с которых идет закачка:[/SIZE][/FONT]
[FONT=Times New Roman]Хост Протокол Принято Передано Атрибуты Обьект Активен[/FONT]
[FONT=Times New Roman]84.53.146.82:80 TCP > 80 14325801 316466 100% Островский Юрий 09:44 - 09:55[/FONT]
[FONT=Times New Roman]84.53.146.82:80 TCP > 80 1026789 25539 100% Шушунова Алевтина12.09 14:57 - 12.09 15:08[/FONT]
[FONT=Times New Roman]84.53.146.82:80 TCP > 80 8850 2022 100% Нефедова Ирина 12.09 18:52 - 12.09 19:03[/FONT]
[FONT=Times New Roman]84.53.146.82:80 TCP > 80 186 100% Шпак Андрей 11.09 15:38 - 11.09 15:49[/FONT]
[FONT=Times New Roman]84.53.146.68:80 TCP > 80 13371968 464240 100% Червоненко Татьяна 11.09 08:28 - 11.09 08:39[/FONT]
[FONT=Times New Roman]http://search.msn.com:80 <84.53.146.68> TCP/HTTP > 80 14967 5069 100% Гришина 11.09 19:46 - 11.09 19:57[/FONT]
[FONT=Times New Roman]http://ie.search.msn.com:80 <84.53.146.68>TCP/HTTP > 80 2189 1227 100% Екимова 11.09 08:39 - 11.09 08:50[/FONT]
[FONT=Times New Roman]http://www.symantec.com.ua:80 <84.53.146.68>TCP/HTTP > 80 248 633 100% Перковская 13.09 16:01 - 13.09 16:12[/FONT]
[FONT=Times New Roman][SIZE=3]Иногда биллинг пишет просто хост, иногда определяет http.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Что это за хост не знаю – по простому туда не зайти.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Ощущение, что осуществляется подмена Ip-адреса…[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Попыталась закрыть эти адреса в сетевом экране – все проходит как мимо стоячего..[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Эта история началась где-то в июне – я сразу на вирус подумала, подозрительную машину проверила своим антивирусником (свежак!), подключилась к Касперскому и запустила on-line проверку (свежее некуда!) – все чисто. Пришла из отпуска – история не закончилась и выяснилось, что это система, а не разовый случай.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Мне тут еще мысль подбросили, что это Microsoft что-то придумал для прямых обновлений и закопал инициацию этих обновлений в последние заплатки безопасности… Ну не знаю.. Считаю мысль о вирусах более реальной, по крайней мере надо убедиться есть они или нет.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Натолкнулась на ваш портал и решила посоветоваться.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Я взяла машинку с которой была закачка 11.09.2006 – пользователь обращался.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Честно проделала все ваши рекомендации – после антивирусников все чисто..[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Результат работы утилит прилагаю[/SIZE][/FONT]
[FONT='Times New Roman']Заранее благодарю.[/FONT]

адресочек-то 84.53.146.82 известный - даже через гугл найти можно. а вот что качают - непонятно. может быть какие-то автоапдейты, программ-то у вас много наставлено.
NetOp сами ставили?
пришлите посмотреть (по правилам форума) файлы
c:\windows\system32\fmctrl.exe
C:\WINDOWS\system32\fmedia.cpl

Нашел в своих логах
84.53.146.82 80 1009 4242 http GET [url]http://graphics.amateurmatch.com/iframe/iframe_showpic.php?q=946124-160x160.jpg[/url]
:)
tracert этого IP дает:
[code]
...
13 61 ms 57 ms 54 ms inxs-nap.netarch.akamai.com [194.59.190.59]
14 60 ms 57 ms 55 ms 84.53.146.82
[/code]
netarch надо думать сетевой архив. Думаю, на компьютере этим IP может быть все что угодно.

Целевой IP тоже принадлежит akamai. Энное количество лет назад они делали всемирную систему кэширования контента. Идея: отдавать клиенту запрошенное не с источника, а с ближайшего к нему зеркала. Сайт Trend Micro работал с помощью akamai.

Спасибо, что откликнулись.
NetOp ставила сама = мне его подарил наш провайдер. Он не только у меня благополучно работает (он вроде официоз - ключи есть и для серверной и для клиентской частей).
Файлы загрузила.

-присланные файлы, на мой взгляд, абсолютно безвредны в плане информационной безопасности...
[CODE]C:\windows\system32\fmctrl.exe - очевидно поставляется со "звуковухой" ForteMedia;
C:\windows\system32\fmedia.cpl - компонент панели управления, обеспечивает управление драйвером всё той же звуковой карты от ForteMedia, Inc;[/CODE]

да, эти файлы от звуковухи ForteMedia. Главное убедились, что все чисто.
Так... Получается все-таки, что надо искать приложения, которые проявляют инициативу без ведома пользователя... ну это следующая задача.
Парни, большое всем спасибо! Отрицательный результат - это тоже результат, а в данном случае это хороший результат.

Насколько я знаю, Windows Update тоже использует сервера akamai.
Могу предложить отключить Windows Update на два-три дня и пронаблюдать за сетевой активностью.

Спасибо за мысль, попробую