с прошлой недели отметил в сетке увеличение трафика
в результате было обнаружено, что в локалке одна из машин бомбит с 445 порта сериями пакетов другую, перебирая порты через один (2463, 2465, 2467 и т.д.)
Закрыл 445 порт, пошло тоже самое только со 139-го порта.
Пакеты посылаются от имени процесса system.
139 порт закрыть не могу, машина перестает видеть локалку.
Штатный антивирус и доп.примочки (AVZ, CureIt и т.д.) ничего не находят.
У кого-нибудь такое случалось? Как боролись?

Не мешайте виндусам работать!

(0) Там троян по ходу - сними винт и проверь на другой машине - лучше касперским.

445 и 139 порт это SMB (CIFS) протоколы , трояны обычно спам рассылают или досят по http.

(3) а распространяются как раз через 139 и 443

(4) В данном случае если у автора и есть что то вредоносное то это уже будет не троян , а руткит. А что более вероятно - это просто msbrowse.

(0) Попробуй винт отсоединить и проверить на другой машине. Если это руткит, то при активной хост-системе ничего антивири не найдут

(6) попробую! сейчас закрыл 445 порт на том компе, который бомбардировался - и вроде, пока трафик устаканился