Перейти к содержимому


Фото
- - - - -

На принтер отправляются от пользователя Unknown задания


  • Please log in to reply
22 ответов в этой теме

#1 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 28 Декабрь 2008 - 13:47

На принтер отправляются задания от пользователя Unknown . Очень похоже на работу вируса но Dr.Web его не определяет. Нужна помощь! Установлен Dr.Web для рабочих станций. 

#2 Ян

Ян

    Advanced Member

  • Posters
  • 584 Сообщений:

Отправлено 28 Декабрь 2008 - 15:56

А по-моему, на работу вируса не слишком похоже. Принтер сетевой?
Пользователь Dr.Web | Dr.Web user

#3 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 28 Декабрь 2008 - 16:39

Нужна помощь!

Показывайте логи Хайджека и РкУ.
С уважением,
Борис А. Чертенко aka Borka.

#4 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 13:58

Нужна помощь!

Показывайте логи Хайджека и РкУ.

А где их взять и как их показать? (Простите за невежество)

#5 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 14:03

А по-моему, на работу вируса не слишком похоже. Принтер сетевой?


Да, принтер сетевой и левые задания отправляются не только с моего компа, а и с других (там тоже Dr.Web установлен)

#6 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 29 Декабрь 2008 - 14:03

тут

#7 pig

pig

    Бредогенератор

  • Helpers
  • 10 868 Сообщений:

Отправлено 29 Декабрь 2008 - 14:54

А по-моему, на работу вируса не слишком похоже. Принтер сетевой?

Да, принтер сетевой и левые задания отправляются не только с моего компа, а и с других (там тоже Dr.Web установлен)

Были такие червяки, которые пытались размножаться по сети, но при этом не умели отличать дисковые шары от принтерных.
Почтовый сервер Eserv тоже работает с Dr.Web

#8 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 15:30

Нужна помощь!

Показывайте логи Хайджека и РкУ.

У меня только spidernt.log и spiderml_install.log других нет. Хотел прицепить их к письму, а комп ругается на неразрешенные типы файлов для UPLOAD Как их тогда отправить? Переименовать что-ли или расширение изменить  к примеру на TXT?

#9 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 297 Сообщений:

Отправлено 29 Декабрь 2008 - 15:46

Нужна помощь!

Показывайте логи Хайджека и РкУ.

У меня только spidernt.log и spiderml_install.log других нет. Хотел прицепить их к письму, а комп ругается на неразрешенные типы файлов для UPLOAD Как их тогда отправить? Переименовать что-ли или расширение изменить  к примеру на TXT?


для начала воспользоваться архиватором

#10 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Декабрь 2008 - 15:51

Нужна помощь!

Показывайте логи Хайджека и РкУ.

У меня только spidernt.log и spiderml_install.log других нет. Хотел прицепить их к письму, а комп ругается на неразрешенные типы файлов для UPLOAD Как их тогда отправить? Переименовать что-ли или расширение изменить  к примеру на TXT?

Эти логи не нужны.
http://forum.drweb.com/index.php?showtopic...st&p=278142
С уважением,
Борис А. Чертенко aka Borka.

#11 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 16:35

Эти логи не нужны.
http://forum.drweb.com/index.php?showtopic...st&p=278142

Sorry, не там искал... Вот вроде бы те, что нужно

Прикрепленные файлы:



#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 29 Декабрь 2008 - 17:20

Sorry, не там искал... Вот вроде бы те, что нужно


Логи от DrWeb вообще не нужны.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Декабрь 2008 - 18:41

Эти логи не нужны.
http://forum.drweb.com/index.php?showtopic...st&p=278142

Sorry, не там искал... Вот вроде бы те, что нужно

Albert7788! Прочитайте ЗДЕСЬ. Нужно скачать Хайджек и РкУ и сделать логи.
С уважением,
Борис А. Чертенко aka Borka.

#14 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 21:25

Эти логи не нужны.
http://forum.drweb.com/index.php?showtopic...st&p=278142

Sorry, не там искал... Вот вроде бы те, что нужно

Albert7788! Прочитайте ЗДЕСЬ. Нужно скачать Хайджек и РкУ и сделать логи.

Так, вроде в приложении то, что нужно... наконец

Прикрепленные файлы:

  • Прикрепленный файл  report.rar   4,57К   117 Скачано раз


#15 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Декабрь 2008 - 21:39

Так, вроде в приложении то, что нужно... наконец

Угу, оно. ;)
Активный суслик живет - в процессах:
C:\WINDOWS\system32\csrcs.exe
Обновите Доктора и просканируйте систему. Если в процессах есть такой процесс - csrCS.exe - попробуйте удалить. Не спутайте с csrSS.exe!

Пофиксите в Хайджеке, повторите сканирование и посмотрите, не появляются записи снова:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
С уважением,
Борис А. Чертенко aka Borka.

#16 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 29 Декабрь 2008 - 23:11

Так, вроде в приложении то, что нужно... наконец

Угу, оно. ;)
Активный суслик живет - в процессах:
C:\WINDOWS\system32\csrcs.exe
Обновите Доктора и просканируйте систему. Если в процессах есть такой процесс - csrCS.exe - попробуйте удалить. Не спутайте с csrSS.exe!

Пофиксите в Хайджеке, повторите сканирование и посмотрите, не появляются записи снова:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe


1. Обновил доктора
2. Проверил систему- Dr.показал, что все чисто.
3. В процессах csrCS.exe действительно был - я его удалил.
4. В Хайджеке профиксил обе строчки, повторил сканирование - строчки не    появились.



Теперь что? Понаблюдаем? Дело в том, что у меня на другом компе (а они с этим в сети) при загрузке выходит сообщение, что нет, мол файла csrcs.exe просто физически на нем грохнул недавно (в прцессах увидел и показался он мне незнакомым) а какая прога его запускает - не знаю. И, к стати, на нем еще постоянно всплывает окно и требует соединения с нэтом.

#17 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 29 Декабрь 2008 - 23:22

1. Обновил доктора
2. Проверил систему- Dr.показал, что все чисто.
3. В процессах csrCS.exe действительно был - я его удалил.
4. В Хайджеке профиксил обе строчки, повторил сканирование - строчки не    появились.

Это гут! ;) Теперь найдите этот файл и зашлите в Вирлаб.

Теперь что? Понаблюдаем?

Если бы! ;) Придется повторить процедуру на всех компах в сети - мало ли куда он сесть успел.

Дело в том, что у меня на другом компе (а они с этим в сети) при загрузке выходит сообщение, что нет, мол файла csrcs.exe просто физически на нем грохнул недавно (в прцессах увидел и показался он мне незнакомым) а какая прога его запускает - не знаю.
И, к стати, на нем еще постоянно всплывает окно и требует соединения с нэтом.

Создавайте новую тему со вторым компом. Что делать, Вы уже знаете. ;) А по поводу csrcs.exe - поиск в реестре, удаление всего, что найдено. Как видно из лога Хайджека, зверь дописывается к Эксплореру в шелл - вот потому и ругань идет.
С уважением,
Борис А. Чертенко aka Borka.

#18 Albert7788

Albert7788

    Newbie

  • Posters
  • 25 Сообщений:

Отправлено 30 Декабрь 2008 - 05:38

[/quote]
Создавайте новую тему со вторым компом. Что делать, Вы уже знаете. ;) А по поводу csrcs.exe - поиск в реестре, удаление всего, что найдено. Как видно из лога Хайджека, зверь дописывается к Эксплореру в шелл - вот потому и ругань идет.


[/quote]
Понял. Спасибо огромное! ;)
При необходимости открою новую тему по второму компу.
По поводу отправки на вирлаб - я самого файла не нашел - есть только CSRCS.EXE-17976F63.pf в папке Prefetch.

#19 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 30 Декабрь 2008 - 05:59

По поводу отправки на вирлаб - я самого файла не нашел - есть только CSRCS.EXE-17976F63.pf в папке Prefetch.

Его проверить на http://www.virustotal.com/ru/ и в случае подозрений отправить в вирлаб Доктора. Впрочем, наверняка надо отправить, если он ещё не детектиться. Категория - Вирус, неопределяемый Dr.Web.

#20 pig

pig

    Бредогенератор

  • Helpers
  • 10 868 Сообщений:

Отправлено 30 Декабрь 2008 - 11:26

В префетче ничего вредоносного быть не должно, это только служебная информация винды для ускорения загрузки самого файла. Надо искать сам EXE. Вот не помню сейчас, есть у этого зверя маскирующий драйвер или нет.
Почтовый сервер Eserv тоже работает с Dr.Web


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых