3 ответов в этой теме

[Yeris]

День добрый

На сервере с ОС Windows 2012 установлен Dr.Web server 10.00.02060, агент 10.0.

Версия Net filtering service (dwnetfilter.exe) 10.0.6.04230.

ip адрес нашего сервера 192.168,0,11

Проблема: постоянно идет инициализация соединения на удаленный порт 3389. Исходящие соединения на удаленный порт 3389 закрыты на маршрутизаторе. При этом на нашем сервере процесс dwnetfilter.exe перебирает ip адреса: удаленные адреса находятся в США, бразилии, и тд.

Коллеги, нужна ваша помощь. Срочно! Что делать с этим процессом?

Это что вирус так работает? почему на рабочих станциях этого нет?

Прикрепленные файлы:

•  3389.jpg   322,93К   0 Скачано раз

[Afalin]

Через нетфильтр прогоняется весь трафик, потому оно и выглядит тут, как будто весь трафик исходит от нетфильтра.

Насколько я понимаю, смотреть надо в логах нетфильтра, кто сканирует удалённые rdp.

[Yeris]

Спасибо

Да увидел в логах. Начал копать дальше. Установлена служба webisida.browser. Файл Windows\tcpsv\wdgmgr.exe устанавливал соединение.

  Немного почистил реестр, папки windows\system32. Другие папки. Больше таких соединений нет. Что за вирус был? Чем это чревато?

[pig]

Файл сохранился? Если да - засылайте в вирлаб, там посмотрят.