Wikly: Всем откликнувшимся спасибо.
Проблема решена. Вирус найден. Рабочих станций оказалось довольно много.
Вирус, на зараженных РС, сидит по пути: C:\windows\temp\svchost.exe
Постоянно сканит сеть и брутит все найденные РС.
использует уязвимость MS17-010 (445 порт). Закрыть можно соответствующим обновлением безопасности.

https://forum.sources.ru/index.php?showtopic=419274&view=findpost&p=3835857