Итак, есть одноранговая сеть вида 192,168,1,... В сети 10 ПК и сервер 1С (2003 ентерпрайз, роли не включены, просто стоит 1С и терминалка). IP адреса прописаны вручную (есть роутер, на нём DHCP отключен). Ситуация такая 2 раза в день (утром и вечером) бухи делают выгрузку с сервака на свой ПК, при этом последнее время появился странный глюк. На серваке происходит подмена МАС адреса, при этом IP остаётся прежним. Реальный МАС вида 60:50:30:40:20:10, а меняется на 00:17:9A:4C:3C:3A. Поставил ARP-монитор, с пом. котрого удалось отследить когда происходят подмены, так вот чёткого "графика" нет. Нутром чую, что вирусня, на серваке стоит НОД, он поймал пару троянов с ласковым названием Injector.ZT, но после этого ошибка не пропала.
Честно говоря мысли уже заканчиваются, прошу помощи, мож кто сталкивался с таким траблом...
ЗЫ:
1) Проверил все МАСи в сетке, 00:17:9A:4C:3C:3A - такого в нашей сети нету;
2) Физические подключения стороннего оборудования к серваку невозможны (мобилы, роутеры и прочее);
3) У сервака есть доступ в инет

Вот пример пятничного лога:
09.04.2010 15:11:25 Changed ethernet address 192.168.1.200 from 60-50-40-30-20-10 to 00-17-9A-4C-3C-3A
09.04.2010 15:11:53 New station 192.168.1.157, hwaddr: 00-0D-61-2A-77-64
09.04.2010 15:12:55 New station 192.168.1.201, hwaddr: 00-E0-81-78-C2-92
09.04.2010 15:13:42 New station 192.168.1.39, hwaddr: 00-0C-F1-DA-E3-DA
09.04.2010 15:15:33 Reused old ethernet address 192.168.1.200, hwaddr: 60-50-40-30-20-10
===========================================================================================
09.04.2010 17:23:19 Reused old ethernet address 192.168.1.200, hwaddr: 00-17-9A-4C-3C-3A
09.04.2010 17:32:00 Reused old ethernet address 192.168.1.200, hwaddr: 60-50-40-30-20-10
09.04.2010 17:37:47 Reused old ethernet address 192.168.1.200, hwaddr: 00-17-9A-4C-3C-3A
09.04.2010 17:37:53 Reused old ethernet address 192.168.1.200, hwaddr: 60-50-40-30-20-10
===========================================================================================

ЗЫ: Сегодня появился ещё один прикол, как только я пытаюсь пингонуть сервер, он сразу меняет МАС!!!

Нутром чую, что вирусня »
NOD не панацея, используйте AVZ, DrWeb и т.п., лучше с загрузочного диска.

Да я в курсе, что НОД отстой, вот только серв 1С на обслужке сторонней контор, там стоит Win2003 Enterprize Eng без единого сервиспака. На такую ОСь Касперский не установится (ему СП1 подавай минимум), но вчера пробовал накатать СП1, так отвалился Ситрикс :( пришлось бэкап назад вылить. Сегодня попробую ДРвеб, мож чего получится...
Ещё идеи будут? Неужели кроме вирусни вариантов нет?

PS: Прошёлся ещё 2 антивирусами, зверей вроде больше нету...
У меня по єтому поводу родилась місль: может запретить замену МАС в груповых политиках? Вот только возможно ли это не помню...

Итак, с вируснёй вроде разобрался, но проблема не исчезла, подмены стали длительнее (т.е. чужой МАС раньше висел 5-10 минут, а сейчас больше часа, помагает только рестарт сервака). Я решил устроить 1 экспиримент: т.к. на серваке 2 сетевухи и одна неактивна, то просто переключил сетку на неё, а вторую отключил в устройствах. Сетевые стоят Nvidia обе. Пока вроде как не заметил подмены (мониторю почти 30 минут), завтра отпишусь о результатах...

А может такой вариант что не мак меняется на серваке, а ip не принадлежит этому серваку. Когда происходит подмена сделайте пинг, если меньше 1 мс значит таки вирус (хотя не факт, возможно он (другой хост) где-то рядом), если больше по любому вы пингуете другую машину а не ваш сервак.

А может такой вариант что не мак меняется на серваке, а ip не принадлежит этому серваку. Когда происходит подмена сделайте пинг, если меньше 1 мс значит таки вирус (хотя не факт, возможно он (другой хост) где-то рядом), если больше по любому вы пингуете другую машину а не ваш сервак. »
Проверил, после подмены пинг остаётся прежним. Что касается "не принадлежания ИП", то он прописан на серваке вручную, и даже больше, я запретил доступ в реестре к ветке параметров сетевой карты ВСЕМ, в течении дня проверю, если будет ещё подмена, тогда уже не знаю как поступать.
Ещё смущает один момент по поводу вирусов. МАС меняется постоянно на один и тот-же, непроизвольно и периодично, в основном при попытке доступа к серверу по сети (банальный пинг или попытка зайти в сетевую шару). По началу МАС видно, что это ДЛинковское оборудование (данные с гугля) (либо модулируется такое). Моё мнение такое, что если бы это был вирус, он бы сделал подмену и не возвращал через время старые параметры МАС, и как вариант менял бы МАС адреса, а не использовал один и тот-же, хотя кто его знает.
За последние пару суток проверил сервак 3-я антивирусами, Касперским, Др. Вэбом и НОД (который там стоял), в результате 2 виря (креки софта, которые лежали в инсталяшках), диск С на котором стоит система чист...
ЗЫ: Буду искать ещё варианты, сегодня чтобы исключить глюки свича (например подгоревший порт) поменял кабели 2-х серваков, 1-й переключил на 2-й, а 2-й на 1-й, но ситуация повторилась именно с этим серваком.

Короче говоря я понял. что ниукого больше идей по этому поводу нету. неужели никто с таким не сталкивался???

Попробуй другую сетевую поставить может твоя глючит.

С одного из форумов: EEPROMка сдохла на адаптере, вот и все дела. Именно на это все и указывает

Сетевуху менял, результат тот-же, но вот интересный факт. Когда меняю ИП с ,,,200 на ,,,222, то всё гут! Но самый прикол в том, что при этом пингуется и ИП ,,,200! Я в шоке!
Вот стата с моей консоли:

C:\Documents and Settings\user>ping 192.168.1.200

Обмен пакетами с 192.168.1.200 по 32 байт:

Ответ от 192.168.1.200: число байт=32 время=4мс TTL=255
Ответ от 192.168.1.200: число байт=32 время<1мс TTL=255
Ответ от 192.168.1.200: число байт=32 время=1мс TTL=255
Ответ от 192.168.1.200: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.1.200:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 4 мсек, Среднее = 1 мсек

C:\Documents and Settings\user>nbtstat -a 192.168.1.200

Подключение по локальной сети:
Адрес IP узла: [192.168.1.160] Код области: []

Узел не найден.

Подключение по локальной сети 3:
Адрес IP узла: [0.0.0.0] Код области: []

Узел не найден.

C:\Documents and Settings\user>

Подозреваю, что есть "подбитый" свич по дороге. Буду искать :)

А может все-таки где-то дублируются IP адреса?

Итак, нашёл полуживой свич, заменил на рабочий, но прикол продолжился дальше! Сменил ИП на серваке на ,,,222 и подмены нестало! НО: ИП ,,,200 продолжает пинговаться! Я в шоке, и на него arp ничего не говорит. Я так подозреваю, что есть где-то ещё один глюконутый свич (карты сети нету, до меня тут 2 балбеса работало, которым всё было поф...гу). Копаюсь по полям дальше...

ping -a работает на .200?