Не стандартная ситуация.

Кратко описываю суть проблемы.
У нас на работе сеть локальная - более 100 ПК.
С появление флешек начался ужас на работе, люди несут из дома все что только можно.
Интернет есть только на нескольких машинах, все остальные машины обладают лишь локальной сетью.
После очередного обновления пользователи локальной сети стали массово жаловаться на непрерывное появление сообщений Dr Web об удалении вируса. Этот процесс происходит практически постоянно с интервалом от 1 до 10 минут.

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\XVIQSKN2\bvqptcr[1].jpg - инфицирован Trojan.DownLoad.16849

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\GIVFJO9I\efqeln[1].jpg - инфицирован Trojan.DownLoad.16849

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\UGVDYTQP\dsylegoq[1].jpg - инфицирован Trojan.DownLoad.16849

Если пользователь отключается от локальной сети то вирус появляться перестает.

Проверка компьютера на вирусы ничего не дает (вирусы находятся - успешно удаляются) но при подключении к сети все начинается по новой. Это при том что папка где появляется вирус не сетевая.

Раздел правил я читал, но ситуация у меня не стандартная поэтому делать логи по моему нет смысла.

Кто сталкивался с таким?

Нужно искать в сети зараженную машину, которая распространяет это по сети, другого варианта нет... можно еще поставить ловушку: создать сетевую папку и поставить на нее в политиках аудит доступа и вычислить, какая машина туда будет писать зверей...

Смысл есть делать логи хотя бы на заражённых машинах.Словим копию того зловреда, который не определяется - вы его отправите антивирусной компании- будет лечение для всех ста машин.
А политику насчёт флешек надо ужесточить :) Как минимум запретить автостарт.

Проблема в том что в сетевой папке ничего не появляется, вирус появляется в папке которая не является сетевой

Прокси есть? если да, то надо почистить его кеш. М.б. оттуда зараза лезет.

прокси есть, но на этих компах нет соединения с интернетом, адрес прокси там нигде не указан.

прикладываю логи одного из зараженных компьютеров

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Выполнил скрипт. Карантин выслал по правилам.
Логи пока не могу сделать, компьютер сканируется более 1 часа, а сейчас в организации рабочий процесс, доступа к ПК нет.

в карантине только ini, там указано что файла самого на компьютере нет.
Если возможно, то поискать на всех компьютерах и найти существующий файл C:\WINDOWS\system32\csrcs.exe , запаковать в zip с паролем virus и отправить нам и в сапорт дрвеба.

просмотрел около 10 компьютеров файлы csrcs.exe нигде нет.
На той машине где мы вчера запускали скрипт и делали логи вирус не появляется, только к компьютеру подключается сетевой кабель сразу идет почти непрерывная атака вирусов

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\XVIQSKN2\bvqptcr[1].jpg - инфицирован Trojan.DownLoad.16849

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\GIVFJO9I\efqeln[1].jpg - инфицирован Trojan.DownLoad.16849

C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\UGVDYTQP\dsylegoq[1].jpg - инфицирован Trojan.DownLoad.16849

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

Народ я нашел этот файл. прикладываю в карантин

Молодец!! Добавим в базы и уменьшим проблемы пользователей.

так что же делать с этим вирусом? а то вопрос как то повис в воздухе.
Люди работают без локальной сети, только подключаются к сети вирус снова атакует

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\csrcs.exe - [B]Trojan.Win32.Autoit.hy[/B] (DrWEB: Win32.HLLW.Siggen.33)[/LIST][/LIST]