Перейти к содержимому


Фото
- - - - -

Не печатает принтер при включенной проверки входящего трафика


  • Please log in to reply
17 ответов в этой теме

#1 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 03 Апрель 2020 - 00:25

 Сегодня подключал к домашнему компьютеру МФУ Canon PIXMA TS5040 (по WiFi, через роутер) и возникли следующие проблемы:

 

1) Во время установки принтера и утилит для него пришлось отключить все компоненты антивируса DrWeb. Но к этому я уже привык, это мой, так сказать, осознанный выбор (хотя и мучаюсь от этого))).

 

2) Самое главное:

Принтер не печатает при включенной проверки входящего трафика в модуле SpIDer Gate. Задание на принтер отправляется (на дисплее принтера появляется сообщение "Идёт обработка... Подождите."), но печать не происходит (см. отчёт 03.04.2020 00:03:00 - отправка задания на принтер, 00:04:10 - вывод сообщения на компьютере об ошибке печати).

Если после появления на компьютере сообщения об ошибке печати (сам принтер при этом ещё пытается выполнить печать, так как на дисплее продолжает висеть сообщение "Идёт обработка... Подождите."), убрать проверку входящего трафика в модуле SpIDer Gate (поставить проверку только исходящего), то принтер тут же выполнит зависшее задание (см. отчёт 03.04.2020 00:05:30-00:05:50).

 

Ссылка на отчёт: https://cloud.mail.ru/public/3SxE/ffruNjvVc

 

(На всякий случай: Работаю на компьютере под локальным пользователем, но для доступа настроек в DrWeb пришлось разблокировать их "администратором" и отчёт сформировался с именем администратора, а не локального пользователя.)



#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 350 Сообщений:

Отправлено 03 Апрель 2020 - 12:19

>Во время установки принтера и утилит для него пришлось отключить все компоненты антивируса DrWeb. Но к этому я уже привык, это мой, так сказать, осознанный выбор

 

зачем это делать, что не так? отключать все компоненты ав нужно примерно никогда.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 350 Сообщений:

Отправлено 03 Апрель 2020 - 12:26

>при включенной проверки входящего трафика

 

вот у вас ровно наоборот

 

[03/04/2020 00:05:33 00001dd8] CheckIncoming = No
[03/04/2020 00:05:33 00001dd8] CheckOutgoing = Yes
 
в таком режиме гейт вообще не очень полезен. проверять нужно всегда входящий как минимум. верните настройки на место. и повторите проблему и соберите новый лог, укажите примерное время. в 99% случаях для принтера нужно добавить ip port процесса spoolsv/svchost в исключения, и ни каких отключений всего не нужно.

Сообщение было изменено Konstantin Yudin: 03 Апрель 2020 - 12:27

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 350 Сообщений:

Отправлено 03 Апрель 2020 - 12:33

уже пытались что то исключить

[02/04/2020 20:09:10 00001dd8] WhiteVirUrlList = "192.168.1.69"
 
но это не то, тут нет детекта. нужно исключить для начала процесс \windows\system32\spoolsv.exe по 192.168.1.69:80

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 570 Сообщений:

Отправлено 03 Апрель 2020 - 13:47

Сисинфо любопытное прям с начала:

<Antivirus displayName="Dr.Web Security Space" instanceGuid="{1F0B3F76-4795-94AD-DF9E-2678C33ACA8F}" enabled="false" onAccessScanningEnabled="false" uptodate="true" productUptoDate="true" />

<Antivirus displayName="Dr.Web Security Space" instanceGuid="{0A56AC17-36B3-8320-3A3C-9B74469F0756}" enabled="true" onAccessScanningEnabled="true" uptodate="true" productUptoDate="true" />

 

Смущают:

2020-Mar-30 19:53:45.401421 [ 5412] [INF] [arkdll] [5012] 
 
id: 58001, timestamp: 19:52:29.830, type: PsInject (43), flags: 1 (wait: 1)
sid: S-1-5-20, cid: 8264/7432:\Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe
context: start addr: 0x7ff6bdeb65d0, image: 0x7ff6bdeb0000:\Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe
  hips: type: 18, action: deny [5]
  curdir: C:\WINDOWS\system32\, cmd: SppExtComObjPatcher.exe C:\WINDOWS\system32\SppExtComObj.exe -Embedding
  fileinfo: size: 4096, easize: 40, attr: 0x20, buildtime: 12.01.2014 08:50:52.000, ctime: 30.03.2020 19:52:22.928, atime: 30.03.2020 19:52:22.931, mtime: 30.03.2020 19:52:22.861, descr: , v
er: , company: , oname: 
  file sha1: 9162c4e04cfa48296a77ce2aa92c79f799e2a32d
  file sha256: 68b536fb2a6a8c9a2b36e17ead46343d156020c75c559ed068483ecf5bc3f060
  status: unsigned, pe64, new_pe / unsigned / unknown / unknown / unknown
  inject: CreateThread [3], flags: 0x40, start addr: 0x7ffda898e4f0, addr: 0x0, param: 0x20603390000, len: 0, target: bitness: 64, init: 0, image: \Device\HarddiskVolume2\Windows\System32\Sp
pExtComObj.Exe:5796
  fileinfo: size: 578560, easize: 272, attr: 0x20, buildtime: 0, ctime: 12.03.2020 09:11:41.790, atime: 12.03.2020 09:11:41.846, mtime: 12.03.2020 09:11:41.846, descr: KMS Connection Broker,
 ver: 10.0.18362.719 (WinBuild.160101.0800), company: Microsoft Corporation, oname: SppExtComObj.exe
  status: signed_microsoft / signed_microsoft / unknown / unknown / unknown
  inject attrib: call kernel32.dll!LoadLibraryW
  loaded image: \Device\HarddiskVolume2\WINDOWS\system32\SppExtComObjHook.dll
  fileinfo: size: 16760, easize: 40, attr: 0x20, buildtime: 12.01.2014 08:50:53.000, ctime: 30.03.2020 19:52:23.000, atime: 30.03.2020 19:52:23.003, mtime: 30.03.2020 19:52:22.857, descr: , 
ver: , company: , oname: 
  signer: CN=WZTeam, timestamp: 18.09.2017 16:13:47.000, thumbprint: 648384a4dee53d4c1c87e10d67cc99307ccc9c98
  file sha1: b4e9c27345437f2f1285a705eacaddb64422c88d
  file sha256: 26ae72400087f417accedb8f68f1e7df88a7b0b5904a17ac6fcb1d54e9b29980
  status: pe64, dll / root_not_trusted / unknown / unknown / unknown
threat: DPH:Trojan.Inject.3.64 ==> send user blocked alert
path: \Device\HarddiskVolume2\WINDOWS\system32\SppExtComObjHook.dll ==> denied access to file
path: \Device\HarddiskVolume2\WINDOWS\system32\SppExtComObjHook.dll ==> quarantined
disinfect: \Device\HarddiskVolume2\WINDOWS\system32\SppExtComObjHook.dll ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\WINDOWS\system32\SppExtComObjHook.dll
threat: DPH:Trojan.Inject.3.64 ==> sended user virus found alert
path: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe ==> denied access to file
process: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe:8264 ==> suspended all threads in process
path: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe:8264 ==> terminated
disinfect: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\Windows\System32\SppExtComObjPatcher.exe
threat: DPH:Trojan.Inject.3.64 ==> sended user virus found alert
process: \Device\HarddiskVolume2\Windows\System32\SppExtComObj.Exe:5796 ==> suspended all threads in process
process: \Device\HarddiskVolume2\Windows\System32\SppExtComObj.Exe:5796 ==> terminated
send user blocked alert
id: 58001 ==> denied [5], time: 75570.612900 ms
 
+ странные ошибки сервиса MessagingService_* (каждый раз дропается с разным постфиксом) "Устройство не готово".
 
Но это так, на заметку.
 
Непосредственно по принтеру, тут нужен лог с уровнем логгирования гейта поподробней (насколько помню, включается просто галкой "Подробный журнал" или как-то так). 

Сообщение было изменено Kirill Polubelov: 03 Апрель 2020 - 13:48

(exit 0)


#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 350 Сообщений:

Отправлено 03 Апрель 2020 - 14:09

SppExtComObjPatcher.exe это активатор винды или оффиса. это норм


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 03 Апрель 2020 - 16:46

нужно исключить для начала процесс \windows\system32\spoolsv.exe по 192.168.1.69:80

 

Это не помогло. Помогло добавление \windows\system32\spoolsv.exe по всем ip адресам.

 

В отчёте:

15:45:00 - попытка печати с исключением "192.168.1.69:80", печать не удалась.

16:11:00 - попытка печати с исключением "по всем ip адресам", печать прошла успешно.

 

Отчёт: https://cloud.mail.ru/public/5tZi/4cYvzpbs9



#8 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 03 Апрель 2020 - 16:48

зачем это делать, что не так? отключать все компоненты ав нужно примерно никогда.

Так легче, чтоб не гадать, какой компонент виноват, в случае конфликта. Ну а так, в основном конфликты вызывает брандмауэр.



#9 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 570 Сообщений:

Отправлено 03 Апрель 2020 - 17:22

Любопытно, что:

grep -a spoolsv netfilter.log |tail
[03/04/2020 15:46:52 00002cf4] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 65273 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:46:56 000004c0] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 65280 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:47:00 00002ea0] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 65286 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:47:04 00002ec4] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 65293 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:47:07 00002ecc] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 65299 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:48:59 00001dc4]     ExcludedFile = "C:\Windows\System32\spoolsv.exe"
[03/04/2020 15:56:23 00002d78] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 51594 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:56:24 00002f7c] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 51600 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:56:24 000029f8] <DEBUG:1> Redirection: \Device\HarddiskVolume2\Windows\System32\spoolsv.exe (PID=2632, user S-1-5-18): 51615 -> ( 0 -> 0 ) -> [fe80::7638:b7ff:fe93:32a2]:80
[03/04/2020 15:57:19 00001dc4]     ExcludedFile = "C:\Windows\System32\spoolsv.exe"
 
Иными словами, с какого-то момента спулсв перешёл исключительно на IPv6 ) Впрочем, после 16:11 его активности нет и вовсе.

(exit 0)


#10 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 575 Сообщений:

Отправлено 03 Апрель 2020 - 18:32

riamanРаз IPv6, то нужно исключить процесс C:\Windows\System32\spoolsv.exe по IP адресам и портам, вот так [fe80::7638:b7ff:fe93:32a2]:80

Для IPv4 можно оставить тоже исключение C:\windows\system32\spoolsv.exe по IP адресам и портам 192.168.1.69:80


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#11 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 03 Апрель 2020 - 21:12

В общем заработало теперь просто с 192.168.1.69:80. С [fe80::7638:b7ff:fe93:32a2]:80 не сработало. В чём дело, не знаю. Буду наблюдать. Тем не менее, всем спасибо за помощь!

 

А ещё в каких-нибудь антивирусных продуктах надо производить подобную настройку для печати? Или это особенность только  DrWeb-а?



#12 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 03 Апрель 2020 - 21:22

SppExtComObjPatcher.exe это активатор винды или оффиса. это норм

А я ещё удалил KMS-сервер и купил лицензию на eBay. Может из-за этого исключение сработало.... Хотя это врядли.



#13 TASS

TASS

    Advanced Member

  • Posters
  • 847 Сообщений:

Отправлено 03 Апрель 2020 - 21:26

А ещё в каких-нибудь антивирусных продуктах надо производить подобную настройку для печати? Или это особенность только  DrWeb-а?

Хороший вопрос. У меня не было такого опыта. Очень интересно услышать опыт других пользователей.


Сообщение было изменено TASS: 03 Апрель 2020 - 21:29

Глядя на мир, нельзя не удивляться! ©


#14 TASS

TASS

    Advanced Member

  • Posters
  • 847 Сообщений:

Отправлено 03 Апрель 2020 - 21:33

А ещё в каких-нибудь антивирусных продуктах надо производить подобную настройку для печати? Или это особенность только  DrWeb-а?

Можно ли как-то облегчить пользователю Dr.Web процесс настройки подобного исключения или вообще автоматизировать эти доверительные отношения между C:\windows\system32\spoolsv.exe и принтером?


Сообщение было изменено TASS: 03 Апрель 2020 - 21:36

Глядя на мир, нельзя не удивляться! ©


#15 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 570 Сообщений:

Отправлено 06 Апрель 2020 - 11:57

В общем заработало теперь просто с 192.168.1.69:80. С [fe80::7638:b7ff:fe93:32a2]:80 не сработало. В чём дело, не знаю. Буду наблюдать. Тем не менее, всем спасибо за помощь!

Это дело случая. Я бы рекомендовал оставить исключения и для IPv4 и для IPv6 адреса. Ни сегодня, так завтра опять переключится на IPv6 и снова перестанет печатать. Лучше оба адреса.


(exit 0)


#16 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 06 Апрель 2020 - 12:13

Это дело случая. Я бы рекомендовал оставить исключения и для IPv4 и для IPv6 адреса. Ни сегодня, так завтра опять переключится на IPv6 и снова перестанет печатать. Лучше оба адреса

Я так и сделал! Спасибо!



#17 SergSG

SergSG

    The Master

  • Posters
  • 12 858 Сообщений:

Отправлено 06 Апрель 2020 - 18:42

Так легче, чтоб не гадать, какой компонент виноват, в случае конфликта. Ну а так, в основном конфликты вызывает брандмауэр.

А какие конфликты вызывает файер? Там и конфликтовать то особо нечему. Особенно после дефолтного отключения пакетника.

Вы файер с Гейтом не путаете? Их частенько путают.



#18 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 06 Апрель 2020 - 20:27

А какие конфликты вызывает файер? Там и конфликтовать то особо нечему. Особенно после дефолтного отключения пакетника.

Вы файер с Гейтом не путаете? Их частенько путают.

Не знаю, может и путаю. Но сейчас проблем нет, всё хорошо!




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых