сетевые принтеры снова печатают и снова иероглифы

RSS

Сообщений: 21

Баллов: 10

Регистрация: 27.11.2012

Размещено 20.09.2013 10:11:22

вы не поверите ))) но этот вирус снова начал беспокоить ) в чем проблема?! либо вирус эволюционировал ?))) либо антивирус диградировал ? )))

ps: помогайте! что делать!?! сетевые принтеры снова печатают и снова иероглифы!

Ответы

Пред. 1 2 3 След.

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 08.08.2014 16:03:45

Вот образы загрузки трёх машин.

http://rghost.ru/download/57359942/8960e6ea4e7b2049e35e0cbac4cff761f55daed7/70acdbd595a5e8cd781e962017bfe3e3288157c2/Images_virus_ieroglif.7z
Спасибо.

Прикрепленные файлы

Images_virus_ieroglif.7z (1.77 МБ)

Изменено: Anderson Brooks - 08.08.2014 16:04:37

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 08.08.2014 16:06:24

Вот образы загрузки трёх машин.

http://rghost.ru/download/57359942/8960e6ea4e7b2049e35e0cbac4cff761f55daed7/70acdbd595a5e8cd781e962017bfe3e3288157c2/Images_virus_ieroglif.7z
Спасибо.

Прикрепленные файлы

Images_virus_ieroglif.7z (1.77 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.08.2014 16:45:21

это что у вас за программа?

Цитата
\\SERVER-FANSY\FANSY\SPECTRE\SPECTRE.EXE

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.08.2014 16:57:22

по образам ничего подозрительного нет. посмотрите в настройки этого принтера через браузер по IP. нет ли там чего то подозрительного.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 12.08.2014 15:47:12

Спасибо. В программе "Spectre.exe" ничего подозрительного, это лицензионное многопользовательское приложение.

Цитата
по образам ничего подозрительного нет. посмотрите в настройки этого принтера через браузер по IP. нет ли там чего то подозрительного.

- Что Вы хотели этим сказать..? Предполагаете, как и я, что в памяти МФУ (которая не ОЗУ) - что-то может быть.. - если так, как проверить память МФУ?
Ещё раз, Спасибо!

Обращаю внимание, что такое происходит с периодичностью 1,5 -2 дня только с МФУ (см. начало моей переписки). На простые принтеры это не распространяется.
Появляется в журнале МФУ документ "doc" :evil:

страниц 15 в большом количестве экземпляров - отправитель неизвестен, в очереди печати не отображается. 8)

Изменено: Anderson Brooks - 12.08.2014 15:55:41

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 16:26:40

не в памяти, а в настройках.... может цепляется какая то левая программа из настроек. (если есть такая возможность). как в RDP сессии, там в свойства ярлыка можно что-то прописать в запуск.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 12.08.2014 17:01:06

Цитата
не в памяти, а в настройках.... может цепляется какая то левая программа из настроек. (если есть такая возможность). как в RDP сессии, там в свойства ярлыка можно что-то прописать в запуск.

Спасибо. Подумаем.
Попробую образ автозагрузки к более подозрительной8) машине..вылажу.

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 12.08.2014 17:31:46

Образ автозагрузки "самой подозрительной" машины.8)
Прошу проанализировать. Спасибо.

Прикрепленные файлы

USDEP5_2014-08-12_17-04-22.7z (650.77 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 17:47:54

проблему с сетевым принтером это вряд ли решит, до доступ к некоторым сайтам разблокирует

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-694134206-2283852403-699164789-2739\$IKHYPJB.EXE delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS regt 14 deltmp delnfr restart

Код


;uVS v3.83 BETA 14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-694134206-2283852403-699164789-2739\$IKHYPJB.EXE
delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
regt 14
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.08.2014

Размещено 13.08.2014 10:39:16

Цитата
доступ к некоторым сайтам разблокирует

- что значит доступ к некоторым сайтам разблокирует..? зачем? разве что-то чем-то было заблокировано..?

Изменено: Anderson Brooks - 13.08.2014 10:42:54

Пред. 1 2 3 След.