Win2008R2 - сканит сеть (445 порт)

Добрый день.

Знакомые арендуют Win-сервер (2008 R2 STD) у хостера. Пару дней назад хостер отключал их аккаунт из-за "подозрительной сетевой активности". По тем логам, что показывали мне, я видел, что с ip-сервера по внешним (рандомным) ip-серверам шли попытки подключения на 445 порт.

С их слов, они забрали нужные данные с сервера и заказали автоматическую установку (с нуля). После чего их разблокировали, они вернули данные и ПО обратно, но и суток не прошло, как их заблокировали снова по той же причине.

Меня сегодня попросили посмотреть, но я добрался до компа только сейчас. Подключился через терминал - ничего интересного на первый взгляд не нашел, но и опыта у меня по борьбе с такими вещами особо нет. Как я понял, после последней блокировки их админ запускал несколько антивирусных сканеров, которые "что-то нашли и удалили", но что именно нашли админ не помнит и логи не сохранил. В карантине у CureIt валялся только один 3МБ-файл, но по этому файлу virustotal ничего не детектит.

Сейчас сетевой активности, вроде, нет. Странных процессов нет. Посмотрите, пжл, логи - не видно ли там каких-нибудь "ушей"?

Спасибо.

Уважаемый(ая) [B]M.Hamster[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Чисто.
Надеюсь, уязвимость, которую использует нашумевший WannaCry: [URL="https://support.microsoft.com/ru-ru/help/4012598/title"]MS17-010: Описание обновления безопасности для Windows SMB Server[/URL], устранили?

[QUOTE=Vvvyg;1454452]Чисто.
Надеюсь, уязвимость, которую использует нашумевший WannaCry: [URL="https://support.microsoft.com/ru-ru/help/4012598/title"]MS17-010: Описание обновления безопасности для Windows SMB Server[/URL], устранили?[/QUOTE]

Да. Соответствующий патч стоит и я поотключал "лишние" сервисы, которые не использовались на сервере. В том числе и SMB.

Спасибо.

Тогда - порядок