Как избавиться от троянского вируса?

В сетке из ~ 10 машин c AD на 2003, словили троян.

симптомы - юзеры говорят нет инета, путем долгого и безрезультатного пинания провайдера, определили - инет есть - но как в анекдоте - пациент скорее мертв чем жив: роутер через 30 сек после выключения - включения тупо зависал
везде запустил netstat и
практически на всех машинах видим примерно следующее
TCP server:4615 ip-156.net-81-27-28.rev.euroconnect.fr:ms-wbt-server SYN_SENT 368
TCP server:4616 100.179.55.10:ms-wbt-server SYN_SENT 368
TCP server:4617 softbank221049030115.bbtec.net:ms-wbt-server SYN_SENT 368
TCP server:4618 106.69.140.239:ms-wbt-server SYN_SENT 368
TCP server:4619 207.146.113.2:ms-wbt-server SYN_SENT 368
TCP server:4620 ptr-90-158-140-113.is.net.tr:ms-wbt-server SYN_SENT 368
TCP server:4621 155.71.159.144:ms-wbt-server SYN_SENT 368
TCP server:4622 host18-109-static.253-95-b.business.telecomitalia.it:ms-wbt-server SYN_SENT 368
TCP server:4623 183.115.89.6:ms-wbt-server SYN_SENT 368
TCP server:4624 dsl-189-235-47-197-dyn.prod-infinitum.com.mx:ms-wbt-server SYN_SENT 368
TCP server:4625 216-243-115-237.abq.static.fttx.citylinkfiber.net:ms-wbt-server SYN_SENT 368
TCP server:4626 wrls-249-140-174.wrls-client.fas.harvard.edu:ms-wbt-server SYN_SENT 368
TCP server:4627 163.244.195.184:ms-wbt-server SYN_SENT 368
TCP server:4628 pw126247051021.7.tik.panda-world.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4629 102.38.3.136:ms-wbt-server SYN_SENT 368
TCP server:4630 193.71.194.77.rev.sfr.net:ms-wbt-server SYN_SENT 368
TCP server:4631 adsl-74-240-182-184.msy.bellsouth.net:ms-wbt-server SYN_SENT 368
TCP server:4632 dhcp36-229.lewis.army.mil:ms-wbt-server SYN_SENT 368
TCP server:4633 125.97.108.125:ms-wbt-server SYN_SENT 368
TCP server:4634 20.32.223.2:ms-wbt-server SYN_SENT 368
TCP server:4635 209.158.71.177:ms-wbt-server SYN_SENT 368
TCP server:4636 45.184.115.83:ms-wbt-server SYN_SENT 368
TCP server:4637 210.157.188.60.broad.tz.zj.dynamic.163da ta.com.cn:ms-wbt-server SYN_SENT 368
TCP server:4638 55.9.138.102:ms-wbt-server SYN_SENT 368
TCP server:4639 ool-457bba1d.dyn.optonline.net:ms-wbt-server SYN_SENT 368
TCP server:4640 56.29.160.200:ms-wbt-server SYN_SENT 368
TCP server:4641 139.44.136.16:ms-wbt-server SYN_SENT 368
TCP server:4642 191.252.183.14:ms-wbt-server SYN_SENT 368
TCP server:4643 153.74.67.198:ms-wbt-server SYN_SENT 368
TCP server:4644 19.30.49.68:ms-wbt-server SYN_SENT 368
TCP server:4645 125x100x63x159.ap125.ftth.ucom.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4646 133.132.65.9:ms-wbt-server SYN_SENT 368
TCP server:4647 141.186.174.60:ms-wbt-server SYN_SENT 368
TCP server:4648 55.196.232.181:ms-wbt-server SYN_SENT 368
TCP server:4649 44.244.119.39:ms-wbt-server SYN_SENT 368
TCP server:4650 128.203.96.100:ms-wbt-server SYN_SENT 368
TCP server:4651 73.129.86.132:ms-wbt-server SYN_SENT 368
TCP server:4652 63.134.47.135:ms-wbt-server SYN_SENT 368
TCP server:4653 66.73.36.2:ms-wbt-server SYN_SENT 368
TCP server:4654 76.34.96.97:ms-wbt-server SYN_SENT 368
поставил ису - оказалось что кроме RDP наружу еще активно фигачат DNS запросы
запретил и RDP и DNS ( DNS разрешил только серверу)
инет появился
Для того чтобы представить насколько эта бяка активно долбится, включил лог для ИСЫ на SQL-e, за пару дней база с логом исы выросла до 61GB , кол-во записей перевалило за 213 миллионов

ProcessExplorer показывает следующее: (картинки во вложениях)

После того как инет защитил Исой , эта бяка стала (правда не очень активно) долбиться к пользователям , и соответсвенно когда подключение происходит от имени админа, юзера просто выкидывает - им остается только перегружаться

MS Essential, Каспер , AVG , DRWeb ничего не видят, гугл не на вопрос как дальше жить (или хотя бы подсказать что это за бяка) тоже отвечать не хочет, ПАМАГИТЕ !!!!

Миниатюры

   

обращайтесь https://www.cyberforum.ru/viruses/

0