Трафик

[AleksZandr]

Коллеги, день добрый!
Столкнулся с такой ситуацией. Банкомат WN2100, ПО ЦФТ-шное. Связь - gprs от мегафона. Ежедневный трафик - 2-3 мб, но только не 8 и девятого февраля. За эти 2 дня он умудрился качнуть 600 метров(!), и что самое интересное не могу понять чего откуда и куда... из золотокороновских логов видно, что общение его с узлом - килобайты, автоматическое обновление системы отключено... Может кто подскажет как разобраться?

[bigbag]

А что системные логи показывают?

[AleksZandr]

А что системные логи показывают?

Эти 2 дня - пробел, как будто ничего не происходило

[duglass]

проверь на подключении в своиствах все лишнее например вот это

[duglass]

на вирусняк еще проверить не мешало бы

[AleksZandr]

на вирусняк еще проверить не мешало бы

зараза врядли, после вот уже больше месяца работает без нареканий, если б не по 7рэ за мегабайт и не заметили б

[duglass]

давай исходить от обратного
если трафик есть в количестве большем чем надо, значит:
1) залил обновления(попытался)
2) пытается связаться с устройствами которые в настройках сети не потушены(служба доступа к файлам и принтерам пытается что то распечатать на принтер в сети у нас такое было)
3)вирусня
4)ченить еще

[Shoroh]

4. Может троян стоять, который использует зараженные машины для рассылки спама или торрентов.
5. Может связь плохая, делает кучу лишних попыток обмена инфой.

[Lucky]

6. Некто подключился и скачал нечто, зачистив после себя следы.

[mascod]

Коллеги, день добрый!
Столкнулся с такой ситуацией. Банкомат WN2100, ПО ЦФТ-шное. Связь - gprs от мегафона. Ежедневный трафик - 2-3 мб, но только не 8 и девятого февраля. За эти 2 дня он умудрился качнуть 600 метров(!), и что самое интересное не могу понять чего откуда и куда... из золотокороновских логов видно, что общение его с узлом - килобайты, автоматическое обновление системы отключено... Может кто подскажет как разобраться?

Привет, коллега, по ЗК!
Была похожая ситуация, но обратил внимание на частую перезагрузку винды. В систменых логах было абнормальное завершение процесса lsass.exe (Local Security Authority Subsystem Service) и перезагрузка винды. Нажрал траффика поменьше чем 600М, но много. Поставил сервисПак-3, + фаервол виндовый - проблема ушла. Вирь пытался через дыру lsass залезть, не получалось, но ддосил.
В логах винды нет ли чего подозрительного?
Не используется ли ЦФТшный файлообменник (обычно c:\FEXCH)? Если - да - смотреть его логи

[kentaur]

+1 Soroh, мы также Conficker на некоторых банкоматах.
старая версия делали много трафика.

http://mtc.sri.com/Conficker/
http://www.caida.org/research/security/ ... ficker.xml
http://www.confickerworkinggroup.org/in ... chart.html

[AleksZandr]

мда, так я ничего и не нарыл((( заразы, включая конфикера нет, системный лог пуст, за эти 2 дня в системе создано 12 файлов - всё исключительно логи. Что касается netbios через tcp стоял крыж - "по умолчанию" - выключил. Стал уже реально подумывать о 6 варианте, предложенным Endless Quest, но ПО'шные логи говорят о том что приложение не закрывалось...

[Lucky]

Удаленно если подцепились, не закрывая ПО? Не исключено, что такие возможности есть.
Или на месте:
1-подцепился к модему и скачал.
2-вынул симку, вставил куда нужно, скачал, вернул симку в модем.