Показано с 1 по 9 из 9.

Чужеродный траффик непонятными порциями (заявка № 6224)

  1. #1
    Olga348
    Guest

    Чужеродный траффик непонятными порциями

    Сеть из небольшого числа компьютеров (везде WinXP SP2)
    Сервер Win2003 (Запущена WindowsUpdate – качаются все критические обновления)
    Symantec AntiVirus Corp 10.0.2.2000 на сервере (обновляется как только выходят обновления), на клиентах – клиентская часть.
    На клиентах обновления происходят по локальной сети по мере их появления на сервере.
    Выход в Интернет на сервере через биллинговую программу TrafficInspector ( в ней включен свой сетевой экран).

    Пользователь заметил очень быструю работу счетчика трафика.Причем счетчик начинает работать очень быстро как только открывается Explorer. Быстренько накачивает 14-20Мб и дальше все нормально.
    Это происходит бессистемно: один раз на одной машине, другой на другой, периодичность тоже непонятна.
    Когда попыталась разобраться, выяснилось, что 14-20Мб это то, что пользователь (и то не всякий) заметил, а частенько это происходит менее заметно – по 1-2Мб (не точно, с копейками или без или вообще по мелочи). Я отследила пару адресов с которых идет закачка:
    Хост Протокол Принято Передано Атрибуты Обьект Активен
    84.53.146.82:80 TCP > 80 14325801 316466 100% Островский Юрий 09:44 - 09:55
    84.53.146.82:80 TCP > 80 1026789 25539 100% Шушунова Алевтина12.09 14:57 - 12.09 15:08
    84.53.146.82:80 TCP > 80 8850 2022 100% Нефедова Ирина 12.09 18:52 - 12.09 19:03
    84.53.146.82:80 TCP > 80 186 100% Шпак Андрей 11.09 15:38 - 11.09 15:49
    84.53.146.68:80 TCP > 80 13371968 464240 100% Червоненко Татьяна 11.09 08:28 - 11.09 08:39
    http://search.msn.com:80 <84.53.146.68> TCP/HTTP > 80 14967 5069 100% Гришина 11.09 19:46 - 11.09 19:57
    http://ie.search.msn.com:80 <84.53.146.68>TCP/HTTP > 80 2189 1227 100% Екимова 11.09 08:39 - 11.09 08:50
    http://www.symantec.com.ua:80 <84.53.146.68>TCP/HTTP > 80 248 633 100% Перковская 13.09 16:01 - 13.09 16:12
    Иногда биллинг пишет просто хост, иногда определяет http.
    Что это за хост не знаю – по простому туда не зайти.
    Ощущение, что осуществляется подмена Ip-адреса…
    Попыталась закрыть эти адреса в сетевом экране – все проходит как мимо стоячего..
    Эта история началась где-то в июне – я сразу на вирус подумала, подозрительную машину проверила своим антивирусником (свежак!), подключилась к Касперскому и запустила on-line проверку (свежее некуда!) – все чисто. Пришла из отпуска – история не закончилась и выяснилось, что это система, а не разовый случай.
    Мне тут еще мысль подбросили, что это Microsoft что-то придумал для прямых обновлений и закопал инициацию этих обновлений в последние заплатки безопасности… Ну не знаю.. Считаю мысль о вирусах более реальной, по крайней мере надо убедиться есть они или нет.
    Натолкнулась на ваш портал и решила посоветоваться.
    Я взяла машинку с которой была закачка 11.09.2006 – пользователь обращался.
    Честно проделала все ваши рекомендации – после антивирусников все чисто..
    Результат работы утилит прилагаю
    Заранее благодарю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    адресочек-то 84.53.146.82 известный - даже через гугл найти можно. а вот что качают - непонятно. может быть какие-то автоапдейты, программ-то у вас много наставлено.
    NetOp сами ставили?
    пришлите посмотреть (по правилам форума) файлы
    c:\windows\system32\fmctrl.exe
    C:\WINDOWS\system32\fmedia.cpl

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Нашел в своих логах
    84.53.146.82 80 1009 4242 http GET http://graphics.amateurmatch.com/ifr...24-160x160.jpg

    tracert этого IP дает:
    Код:
    ...
     13    61 ms    57 ms    54 ms  inxs-nap.netarch.akamai.com [194.59.190.59]
     14    60 ms    57 ms    55 ms  84.53.146.82
    netarch надо думать сетевой архив. Думаю, на компьютере этим IP может быть все что угодно.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Целевой IP тоже принадлежит akamai. Энное количество лет назад они делали всемирную систему кэширования контента. Идея: отдавать клиенту запрошенное не с источника, а с ближайшего к нему зеркала. Сайт Trend Micro работал с помощью akamai.

  6. #5
    Olga348
    Guest
    Спасибо, что откликнулись.
    NetOp ставила сама = мне его подарил наш провайдер. Он не только у меня благополучно работает (он вроде официоз - ключи есть и для серверной и для клиентской частей).
    Файлы загрузила.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -присланные файлы, на мой взгляд, абсолютно безвредны в плане информационной безопасности...
    Код:
    C:\windows\system32\fmctrl.exe - очевидно поставляется со "звуковухой" ForteMedia;
    C:\windows\system32\fmedia.cpl - компонент панели управления, обеспечивает управление драйвером всё той же звуковой карты от ForteMedia, Inc;
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  8. #7
    Olga348
    Guest
    да, эти файлы от звуковухи ForteMedia. Главное убедились, что все чисто.
    Так... Получается все-таки, что надо искать приложения, которые проявляют инициативу без ведома пользователя... ну это следующая задача.
    Парни, большое всем спасибо! Отрицательный результат - это тоже результат, а в данном случае это хороший результат.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    50
    Насколько я знаю, Windows Update тоже использует сервера akamai.
    Могу предложить отключить Windows Update на два-три дня и пронаблюдать за сетевой активностью.

  10. #9
    Olga348
    Guest
    Спасибо за мысль, попробую

  • Уважаемый(ая) Olga348, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поблемы с KIS 2010 и с непонятными файлами
      От mrG0bliN в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.11.2009, 18:01
    2. Ответов: 45
      Последнее сообщение: 15.10.2009, 19:48
    3. жрёт траффик
      От puntiki в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2008, 18:26
    4. Траффик....
      От kostarosta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.10.2008, 12:39
    5. Ответов: 19
      Последнее сообщение: 25.09.2008, 12:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01403 seconds with 17 queries