На файловом сервере, на шарах папки перемещаютсяв скрытую папку

Sandor · Отправлено: **15:01, 06-12-2018** | #2

Здравствуйте!

Почему игнорируете сообщения Автологера?
Логи сделаны в терминальной сессии, сделайте их из консоли.

Sandor · Отправлено: **16:24, 06-12-2018** | #3

+
Определитесь, где будете продолжать лечение - здесь или на virusinfo?
Одновременное лечение может вам же повредить, а консультанта запутать.

EvgenijSH · CollectionLog-2018.12.06-17.21.zip

Здравствуйте. Спасибо за ответ, я просто в этом деле не оч. опытный.

EvgenijSH · Отправлено: **17:26, 06-12-2018** | #5

Новый лог
CollectionLog-2018.12.06-17.21.zip

Sandor · Отправлено: **17:28, 06-12-2018** | #6

Цитата Sandor:

где будете продолжать лечение »

Надо понимать - здесь? Если да, там закроем тему.

На этот раз логи собраны устаревшей версией Автологера. Будьте внимательны, это как раз результат одновременного обращения на разные ресурсы.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

EvgenijSH · Отправлено: **17:31, 06-12-2018** | #7

На шарах нашел файл "DeviceManager.exe", MBAM его кидает в карантин, но ничего не меняется. Если этот файл переименовать/удалить, появляется новый.
Отключил часть пк от сети и теперь после переименования файла новый не появляется - я так понимаю нужно копаться в отключенных компах?

Цитата Sandor:

Надо понимать - здесь? Если да, там закроем тему. »

Да, здесь.

Sandor · Отправлено: **17:35, 06-12-2018** | #8

Цитата EvgenijSH:

На шарах нашел файл »

На время лечения закройте их или смените на них пароль. Не исключено, что источник - другой компьютер, имеющий доступ в шару.

EvgenijSH · Отправлено: **17:40, 06-12-2018** | #9

+ В течении дня приносили флешку, на которой такая же ситуация (файлы перемещены в скрытую папку "_", есть ярлык "%windir%\system32\cmd.exe /c start _ & _\DeviceManager.exe & exit"). Флешку проверил "касперским фри", тот удалил там "DeviceManager.exe"
06.12.2018 12.01.35;Обнаруженный объект (файл) удален;G:\_\DeviceManager.exe;G:\_\DeviceManager.exe;HEUR:Trojan.Win32.Generic;Троянская программа;12/06/2018 12:01:35

Sandor · Отправлено: **17:47, 06-12-2018** | #10

Цитата Sandor:

Скачайте Farbar Recovery Scan Tool »

Эти логи сделайте все же.

Цитата EvgenijSH:

приносили флешку, на которой такая же ситуация »

Попробуйте выяснить, где она была до того, как принесли.
Если найдете проблемный компьютер и нужна будет помощь, создайте для него отдельную тему.