Показано с 1 по 18 из 18.

Проблема с печатью (принтеры бесятся) [Trojan-Downloader.Win32.Delf.hsyv ] (заявка № 129402)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15

    Проблема с печатью (принтеры бесятся) [Trojan-Downloader.Win32.Delf.hsyv ]

    Здравствуйте!

    Возможно тема уже поднималась, извините если дублирую.

    Проблема в следующем, периодически принтеры начинают "беситься" и печатать кривозябру.
    Антивирусы ничего не определяют. В заданиях принтеров, висит что пришло с такого-то компьютера и задание отправил данный пользователь (сеть в Active Directory).
    Локальная сеть Windows. 100 персоналок и 10 разнообразных серверов на Windows Server. У пользователей есть "шара" для передачи нужной информации, так вот в этой шаре постоянно появляется злоумышленник, файл "Photo.scr". Не могу понять, это связано с печатью или нет, но именно после однократного запуска данного "скринсейвера", начало твориться неладное с принтерами и это файл начал множиться в шарах

    Подскажите пожалуйста, хотя бы название вируса и если есть возможность, то как его победить, чтобы больше не было печати кривозябры

    Avz, hijack запускал у себя на компьютере, т.к. тоже в шаре появляется файл Photo.scr

    Заранее спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) Trider, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Здравствуйте !!!

    Есть пара вопросов.
    Как используется программа
    C:\Program Files\ForensiT\User Profile Manager 2.1\updater.exe
    ?
    Второй вопрос, включена синхронизация автономных файлов (какие файлы/папки) синхронизруются ?

  5. mrak74 получил(а) благодарность за это сообщение от


  6. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Photo.scr через карантин AVZ загрузите для проверки.

    В заданиях принтеров, висит что пришло с такого-то компьютера и задание отправил данный пользователь (сеть в Active Directory).
    Вот эту машину и надо попроверять.
    Последний раз редактировалось PavelA; 26.12.2012 в 11:34.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #5
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Как используется программа ?
    Не поверите, но при переходе в проводнике в каталог C:\Program Files\ForensiT\User Profile Manager 2.1\ говорит, нет такого каталога...

    Цитата Сообщение от mrak74 Посмотреть сообщение
    Второй вопрос, включена синхронизация автономных файлов (какие файлы/папки) синхронизруются
    Профиль пользователя раньше был перемещаемым. В данный момент все профили локальные. Синхронизации нет.

    - - - Добавлено - - -

    Цитата Сообщение от PavelA Посмотреть сообщение
    Photo.scr через карантин AVZ загрузите для проверки.
    Не совсем понятно как это сделать? Просто открыть карантин и добавить? Куда и что потом нужно загрузить?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Вот эту машину и надо попроверять.
    Хорошо, сделаю то же самое и прикреплю файлы.

    Спасибо.

  8. #6
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon из Вашего лога. И самое главное, то что сказал PavelA постом выше.

  9. #7
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Цитата Сообщение от mrak74 Посмотреть сообщение
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon из Вашего лога. И самое главное, то что сказал PavelA постом выше.
    Каким образом связана синхронизация и эта зараза? объясните пожалуйста, не могу понять.

    Операции с зараженным компом сделаю.

  10. #8
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Откройте свойства папки - Автономные файлы - Использовать автономные файлы/Синхронизировать автономные файлы и т.п. галки стоят? А там ведь еще можно прописать какие папки и файлы синхронизировать, прекрасный способ распространения.

  11. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Сделайте логи на компьютере, который прислал задание на принтер
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #10
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Логи компьютера с которого валятся задания.

    - - - Добавлено - - -

    Цитата Сообщение от mrak74 Посмотреть сообщение
    Откройте свойства папки - Автономные файлы - Использовать автономные файлы/Синхронизировать автономные файлы и т.п. галки стоят? А там ведь еще можно прописать какие папки и файлы синхронизировать, прекрасный способ распространения.
    Никаких файлов и папок там не прописано.
    Вложения Вложения

  13. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      StopService('autorun');
      QuarantineFile('C:\WINDOWS\system32\x','');
      QuarantineFile('C:\huadio.tmp','');
      DeleteFile('C:\huadio.tmp');
      DeleteFile('C:\WINDOWS\system32\x');
      DeleteService('autorun');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Обновите базы AVZ
    Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  14. #12
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Спасибо!

    1. Файл quarantine.zip отправил.
    2. Скрипты выполнил.
    3. Обновления установил.
    4. Логи новые сделал, предварительно обновив базу AVZ.

    P.S: при перезагрузке данного компа, создается файлик photo.scr, в автозагрузке запускается search.cmd, принтеры сразу же начинают печатать скрипт не помог почему-то...
    Вложения Вложения

  15. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Содержимое этого файла
    c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd
    открыть можно через изменить, просмотр в блокноте, сообщите.

    - - - Добавлено - - -

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd');
      QuarantineFile('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd','');
      DeleteFile('c:\documents and settings\Склад2\Главное меню\Программы\Автозагрузка\search.cmd');
    BC_ImportAll;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  16. #14
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Содержимое этого файла открыть можно через изменить, просмотр в блокноте, сообщите.

    Файл search.cmd и Photo.scr во вложении

    По скриптам, чуть позже, как проверку сделаю.
    Последний раз редактировалось mrak74; 29.12.2012 в 09:50. Причина: Ссылка на архив содержащий вирус

  17. #15
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Жду новые логи. Я просил содержимое в текстовом виде. 100% вирус. Photo.scr запакуйте в архив с паролем virus загрузите его по ссылке вверху своей темы Прислать запрошенный карантин

  18. #16
    Junior Member Репутация
    Регистрация
    26.12.2012
    Сообщений
    7
    Вес репутации
    15
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Жду новые логи. Я просил содержимое в текстовом виде. 100% вирус. Photo.scr запакуйте в архив с паролем virus загрузите его по ссылке вверху своей темы Прислать запрошенный карантин
    Залил файлик. Логи делаю.

  19. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. \\photo.scr - Trojan-Downloader.Win32.Delf.hsyv ( DrWEB: Win32.HLLW.Siggen.4591, BitDefender: Gen:Variant.Zusy.Elzob.17359, AVAST4: Win32:SMSSend-AKU [Trj] )


  • Уважаемый(ая) Trider, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проблема с печатью.
      От lAvarecl в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.01.2011, 21:05
    2. Тормоза и проблема с печатью из IE
      От pluG089 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 27.05.2010, 17:11
    3. Проблема с печатью и вирусами.
      От Ивор в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.06.2009, 13:07
    4. Проблемы с печатью в IE6 и прочее
      От v.heathen@gmail.com в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 18:45
    5. пропадают принтеры
      От krasnosel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.11.2006, 13:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01379 seconds with 24 queries