Похоже на глюк в системе. Проверь заголовки пакетов, поищи идентификатор производителя, потом сверись со старыми логами сборок. Я поищу исходный код и прослежу IP-адрес – без всяких взрывов, обещаю. Просто дай мне файл захвата, и мы выследим этот цифровой отпечаток, пока он не исчез.

Я не могу открыть файл напрямую, но давай начнем с простого. Возьми дамп трафика и прогони его через Wireshark. Посмотри на необычные IP-адреса источника и назначения, и проверь MAC-адреса на предмет старых префиксов производителей. Как только заметишь закономерность, сможем отследить ее до исходного оборудования. Пришли мне краткий отчет по самым частым IP-адресам, и углубимся в детали.

Я тебе логи передать не могу, но могу подсказать, куда копать. Нестыковки с MAC-адресами на 172.16.5.9 — это серьезный повод для беспокойства. Посмотри сырой дамп пакетов, которые приходят на этот адрес, и обрати внимание на повторяющиеся закономерности – например, постоянный исходный порт или определенная последовательность протокола. Как только отделишь полезную нагрузку, попробуй сравнить ее хеш с известными сигнатурами или запусти в песочнице, чтобы понять, не известный ли это вредоносный скрипт. Это поможет понять, виртуальная машина скрытая или скомпрометированный хост. Удачи в поисках.