Уважаемым знатокам

[Yaroslav 0]

Жалуются бедные клиенты на пропажу денег, посмотрел лог и удивился:

 

Весь выклабывать не буду, кому интересно см. тут. Но приблизительно оно выглядит так:

 

234.0.0.1

1.1.1.1

193.128.90.1

62.204.32.2

212.227.34.3

74.208.5.4

24.178.64.5

216.171.179.6

205.178.149.7

148.244.114.8

207.140.148.9

64.18.7.10

64.18.4.11

...

67.43.129.252

216.243.183.253

 

Меняется только последняя цифра. И так каждые 10 минут. от 1 до 253.

Это же явно не может быть клиент? Похоже на вирус, хотя утверждает, что антивирусник стоит.

 

Но вот вторая ситуация:

 

-> 10.00.01 - 10.10.03
   89.111.176.33               0       139971300 30.702018
    66.29.11.220             575             517 0.000240

 

или вот:

 

-> 09.20.01 - 09.30.03
   81.222.134.43               0        65638100 14.397395
    80.93.56.183               0        56616300 12.418508
    66.29.11.220             690             565 0.000275
  89.253.240.238               0        56367400 12.363913
-> 09.30.03 - 09.40.03
   81.222.134.43               0        59819600 13.121136
    80.93.56.183               0        60521200 13.275028
  89.253.240.238               0        59406300 13.030480

 

Колонки:

IP-addr - upload - download - money

 

Клиент божится, что базы обновил и на вирусы проверил (это после первого случая) Ну и, понятно, ничего не качал. И вот через три дня ещё раз. Приблизительно в одно и то же время. Остальной лог вполне нормальный и обычный.

Интересно, что на эти адреса нет вообще аплоада. Ни байта.

Что можете посоветовать? Что делать в этом случае?

[frig 2]

анитивирус совсем не отменяет наличия на компе вирусов, лог есть - давай его юзверю пущай разбирается куда ходил, где поцепил...

[DiprizE 4]

100% вирусня! У меня в сети уже было 5-ть людей с подобным багом... Ето троянчик, который очень тяжело выковырять.. половина снесла винду.. :/

[stvol 4]

+1 солидарен с диприсом были такие моменты.Причем был вирь такой.Его грохаеш и все норм.И была какаято хрень антивирем не определялась создавалося лишний процес СВхост.Фаером блочили так она гадина на другие ипшники лезет.Приходилось сносить.

[wifi_master 132]

тоже была такая фигня NOD32 убил. Причем лезло оно шо ужас за день скачало 80 метров.

[XoRe 0]

Если ипишники идут подряд 1,2,3, ... - то 100% вирус.

Хотя нет, 99%.

Ещё есть 1% вероятности, что клиент запускает сканер сети, вводит туда охрененно большой диапазон, а потом молчит как партизан.

Но это даже не 1%, а 0,001%.

И под утюгом клиент такое все равно расскажет )

А так вирус.

Не буду в даваться в holy wars, просто по своему опыту скажу - касперский с только что обновленными базами и без извратов в настройках ловит практически все.

Не поймал вирус он только 2 раза (с промежутком в 1 год), пришлось самому попотеть, выцепить файл(благо большинство современных вирусов просто прописываются в автозагрузку) и отправить касперскому мылом.

Подтверждали, что вирус, добавляли в базы и после этого касперский сам прекрасно все ловил.

Если нравится NOD32, пробуйте нодом, только с обновленными базами.

Если нравится нортон, проверьте им.

Если антивирус ничего не показывает, поставьте временно другой антивирус и проверьте им.

[val_avenger 0]

Linux клиентам советуйте...))))

[911 140]

некропостер )

[spaul 69]

Ой, ниче се тема старая, а я еще пытался ответить =)

Edited 2011-08-28 14:03:09 by spaul

[madf 279]

А я все к формату присматривался. Что-то в нем не то было, чего-то нехватало... Только потом обратил внимание на дату