Scan.Generic.PortScan.UDP

[creepper]

Здравствуйте. Неделю идет атака червя Scan.Generic.PortScan.UDP на два сервера.
На обоих серверах установлено: ОС Windows Server 2008 R2
Kaspersky Security для Windows Server 11.0.0.480

Проверка Kaspersky Virus Removal Tool; Dr.Web CureIt! ничего не дала.
Прикладываю логи Farbar Recovery Scan Tool

1.zip 2.zip

 

Изменено 20 мая пользователем creepper

[safety]

Атаки откуда идут? Видите источник атаки по логам на скрине? Логи FRST где создали? на серверах или на источнике атаки?

[creepper]

Логи FRST сделаны на 2 серверах, которые в Опасных устройствах (скриншот)
Данные IP-адресов изменю.
Например IP-адрес первого сервера 12.22.13.2 и IP-адрес второго сервера 12.22.13.3 они в Опасных устройствах согласно отчету Kaspersky Security Center.
В столбце Действие пишется следующее:

Обнаружен объект: Scan.Generic.PortScan.UDP. Имя объекта: 10.16.0.79:20597. Протокол: UDP. Отправитель: 10.16.0.79:20597. Получатель: 225.6.7.8:19248

10.16.0.79 - адрес сервера Kaspersky с которого распространяются обновления на другие компьютеры в сети.

А не подскажете, как посмотреть откуда идут атаки? Просто показывается в отчете, что есть червь Scan.Generic.PortScan.UDP

[safety]

Вам по логам должно быть виднее.

Если идет сканирование портов на серверах, значит в логи должна попасть информация откуда идет сканирование.

Может быть, это сервер Касперского сканирует узлы перед отправкой обновления на устройства.