трафик в локалке и 139 порт #703485

с прошлой недели отметил в сетке увеличение трафика в результате было обнаружено, что в локалке одна из машин бомбит с 445 порта сериями пакетов другую, перебирая порты через один (2463, 2465, 2467 и т.д.) Закрыл 445 порт, пошло тоже самое только со 139-го порта. Пакеты посылаются от имени процесса system. 139 порт закрыть не могу, машина перестает видеть локалку. Штатный антивирус и доп.примочки (AVZ, CureIt и т.д.) ничего не находят. У кого-нибудь такое случалось? Как боролись?

Не мешайте виндусам работать!

Там троян по ходу - сними винт и проверь на другой машине - лучше касперским.

445 и 139 порт это SMB (CIFS) протоколы , трояны обычно спам рассылают или досят по http.

а распространяются как раз через 139 и 443

В данном случае если у автора и есть что то вредоносное то это уже будет не троян , а руткит. А что более вероятно - это просто msbrowse.

Попробуй винт отсоединить и проверить на другой машине. Если это руткит, то при активной хост-системе ничего антивири не найдут

попробую! сейчас закрыл 445 порт на том компе, который бомбардировался - и вроде, пока трафик устаканился