电脑高手请进！~非常棘手！！最近我网吧里无故发现某个主机上行流量过大（超过3MB/S）

电脑高手请进！~非常棘手！！最近我网吧里无故发现某个主机上行流量过大（超过3MB/S）我检查过发病主机，没有下载东西，没有使用P2P类软件。我怀疑是某个机器中毒，可是我这的机器都有还原卡。我也抓过发病主机的数据包。发现有大量80的UDP端口数据流出。哪个大侠帮忙解决下
我这是用的win2003做的路由单线发病时路由主机CPU使用率100%。系统反映迟钝，在路由主机装有P2P拦截软件
由于发生症状时一般都是人多的时候所以我，只是粗略地抓了下包（因为那个路由主机几乎是死机状态，能抓包已经是很幸运了 ）所以没有使用NETSTAT命令。在者。。。我查到的是80的UDP端口，可以封吗？封了这个端口会不会打不开网页 问题是查 不到是哪个机器中的毒，我也怀疑是中毒了。。。。

三、netstat

与上述几个网络检测软件类似，netstat命令也是可以运行于windows 95/98/nt的dos提示符下的工具，利用该工具可以显示有关统计信息和当前tcp/ip网络连接的情况 ，用户或网络管理人员可以得到非常详尽的统计结果。当网络中没有安装特殊的网管软件，但要对整个网络的使用状况作个详细地了解时，就是netstat大显身手的时候了。它可以用来获得你的系统网络连接的信息（使用的端口和在使用的协议等），收到和发出的数据，被连接的远程系统的端口等。（在命令提示符下键入netstat/？可获得netstat的使用帮助。）

主要功能：该命令可以使用户了解到自己的主机是怎样与网络相连接的。

1、netstat命令的语法格式

netstat 格式：netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数解释如下：

-a——用来显示在本地机上的外部连接，它也显示我们远程所连接的系统，本地和远程系统连接时使用和开放的端口，以及本地和远程系统连接的状态。这个参数通常用于获得你的本地系统开放的端口，用它您还可以自己检查你的系统上有没有被安装木马，如果您在你的机器上运行netstat的话，如发现诸如：port 12345(tcp) netbus、port 31337(udp) back orifice之类的信息，则你的机器上就很有可能感染了木马。

-n——这个参数基本上是-a参数的数字形式，它是用数字的形式显示地址和端口，这个参数通常用于检查自己的ip时使用，也有些人使用他是因为更喜欢用数字的形式来显示主机名。

-e——显示静态太网统计，该参数可以与 -s 选项结合使用。

-p protocol——用来显示特定的协议配置信息，它的格式为：netstat -p xxx，xxx可以是udp、ip、icmp或tcp，如要显示机器上的tcp协议配置情况则我们可以用：netstat -p tcp。