Здравейте! По-някое време принтера започна само да принтира някакъв лист с надписи за някакъв вирус.

Според информацията MS-77X1, представлява някакъв таен вирус и краде данните като пароли, банкови данни и т.н и не трябва да се пренебрегва това.
С Windows 10 Enterpise съм. Системата ми функционира добре и не забелязвам да има някакви проблеми.

Искам да съм сигурен, дали Fehler MS-77X1 е опасен вирус и дали още го имам в системата или пък представлява някакъв фалшив фишинг ?

 

Това е въпросната снимка

Благодаря предварително!

Addition.txt FRST.txt

Интересно. Според Google, става въпрос за някаква SPAM кампания. Лог файловете обаче не показват наличието на активни зловредни файлове. Има остатъци от такива, които ще изтрием, но не мисля, че те са причина за източника на проблема. Интересно обаче как тогава подава заявки за принтиране. Може би с отдалечени команди или с fileless атаки или скрипт чрез браузъра или евентуално ако принтера е в мрежа заявките не пристигат от друга система в мрежата или ако гадина е заразила рутера нещо и той да праща такива заявки.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (в папката C:\Users\Hellioob\Desktop)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Добре е да огледате Control Panel и да подредите инсталираните програми по последна дата (installed on) като най-новите започнат отгоре надолу и да видите за съмнителни такива. Аз не видях проблем тук в Addition.txt лог файла и все пак не пречи да проверите още веднъж.

Странна работа наистина! Принтера си е свързван с кабел към компютъра и по-едно време като включих принтера, от компютъра излезе инфо, че изпраща заявка към принтера и започна да принтира листа.
Възможно е и да е от рутера! Използвам немски рутери на Водафон, много са калпави и едвам се влиза в настроиките на рутерите им. Явно хакери открили уязвимост в рутери и изпращали масов спам с цел някой да повярва че е заразен и да се обажда на телефона посочен на листа.

 

Control Panel всичко е наред и няма съмнителни софтуери.

Fixlog.txt

Странна работа, да. В интернет има сравнително малко информация относно този проблем и все ръководства за премахването му от честно казано съмнителни източници. Според мен е добра идея да проверите настройките на рутера си (ако това е възможно) дали не са модифицирани от зловреден скрипт и да проверите за нова версия на firmware-a за него и (ако отново е възможно) да го надградите с последната му версия.

Скрипта се е изпълнил коректно и е премахнал всички елементи в които съм имал някакви съмнения. На мен системата ми изглежда чиста, но не пречи да направите една проверка със следните инструменти:

 

СТЪПКА 1

 

Направете една проверка с Kaspersky Virus Removal Tool и покажете резултата.

https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Преди да натиснете бутона Start Scan от Change Parameters се убедете, че всички отметки са избрани (включително и пред System drive ако няма там):

 

СТЪПКА 2

 

Моля изтеглете Malwarebytes Anti-Rootkit и запазете архива на десктопа.

Стартирайте файла и посочете папка в която да се разархивира съдържанието на архива и след това стартирайте файла mbar.exe.

Натиснете Next и после натиснете Update.

Натиснете Next и после натиснете Scan.

Изчакайте проверката да завърши и натиснете бутона Cleanup за да премахнете всички намерени паразити (ако има такива).

Ако бъдете попитан да рестартирате, съгласете се.

Два файла (mbar-log-YYYY-MM-DD, system-log.txt) ще бъдат създадени в папката, където сте разархивирали програмата.

 

Определено е странен проблем, защото дори възстановяването на фабричните настройки на Firefox тук не е решило окончателно проблема:

https://forums.linuxmint.com/viewtopic.php?t=330034&p=1884152

(а вие нямате съмнителни стартиращи програми и планирани задачи според лог файловете).

Та, затова продължавам да се съмнявам в поразени настройки на рутера ви.

 

Поздрави!

Прикачих двата файла!
Преди около месец направих Restore to factory defaults в настройките на рутера и мисля, че няма какво друго да се направи.

mbar-log-2020-09-28 (13-08-59).txt system-log.txt

На мен лично системата ми изглежда чиста. Касперски откри ли нещо?

Относно рутера освен връщане на фабричните настройки сте сигурни, че няма нова версия на ползвания от него firmware?

След скрипта с FRST появява ли се отново съобщението, защото освен всичко друго, с него ние почистихме и кеша на браузърите?

 

Изтеглете Autoruns:

Стартирайте програмата

Изберете Options => Scan Options => сложете отметки пред Verify Code Signature и Check VirusTotal.com и Submit Unknown Images и премахнете първата отметка и изберете Rescan.

Ако Rescan е неактивен от менюто File => изберете Refresh и изчакайте проверката да приключи.

От менюто File => изберете Save => запазете файла някъде с желано от вас име (във формат arn), архивирайте го с програма по желание и го прикачете към темата.

 

Кръпките за Windows инсталирани ли са?

Касперски не откри нищо! 

Относно рутерите, те сами се обновяват автоматично всеки месец, директно от доставчика.

След листа, повече не съм виждал да излиза въпросната грешка MS-77X1. 

И да с последните кръпки за Windows 10 съм.

Възможно ли е да е от бисквитките или разрешаване на известия ? Защото аз редовно изтривам кешовете на браузърите и вероятно това може да е премахнало вируса.

DESKTOP-Autoruns.zip

преди 5 минути, Blue_Hulk написа:

Възможно ли е да е от бисквитките или разрешаване на известия ? Защото аз редовно изтривам кешовете на браузърите и вероятно това може да е премахнало вируса.

И аз това си помислих, но като прочетох темата от линка, който пуснах за същия проблем под MintOS, потребителя там написа, че дори след рефреш на Мозила проблема временно се оправил, но при рестарт на системата един ден пак се появил при затворен браузър. Затова си мисля, да не би да използва някаква пролука в RDP протокола или друга такава. Затова питах дали сте с всички инсталирани кръпки. Може би е добра идея да сложите и някаква стена, която да пита за входящи и изходящи заявки. Знам, че Windows уж би трябвало да пита, но не знам дали го прави за всички приложения.

Лог файла от Autoruns изглежда наред. Няма нищо в WMI, а файла в Printer Monitors би трябвало да е легитимен (защото приложението е легитимно). Не знам, защо обаче в Google има само два резултата с името на библиотеката, но както и да е. Може би не е особено популярна.

Освен да наблюдавате как се държи системата и да ме държите в течение. Засега друго не мога да препоръчам на този етап.

Поздрави!

Ще потърся варианти за защитна стена. 

Благодаря ви за старанието. 🙂

Ако се появи пак вируса, непременно ще ви пиша.

Поздрави!

преди 1 час, Blue_Hulk написа:

Ако се появи пак вируса, непременно ще ви пиша.

Едно уточнение. Това не е вирус, а просто SPAM/PHISHING.