Проблема с печатью (принтеры бесятся) [Trojan-Downloader.Win32.Delf.hsyv ]

[Trider]

Здравствуйте!

Возможно тема уже поднималась, извините если дублирую.

Проблема в следующем, периодически принтеры начинают "беситься" и печатать кривозябру.
Антивирусы ничего не определяют. В заданиях принтеров, висит что пришло с такого-то компьютера и задание отправил данный пользователь (сеть в Active Directory).
Локальная сеть Windows. 100 персоналок и 10 разнообразных серверов на Windows Server. У пользователей есть "шара" для передачи нужной информации, так вот в этой шаре постоянно появляется злоумышленник, файл "Photo.scr". Не могу понять, это связано с печатью или нет, но именно после однократного запуска данного "скринсейвера", начало твориться неладное с принтерами и это файл начал множиться в шарах

Подскажите пожалуйста, хотя бы название вируса и если есть возможность, то как его победить, чтобы больше не было печати кривозябры

Avz, hijack запускал у себя на компьютере, т.к. тоже в шаре появляется файл Photo.scr

Заранее спасибо!

[Info_bot]

Уважаемый(ая) Trider, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Есть пара вопросов.
Как используется программа

C:\Program Files\ForensiT\User Profile Manager 2.1\updater.exe

?
Второй вопрос, включена синхронизация автономных файлов (какие файлы/папки) синхронизруются ?

[PavelA]

Photo.scr через карантин AVZ загрузите для проверки.

В заданиях принтеров, висит что пришло с такого-то компьютера и задание отправил данный пользователь (сеть в Active Directory).

Вот эту машину и надо попроверять.

[Trider]

Как используется программа ?

Не поверите, но при переходе в проводнике в каталог C:\Program Files\ForensiT\User Profile Manager 2.1\ говорит, нет такого каталога...

Второй вопрос, включена синхронизация автономных файлов (какие файлы/папки) синхронизруются

Профиль пользователя раньше был перемещаемым. В данный момент все профили локальные. Синхронизации нет.

- - - Добавлено - - -

Photo.scr через карантин AVZ загрузите для проверки.

Не совсем понятно как это сделать? Просто открыть карантин и добавить? Куда и что потом нужно загрузить?

Вот эту машину и надо попроверять.

Хорошо, сделаю то же самое и прикреплю файлы.

Спасибо.

[mrak74]

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon из Вашего лога. И самое главное, то что сказал PavelA постом выше.

[Trider]

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon из Вашего лога. И самое главное, то что сказал PavelA постом выше.

Каким образом связана синхронизация и эта зараза? объясните пожалуйста, не могу понять.

Операции с зараженным компом сделаю.

[mrak74]

Откройте свойства папки - Автономные файлы - Использовать автономные файлы/Синхронизировать автономные файлы и т.п. галки стоят? А там ведь еще можно прописать какие папки и файлы синхронизировать, прекрасный способ распространения.

[thyrex]

Сделайте логи на компьютере, который прислал задание на принтер

[Trider]

Логи компьютера с которого валятся задания.

- - - Добавлено - - -

Откройте свойства папки - Автономные файлы - Использовать автономные файлы/Синхронизировать автономные файлы и т.п. галки стоят? А там ведь еще можно прописать какие папки и файлы синхронизировать, прекрасный способ распространения.

Никаких файлов и папок там не прописано.

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  StopService('autorun');
  QuarantineFile('C:\WINDOWS\system32\x','');
  QuarantineFile('C:\huadio.tmp','');
  DeleteFile('C:\huadio.tmp');
  DeleteFile('C:\WINDOWS\system32\x');
  DeleteService('autorun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Обновите базы AVZ

Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Trider]

Спасибо!

1. Файл quarantine.zip отправил.
2. Скрипты выполнил.
3. Обновления установил.
4. Логи новые сделал, предварительно обновив базу AVZ.

P.S: при перезагрузке данного компа, создается файлик photo.scr, в автозагрузке запускается search.cmd, принтеры сразу же начинают печатать скрипт не помог почему-то...

[mrak74]

Содержимое этого файла

c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd

открыть можно через изменить, просмотр в блокноте, сообщите.

- - - Добавлено - - -

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd');
  QuarantineFile('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd','');
  DeleteFile('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Trider]

Содержимое этого файла открыть можно через изменить, просмотр в блокноте, сообщите.

Файл search.cmd и Photo.scr во вложении

По скриптам, чуть позже, как проверку сделаю.

[mrak74]

Жду новые логи. Я просил содержимое в текстовом виде. 100% вирус. Photo.scr запакуйте в архив с паролем virus загрузите его по ссылке вверху своей темы Прислать запрошенный карантин

[Trider]

Жду новые логи. Я просил содержимое в текстовом виде. 100% вирус. Photo.scr запакуйте в архив с паролем virus загрузите его по ссылке вверху своей темы Прислать запрошенный карантин

Залил файлик. Логи делаю.

[thyrex]

Сделайте лог полного сканирования МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\photo.scr - Trojan-Downloader.Win32.Delf.hsyv ( DrWEB: Win32.HLLW.Siggen.4591, BitDefender: Gen:Variant.Zusy.Elzob.17359, AVAST4: Win32:SMSSend-AKU [Trj] )