<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2712.300" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>i am getting some of these every day from work 
(seemingly when users are running Office applications). It is the same set of 
machines every day...always attacking the same destination server. scans of the 
server are picking up nothing with any antivirus package i find, and the same is 
true of the workstations.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>in my mind, the rule regarding this activity should 
never alert under normal circumstances...it is always the same 5 or 6 machines 
sending out to the same destination ip. i have looked in every user directory 
that is pointed out by the snort packet logs, and i do not see a riched20.dll 
file hidden there at all...do you guys think the clients are infected, or the 
server, or am i seeing some fluke false alarm?</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>i desperately need help on this one, i have done 
everything i can think of to do. the server is running windows nt 4.0, and the 
clients are mainly running 9x. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>thanks.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>--fluid</FONT></DIV></BODY></HTML>