Вычислить зараженный компьютер в сети, который рассылает вирус

У меня стоит Kerio Mail Server 6.7.3
C недавнего времени мой внешний IP занесли три раза в BlackList CBL [url]http://www.abuseat.org/[/url]
Причина занесения вирус Ranybus. Как вычислить на каком ПК сидит зараза или откуда извне проникает злоумышленник.
Вот письмо о внесении в блэк лист. Во вложении лог с произвольного компьютера в сети (моего)
[COLOR=#000000][FONT=georgia]P Address 85.234.125.14 [B]is listed[/B] in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet.[/FONT][/COLOR]
[COLOR=#000000][FONT=georgia]It was last detected at 2016-12-13 11:00 GMT (+/- 30 minutes), approximately 1 days, 14 hours, 30 minutes ago.[/FONT][/COLOR]
[COLOR=#000000][FONT=georgia]It has been relisted following a previous removal at 2016-12-12 06:43 GMT (2 days, 19 hours, 15 minutes ago)[/FONT][/COLOR]
[COLOR=#000000][FONT=georgia]Perhaps the person who previously removed it didn't actually fix the problem.[/FONT][/COLOR]
[SIZE=+1][COLOR=#000000][FONT=georgia]This IP is infected with, or is NATting for a machine infected with s_ranbyus
Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.
This was detected by observing this IP attempting to make contact to a s_ranbyus Command and Control server, with contents unique to s_ranbyus C&C command protocols.
This detection corresponds to a connection at 2016-12-13 11:19:26 (GMT - this timestamp is believed accurate to within one second).
These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.
You will need to find and eradicate the infection before delisting the IP address.
[/FONT][/COLOR][/SIZE]

Уважаемый(ая) [B][email protected][/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

13го числа в 6 часов утра (по гринвичу) и 14 по местному была активность SMTP сервера (почти под тысячу соединений). Но в логах я почему-то ничего не вижу.
Видимо потому, что именно изнутри было отправлено всего пару десятков песем

Надеюсь, не open relay наружу торчит.
Этот компьютер чист. Много ещё проверять? По теме на каждого :>

[QUOTE=Vvvyg;1419982]Надеюсь, не open relay наружу торчит.
Этот компьютер чист. Много ещё проверять? По теме на каждого :>[/QUOTE]
Сайт [url]http://www.test-smtp.com/[/url] выдает [h=3]All tests succeded, no relay accepted.[/h]Компьютеров порядка сорока...
Если на каждом запускать cureit это будет атас.
Ужесточил все правила в почтовике которые нашел. По логам в день отправляется не более 50ти писем. т.е. массовой рассылки я в логах не вижу

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Закрыл максимум портов на файрволе, но 25 не могу - он нужен.
В итоге задача сводится к поиску троян Ranbyus - он шлет банковские данные из ibank2

Есть у меня большое подозрение, что abuseat.org либо что-то путает, либо на понт берёт. Но в любом случае способа убедиться в том, что угрозы нет, ровно два.
1-й - проверять все 40 компьютеров. Кстати, можно управиться за выходной - CureIt на сетевом диске, пройтись по компьютерам и запустить проверку.
2-й - анализировать сетевой трафик, установить какой-либо продвинутый файрвол... Но нужно знать, что именно и как ловить, у ranbyus много разновидностей..