Então pessoal a três dias notei algo diferente em minha rede.
Diversos usuários estavam fazendo um upload TOTAL para um site, começei a achar estranho e dropei os acessos a esse site.
Depois de ter feito isso as velocidades com que o usuario infectado fazia as requisições para o tal site era extremamente absurdas, ao ponto de gerar um trafego de 2Mbps por usuário. Isso de requisições negadas.
Façam um teste no de vcs e veja se existe alguma conexão destinada a esse ip 174.37.113.219. Depois achem ele no torch.
A solução foi cortar o pppoe do cliente, e se for dhcp ou ip fixo, cortar o acesso do cliente na torre.
Assim aviso o usuário sobre a minha atitude e peço para ele procurar um assitente técnico em informática para remover o virus.
Q locura!