Показано с 1 по 8 из 8.

вирус, любящий принтер (заявка № 78503)

  1. #1
    Junior Member Репутация
    Регистрация
    19.04.2008
    Сообщений
    14
    Вес репутации
    32

    Thumbs up вирус, любящий принтер

    Здравствуйте.

    Симптомы таковы.

    Начало.
    Вчера была блокирована попытка куда-то отправить данные от файлика *.tmp, после чего примерно через час внезапно стал печатать принтер, пустые листы бумаги, пока я не вынула лоток из принтера. размер отправленного файла на печать был около 700 кб.

    Предположив, что это очередная гадость из Documents & Settings / %User% / Local Settings / Temp, я полезла туда через Total Commander.
    При открытии этой папки в командной строке тотала появилась длинная надпись testtesttesttesttesttest.....
    В дальнейшем эта надпись появлялась также при открытии local settings / temp из других учетных записей, в той раскладке, в которой была клавиатура (то есть иногда и еусееусе).

    Из установленной защиты: лицензионный DrWeb 5.0 и Agnitum Outpost firewall с закончившейся лицензией. Еще набор утилиток есть на флешке с физической защитой от записи, откуда я поначалу все и запускала. Позже рискнула и скачала свежие версии и cure-it, и avptool, и остальное. Эти вложения сделаны уже с харда, свежескачанные версии.

    Буквально на первой же перезагрузке после начавшихся проблем DrWeb остался как процесс в памяти, а значка в трее не было, и несмотря на включенную самозащиту, внутри его .ini были заданы правила на сканер и на гвард "по маске", при этом в исключениях стояли все эти же маски. В общем, я его удалила, и попыталась в безопасном режиме поставить 6-ю версию, но не получилось.

    Мои действия: чистила кукисы, кэши, убивала все внутри папок temp вручную и с помощью тех же avz и средств виндовса, смотрела глазами свежие файлики и файлики с незнакомыми названиями в корне, в system32, dllcache, drivers, сканировала avz, hijackthis, cure-it, avptool.
    И не просто смотрела, а все подозрительное, незнакомое и свежее по дате убивала или переносила. Утилиты нашли только парочку троянов, но симптомы продолжались.

    Продолжение симптомов.
    Так как я сразу начала действовать, то возможно, что-то смогла прибить, но не убить окончательно.

    Что возникало во время моих попыток вылечиться:
    - периодически в папке local settings / temp появлялись левые файлики с разными расширениями, неубиваемые вручную. Примерно через пару минут они исчезали, появлялись новые. Были и dll, и tmp, и просто без расширения.
    - Незнакомая dll в процессе svchost
    - запрет на запуск программ (того же DrWeb) из-за политики с труднопроизносимым названием (Доступ к C:\PROGRA~1\DrWeb\spiderui.exe был ограничен Администратором по расположению правилом политики {f856c4ac-9853-4bef-83a8-bc9259607d61}, расположенной в C:\Program Files\DrWeb)
    - в просмотре событий начало появляться "Не найдено описание для события с кодом ( 1903 ) в источнике ( HHCTRL )." Может, это и не относится к теме, но кажется, такого раньше не было...
    - avz и hijackthis с компа не хотели запускаться, спасало то, что на флешке они заранее были переименованы для такого случая
    - самостоятельно при перезагрузке включалось восстановление системы

    Что осталось теперь на текущий момент:
    - каждый 2 минуты на принтер идет печать, файлик без названия, размером 66 байт. Лоток я уже задвинула - но собственно печататься он не хочет, только очередь занимает.
    - по-прежнему ограничение политики на запуск некоторых программ, типа DrWeb полной версии, но пишет уже другое - Установка "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{8DBBD328-DEAE-43D0-AFD6-42069EBA582B}\drweb-600-win-x86.msi" не разрешена из-за ошибки при обработке политики ограниченного применения программ. Объекту нельзя доверять.

    Есть подозрение на Скайп, либо на Voxtel, это телефонная трубка для разговора по скайпу.

    Апдейт. Пока я все это писала, очередь на принтер кажется закончилась )) За последние 10 минут ни одного нового файлика печататься не собирается..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    Цитата Сообщение от Anisik Посмотреть сообщение
    При открытии этой папки в командной строке тотала появилась длинная надпись testtesttesttesttesttest.....
    Проделки AVZ по поиску клавиатурных шпионов

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteREpair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Проверьте работу антивируса
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    19.04.2008
    Сообщений
    14
    Вес репутации
    32
    Антивирус установился.
    Но принтер все-таки хочет печатать и печатать, и еще, забыла - комп корректно не перезагружается, а зависает на "завершение работы Windows...".

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,582
    Вес репутации
    2916
    А как же это?
    Цитата Сообщение от Anisik Посмотреть сообщение
    Апдейт. Пока я все это писала, очередь на принтер кажется закончилась )) За последние 10 минут ни одного нового файлика печататься не собирается..
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    19.04.2008
    Сообщений
    14
    Вес репутации
    32
    Ну после перезагрузки все началось заново..

  7. #6
    Junior Member Репутация
    Регистрация
    19.04.2008
    Сообщений
    14
    Вес репутации
    32
    За прошедшее время:
    - убит принтер, после перезагрузки нашелся сам обратно
    - проверка гмером вроде ничего странного не показала, хотя я там еще не все понимаю ((
    - с hhctrl все понятно - это проделки drweb
    - убит аутпост, поставлен новый drweb с наворотами (security space pro, лицензия позволяет)
    - заодно восстановила службу логических дисков (это была старая проблема) и проверила все chkdsk, после такого-то..

    Итоги: комп перезагружается нормально, а принтер все еще шалит - причем раз от раза - после одной перезагрузки все хорошо, после другой - снова эти очереди печати, файлики уже по 87 байт...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Установите Service Pack 3 для Windows ХР (может потребоваться активация).
    Установите обновления безопасности на Windows.

  9. #8
    Junior Member Репутация
    Регистрация
    19.04.2008
    Сообщений
    14
    Вес репутации
    32
    Вроде все чисто, спасибо !!

  • Уважаемый(ая) Anisik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Принтер печатает "Я вирус"
      От unix-nsk в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.03.2010, 09:54
    2. Не печатает принтер
      От bo4karev в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.06.2009, 13:23
    3. принтер не печатает
      От vasilek-elena в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.02.2009, 16:38
    4. Исчез принтер
      От allchic в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.02.2009, 12:50
    5. Пропал принтер
      От malenkymuk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2008, 17:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01534 seconds with 21 queries