[monkkey]

Цитата Ronald:

Нутром чую, что вирусня »

NOD не панацея, используйте AVZ, DrWeb и т.п., лучше с загрузочного диска.

[Ronald]

Да я в курсе, что НОД отстой, вот только серв 1С на обслужке сторонней контор, там стоит Win2003 Enterprize Eng без единого сервиспака. На такую ОСь Касперский не установится (ему СП1 подавай минимум), но вчера пробовал накатать СП1, так отвалился Ситрикс пришлось бэкап назад вылить. Сегодня попробую ДРвеб, мож чего получится...
Ещё идеи будут? Неужели кроме вирусни вариантов нет?

PS: Прошёлся ещё 2 антивирусами, зверей вроде больше нету...
У меня по єтому поводу родилась місль: может запретить замену МАС в груповых политиках? Вот только возможно ли это не помню...

[Ronald]

Итак, с вируснёй вроде разобрался, но проблема не исчезла, подмены стали длительнее (т.е. чужой МАС раньше висел 5-10 минут, а сейчас больше часа, помагает только рестарт сервака). Я решил устроить 1 экспиримент: т.к. на серваке 2 сетевухи и одна неактивна, то просто переключил сетку на неё, а вторую отключил в устройствах. Сетевые стоят Nvidia обе. Пока вроде как не заметил подмены (мониторю почти 30 минут), завтра отпишусь о результатах...

[Diesel315]

А может такой вариант что не мак меняется на серваке, а ip не принадлежит этому серваку. Когда происходит подмена сделайте пинг, если меньше 1 мс значит таки вирус (хотя не факт, возможно он (другой хост) где-то рядом), если больше по любому вы пингуете другую машину а не ваш сервак.

[Ronald]

Цитата Diesel315:

А может такой вариант что не мак меняется на серваке, а ip не принадлежит этому серваку. Когда происходит подмена сделайте пинг, если меньше 1 мс значит таки вирус (хотя не факт, возможно он (другой хост) где-то рядом), если больше по любому вы пингуете другую машину а не ваш сервак. »

Проверил, после подмены пинг остаётся прежним. Что касается "не принадлежания ИП", то он прописан на серваке вручную, и даже больше, я запретил доступ в реестре к ветке параметров сетевой карты ВСЕМ, в течении дня проверю, если будет ещё подмена, тогда уже не знаю как поступать.
Ещё смущает один момент по поводу вирусов. МАС меняется постоянно на один и тот-же, непроизвольно и периодично, в основном при попытке доступа к серверу по сети (банальный пинг или попытка зайти в сетевую шару). По началу МАС видно, что это ДЛинковское оборудование (данные с гугля) (либо модулируется такое). Моё мнение такое, что если бы это был вирус, он бы сделал подмену и не возвращал через время старые параметры МАС, и как вариант менял бы МАС адреса, а не использовал один и тот-же, хотя кто его знает.
За последние пару суток проверил сервак 3-я антивирусами, Касперским, Др. Вэбом и НОД (который там стоял), в результате 2 виря (креки софта, которые лежали в инсталяшках), диск С на котором стоит система чист...
ЗЫ: Буду искать ещё варианты, сегодня чтобы исключить глюки свича (например подгоревший порт) поменял кабели 2-х серваков, 1-й переключил на 2-й, а 2-й на 1-й, но ситуация повторилась именно с этим серваком.

[Ronald]

Короче говоря я понял. что ниукого больше идей по этому поводу нету. неужели никто с таким не сталкивался???

[Diesel315]

Попробуй другую сетевую поставить может твоя глючит.

С одного из форумов: EEPROMка сдохла на адаптере, вот и все дела. Именно на это все и указывает

[Ronald]

Сетевуху менял, результат тот-же, но вот интересный факт. Когда меняю ИП с ,,,200 на ,,,222, то всё гут! Но самый прикол в том, что при этом пингуется и ИП ,,,200! Я в шоке!
Вот стата с моей консоли:

C:\Documents and Settings\user>ping 192.168.1.200

Обмен пакетами с 192.168.1.200 по 32 байт:

Ответ от 192.168.1.200: число байт=32 время=4мс TTL=255
Ответ от 192.168.1.200: число байт=32 время<1мс TTL=255
Ответ от 192.168.1.200: число байт=32 время=1мс TTL=255
Ответ от 192.168.1.200: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.1.200:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 4 мсек, Среднее = 1 мсек

C:\Documents and Settings\user>nbtstat -a 192.168.1.200

Подключение по локальной сети:
Адрес IP узла: [192.168.1.160] Код области: []

Узел не найден.

Подключение по локальной сети 3:
Адрес IP узла: [0.0.0.0] Код области: []

Узел не найден.

C:\Documents and Settings\user>

Подозреваю, что есть "подбитый" свич по дороге. Буду искать

[Astral777]

А может все-таки где-то дублируются IP адреса?