Проблема с сервером 2016

Здравствуйте. Сервер 2016 со всеми обновлениями. Три года все ок, испоkьзуется для нескольких фтп-серверов, организованных через iis на сервере. В папках лежат excel-файлы с разных предприятий. Три года все нормально, вчера в папках появились какие то приложения (exe). Защитник виндоус их определяет как Trojan:Win32/Aenjaris/ROC!MTB, удаляет их, но они сразу появляются снова. Актуальный KVRT ничего не находит, защитник то же самое, удаляет эти файлы, но первопричину не находит. Помогите, пожалуйста. Спасибо.

Уважаемый(ая) [B]ria[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Спасибо за ответ. Логи прикрепил к первому сообщению.

Проблема не на сервере, файлы с вирусом кладут через шары, или прямо по ftp. Папки эти расшарены по сети? Кто владелец файлов с вирусом?

Папки расшарены в сети для конкретного пользователя. Того, кто после попадания файлов в нужные папки работает с ними. Т.е. в правах доступа к расшареным папкам на сервере прописаны права для конкретного пользователя. Владелец "левых" файлов - тот пользователь, кто работает с этими папками. Т.е. приходят ексель-файлы от разных точек в папки 1, 2, 3 и т.п. на 2016 сервер (каждая папка - свой фтп-сервер, в зависимости от функционала точки, отправляющей файл, файл попадает в нужную папку). К этим папкам имеет доступ пользователь, которому нужны эти файлы. Он же и оказался владельцем "левых" файлов.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Спасибо огромное за помощь, действительно, зараженным оказался компьютер пользователя, который имеет доступ к папкам фтп. С нее все шло, KVRT нашел там несколько троянов Ransom.Win32.Blocker.gen. Проверяли старые флешки на нем, ну и вот итог. Там вообще ОС вин 7 32, я не в теме был, на след неделе поменяем на комп с вин 10. Еще раз спасибо.

Значит, и проверять нужно систему, в которой работает этот конкретный пользователь.
Загрузите на virustotal.com один из файлов с вирусом и дайте ссылку на результат.

А после проверки и лечения зараженной системы все стало нормально и левые файлы больше не появляются на сервере. Мне и послать на вирустотал уже нечего) Защитник что было удалил, а больше они не появляются после лечения зараженного компьютера пользователя

Ну и отлично, тогда закрываю тему )