Здравствуйте. Сервер 2016 со всеми обновлениями. Три года все ок, испоkьзуется для нескольких фтп-серверов, организованных через iis на сервере. В папках лежат excel-файлы с разных предприятий. Три года все нормально, вчера в папках появились какие то приложения (exe). Защитник виндоус их определяет как Trojan:Win32/Aenjaris/ROC!MTB, удаляет их, но они сразу появляются снова. Актуальный KVRT ничего не находит, защитник то же самое, удаляет эти файлы, но первопричину не находит. Помогите, пожалуйста. Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ria, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Папки расшарены в сети для конкретного пользователя. Того, кто после попадания файлов в нужные папки работает с ними. Т.е. в правах доступа к расшареным папкам на сервере прописаны права для конкретного пользователя. Владелец "левых" файлов - тот пользователь, кто работает с этими папками. Т.е. приходят ексель-файлы от разных точек в папки 1, 2, 3 и т.п. на 2016 сервер (каждая папка - свой фтп-сервер, в зависимости от функционала точки, отправляющей файл, файл попадает в нужную папку). К этим папкам имеет доступ пользователь, которому нужны эти файлы. Он же и оказался владельцем "левых" файлов.
- - - - -Добавлено - - - - -
Спасибо огромное за помощь, действительно, зараженным оказался компьютер пользователя, который имеет доступ к папкам фтп. С нее все шло, KVRT нашел там несколько троянов Ransom.Win32.Blocker.gen. Проверяли старые флешки на нем, ну и вот итог. Там вообще ОС вин 7 32, я не в теме был, на след неделе поменяем на комп с вин 10. Еще раз спасибо.
Значит, и проверять нужно систему, в которой работает этот конкретный пользователь.
Загрузите на virustotal.com один из файлов с вирусом и дайте ссылку на результат.
А после проверки и лечения зараженной системы все стало нормально и левые файлы больше не появляются на сервере. Мне и послать на вирустотал уже нечего) Защитник что было удалил, а больше они не появляются после лечения зараженного компьютера пользователя
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Проблема с сервером 2016
