Клуб владельцев корейских автомобилей

Хронология:
05.07.10 Получаем счёт за интернет. На сумму СТОДВАДЦАТЬПЯТЬТЫЩРУБЛЕЙ.
При анализе приложений к счёту видим, что начиная с 23.06.10 потребляемый ежедневно трафик возрастает с 0.3-1.0 Гб до 30-50 Гб.
Пока выяснение, пока что, сегодня утром путём отрубания компов выяснилось, что трафик генерит один из компов. Явно вирус, но, проверка тремя разными антивирями не показала ничего, кроме вылеченных 05.07.10 пары файлов, которые были занесены именно 23.06.10. в каталог системы "Консультант+". В этот день как-раз приходили обновлятели системы.
Заражённый комп был отключен только сегодня. За последнюю неделю июня он, судя по счёту, уже нагенерил более 100 тысяч рублей трафика. За неделю июля пока всё выяснилось - подозреваю тоже около 100-110 тысяч.
Куда первым делом смотреть на тему законной НЕоплаты счетов ?

Имеется в виду - как и где зафиксировать дату/время/источник появления заразы в целях предъявления виновнику и требователю денег.

Прогоны НОД32, AVZ и live-CD DrWEB результатов не дали. Подключение системы загруженной с этого винта тут-же поднимает траф до полного канала. Сканирование винта в пассивном режиме при подключении к другому компу тоже результатов не даёт.

Кто может помочь - велкам ту личка/аська/сипнет/прочее...

[Цератозавр]

были занесены именно 23.06.10. в каталог системы "Консультант+".

Я ж говорю, это вселенское зло Переходите к нам, мы хоть винты свои форматим

...да и стоим дешевле

Simpleuser,
Сами то что думаете? Но мне кажеться что вряд ли можно что то как то доказать....

[МихМих]

А трафик входящий или исходящий? Платить по-любому придется. Провайдер-то не виноват, что у вас такая байда вышла.
Запросите провайдера на предмет детализации: на какие адреса шел трафик и какой.

Vot_takoy, МихМих,
Траф входящий.
"Сырая" статистика запрошена. Одновременно направлено письмо на тему "не согласны с выставленным счётом, считаем технической ошибкой".
После консультации с юристами основной вопрос - нужен специалист могущий подтвердить дату,время заражения и (по возможности) первичную цель.
Кстати, система - MS Server 2003, работа/заражение под учётками в терминале. Я не спец, протоколирование ведётся какое-нибудь там ?

Добавлено спустя 7 минут 47 секунд:
Цератозавр,
Генк, а вы кто ? Консультант - МИНУс ? )))

[Shark 3.5]

Мне полагается, что у Вас перспективы такие...
1. Извещаете провайдера, что не оплатите пока будете разбираться.
2. Ищите другого провайдера
3. Сильно нагибаете мужиков из консультанта.
4. Долго ищите крайнего....

Мне полагается, что у Вас перспективы такие...1. Извещаете провайдера, что не оплатите пока будете разбираться.2. Ищите другого провайдера3. Сильно нагибаете мужиков из консультанта.4. Долго ищите крайнего....

+ к этому ликвидировать фирму и сьехать в другое место

Shark 3.5, advokat,
Ну, собственно, данное юридическое лицо и планировалось к ликвидации этой осенью...
Другой вопрос, что нормальная ликвидация как-то не особо совместима с неоплаченными счетами...

У нас такое тоже было в прошлом году.Только на скайлинке .Трафик жрал ужас как.Благо админы спохватились на второй день.Комп изъяли .А оплачивать по любому пришлось.То что вирус это сугубо наши проблемы.
А посути если не платить то ген директор отвечать будет или я не прав?Сума то не маленькая.Бывает они вон из за 1т в арбитраж подают.

Simpleuser,
Мне видеться вот что, если эти файлы которые генерят трафик действительно из сборки ПО, и не в одной лицензии-описании этого ПО не прописано, о том что оно может генерить трафик в таком количестве то нагибать контору... По идее в логах должно отображаться куда трафик ушел, то есть адреса куда обращался комп...
Но в целом согласен с Шарком...бодаться придеться....
Переходи на безлимитку И на системы ИПО ГАРАНТ (Генк прорекламировал как мог )

ВОВАН Питер, Если-бы была возможность онлайн контроля состояния счёта как в Скае или прочих, то мы-бы тоже пораньше спохватились. А так-как результат виден только сиииильно постфактум, а контролировать трафф и сообщать о ненормальных изменениях в потреблении совсем НЕ В ИНТЕРЕСАХ ПРОВАЙДЕРА, хотя у него есть все возможности...

Добавлено спустя 1 минуту 31 секунду:

Мне видеться вот что, если эти файлы которые генерят трафик действительно из сборки ПО, и не в одной лицензии-описании этого ПО не прописано, о том что оно может генерить трафик в таком количестве

Во !!! Кто сможет определить/идентифицировать генератор трафика ???!!! Я-ж об этом и говорю !!!

а контролировать трафф и сообщать о ненормальных изменениях в потреблении совсем НЕ В ИНТЕРЕСАХ ПРОВАЙДЕРА, хотя у него есть все возможности...

По сути ты прав .Если контора жрет в день порядка допустим 500мб и в месяц стабильно платит допусти 10т.А тут трафик вырос в десятки раз то это и их должно насторожить.И им по правде говоря не составляет большого труда сообщить об этом .

Переходи на безлимитку

Рад-бы... Безлимитку для юриков не предоставляют. Офисный центр, оператор монополист (Ырктыл). Никого туда не пускают, Yota на грани фола - 1/2 палки и скорость никакая.

Simpleuser,
Думаеться ваш админ...

Vot_takoy, Что "админ" ?

Simpleuser,

Во !!! Кто сможет определить/идентифицировать генератор трафика ???!!! Я-ж об этом и говорю !!!

Думаеться ваш админ...

Мне думается можно поднять логи и смотреть под какой учеткой кто и куда обращался...

Vot_takoy,
Да проблемы нет кто и куда лез... Я и так знаю... )))
Вопрос в подтверждении первичного заражения. Если получится обоснованно подтвердить, что заражение произошло в xx часов xx минут из такого-то источника и таких-то файлов...

Simpleuser, ,была такая херня вы не одиноки! подвис процесс обновления и по кругу гонял закачку обновления, подстава подстав, меня спасло тупо ограничение на проксе, после гига его отрубило нафиг

меня спасло

Угу... а меня нет... ввиду отсутствия прокси как факта...
Да ладно, что теперь после драки кулаками-то махать... Вопрос в констатации факта заражения и идентификации источника !

и имхо, виноват админ, я сам админ и могу такое говорить

куда он раздобай смотрел если трафик лимитированный?