Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус ПЕЧАТАЕТ ИЕРОГЛИФЫ НА СЕТЕВЫХ ПРИНТЕРАХ , У меня в организации принтеры начали сами по себе печатать иероглифы. Тратится бумага, печать невозможно остановить пока не вытащишь бумагу.

RSS
 
mahtbl
mahtbl
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 27.11.2012
Размещено 27.11.2012 16:35:19
Здраствуйте.
Подскажите мб кто-нибудь сталкивался.

Недавно в моей организации появился троянчик, который самостоятельно печатает какието иероглифы на принтеры в сети.
Работники в панике!!!
что делать? подскажите... мб кто- нибудь встречался с таким?
В очереди печати документ обозначен как "Удаленный документ низкого уровня",пользователь ГОСТЬ. Так же в одной из сетевых папок я заметил файлик с именем: Photo.scr

Мой антивирус нечего сделать не может...
ps: жду ответ заранее спасибо

Ответы

Пред. 1 2
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 28.11.2012 11:49:22
Файл будет добавлен в базу как

Photo.scr - Win32/Tophos.H worm

Дождитесь выхода нового обновления чтобы вирус удалялся, обновите все ПК в сети и выполните полный скан всех ПК.
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 28.11.2012 11:56:43
Цитата
Ps: заметил сегодня ещё на нескольких компьютерах этот файл
если файлик лежит в расшаренных ресурсах, проверьте по свойствам файла, кто является владельцем данного файла, возможно определите, с какой машины он попадает в расшаренный ресурс.

Цитата
Worm:Win32/Tophos.A is a worm that copies itself to network shares and removable drives, displays an adult-oriented image, and may download additional malware into your computer.
Installation

Worm:Win32/Tophos.A checks if the current process running it is "search.cmd". If not, then Worm:Win32/Tophos.A copies itself as "<startup folder>\search.cmd".

Note: <startup folder> refers to a variable location that is determined by the malware by querying the operating system. The default installation location for the Startup folder for Windows 2000, XP, and 2003 is "%USERPROFILE%\Start Menu\Programs\Startup". For Windows Vista, 7, and W8, the default location is "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".

Worm:Win32/Tophos.A drops a picture file named "Photo.jpg" in the current folder. It opens this picture, which has adult content.
Spreads via...

Network shares

Worm:Win32/Tophos.A tries to copy itself to all writeable network shares as "Photo.scr". It may do this even through a wireless connection.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FTophos.A

возможно, те кто открывают картинку на расшаренном ресурсе, тем самым посылают "иероглифы" на печать,
Изменено: santy - 28.11.2012 12:06:14
[ Как создать образ автозапуска? ]
 
mahtbl
mahtbl
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 27.11.2012
Размещено 28.11.2012 12:05:03
всё хорошо. жду тогда нового обновления. и запускаем Eset Endpoint Antivirus ;)
посмотрим что получится
 
mahtbl
mahtbl
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 27.11.2012
Размещено 28.11.2012 12:06:13
Цитата
santy пишет:
Цитата
Ps: заметил сегодня ещё на нескольких компьютерах этот файл
если файлик лежит в расшаренных ресурсах, проверьте по свойствам файла, кто является владельцем данного файла, возможно определите, с какой машины он попадает в расшаренный ресурс.

хорошо, как наткнусь ещё раз проверю
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 28.11.2012 12:42:26
можно так же поискать файлик на машинах
Цитата
search.cmd
наудачу, если имя не поменялось в новом варианте червя.
[ Как создать образ автозапуска? ]
 
mahtbl
mahtbl
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 27.11.2012
Размещено 28.11.2012 15:33:02
Оперативно ) на своем компьютере после обновления он уже находит photo scr

надеюсь после проверки компьютеров принтеры печатать больше не будут)))
 
Пред. 1 2
Читают тему