Вирус ПЕЧАТАЕТ ИЕРОГЛИФЫ НА СЕТЕВЫХ ПРИНТЕРАХ , У меня в организации принтеры начали сами по себе печатать иероглифы. Тратится бумага, печать невозможно остановить пока не вытащишь бумагу.

RSS

Сообщений: 21

Баллов: 10

Регистрация: 27.11.2012

Размещено 27.11.2012 16:35:19

Здраствуйте.
Подскажите мб кто-нибудь сталкивался.

Недавно в моей организации появился троянчик, который самостоятельно печатает какието иероглифы на принтеры в сети.
Работники в панике!!!
что делать? подскажите... мб кто- нибудь встречался с таким?
В очереди печати документ обозначен как "Удаленный документ низкого уровня",пользователь ГОСТЬ. Так же в одной из сетевых папок я заметил файлик с именем: Photo.scr

Мой антивирус нечего сделать не может...
ps: жду ответ заранее спасибо

Ответы

Пред. 1 2

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 28.11.2012 11:49:22

Файл будет добавлен в базу как

Photo.scr - Win32/Tophos.H worm

Дождитесь выхода нового обновления чтобы вирус удалялся, обновите все ПК в сети и выполните полный скан всех ПК.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.11.2012 11:56:43

Цитата
Ps: заметил сегодня ещё на нескольких компьютерах этот файл

если файлик лежит в расшаренных ресурсах, проверьте по свойствам файла, кто является владельцем данного файла, возможно определите, с какой машины он попадает в расшаренный ресурс.

Цитата
Worm:Win32/Tophos.A is a worm that copies itself to network shares and removable drives, displays an adult-oriented image, and may download additional malware into your computer. Installation Worm:Win32/Tophos.A checks if the current process running it is "search.cmd". If not, then Worm:Win32/Tophos.A copies itself as "<startup folder>\search.cmd". Note: <startup folder> refers to a variable location that is determined by the malware by querying the operating system. The default installation location for the Startup folder for Windows 2000, XP, and 2003 is "%USERPROFILE%\Start Menu\Programs\Startup". For Windows Vista, 7, and W8, the default location is "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup". Worm:Win32/Tophos.A drops a picture file named "Photo.jpg" in the current folder. It opens this picture, which has adult content. Spreads via... Network shares Worm:Win32/Tophos.A tries to copy itself to all writeable network shares as "Photo.scr". It may do this even through a wireless connection.

Цитата

Worm:Win32/Tophos.A is a worm that copies itself to network shares and removable drives, displays an adult-oriented image, and may download additional malware into your computer.
Installation

Worm:Win32/Tophos.A checks if the current process running it is "search.cmd". If not, then Worm:Win32/Tophos.A copies itself as "<startup folder>\search.cmd".

Note: <startup folder> refers to a variable location that is determined by the malware by querying the operating system. The default installation location for the Startup folder for Windows 2000, XP, and 2003 is "%USERPROFILE%\Start Menu\Programs\Startup". For Windows Vista, 7, and W8, the default location is "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".

Worm:Win32/Tophos.A drops a picture file named "Photo.jpg" in the current folder. It opens this picture, which has adult content.
Spreads via...

Network shares

Worm:Win32/Tophos.A tries to copy itself to all writeable network shares as "Photo.scr". It may do this even through a wireless connection.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FTophos.A

возможно, те кто открывают картинку на расшаренном ресурсе, тем самым посылают "иероглифы" на печать,

Изменено: santy - 28.11.2012 12:06:14

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 27.11.2012

Размещено 28.11.2012 12:05:03

всё хорошо. жду тогда нового обновления. и запускаем Eset Endpoint Antivirus

посмотрим что получится

Сообщений: 21

Баллов: 10

Регистрация: 27.11.2012

Размещено 28.11.2012 12:06:13

Цитата

santy пишет:

Цитата
Ps: заметил сегодня ещё на нескольких компьютерах этот файл

хорошо, как наткнусь ещё раз проверю

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.11.2012 12:42:26

можно так же поискать файлик на машинах

Цитата
search.cmd

наудачу, если имя не поменялось в новом варианте червя.

[ Как создать образ автозапуска? ]

Сообщений: 21

Баллов: 10

Регистрация: 27.11.2012

Размещено 28.11.2012 15:33:02

Оперативно ) на своем компьютере после обновления он уже находит photo scr

надеюсь после проверки компьютеров принтеры печатать больше не будут)))

Пред. 1 2