Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте! По-някое време принтера започна само да принтира някакъв лист с надписи за някакъв вирус.

Според информацията MS-77X1, представлява някакъв таен вирус и краде данните като пароли, банкови данни и т.н и не трябва да се пренебрегва това.
С Windows 10 Enterpise съм. Системата ми функционира добре и не забелязвам да има някакви проблеми.

Искам да съм сигурен, дали Fehler MS-77X1 е опасен вирус и дали още го имам в системата или пък представлява някакъв фалшив фишинг ?

 

Това е въпросната снимка

spacer.png

Благодаря предварително!

Addition.txt FRST.txt

Линк към този отговор
Сподели в други сайтове

Интересно. Според Google, става въпрос за някаква SPAM кампания. Лог файловете обаче не показват наличието на активни зловредни файлове. Има остатъци от такива, които ще изтрием, но не мисля, че те са причина за източника на проблема. Интересно обаче как тогава подава заявки за принтиране. Може би с отдалечени команди или с fileless атаки или скрипт чрез браузъра или евентуално ако принтера е в мрежа заявките не пристигат от друга система в мрежата или ако гадина е заразила рутера нещо и той да праща такива заявки.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (в папката C:\Users\Hellioob\Desktop)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Добре е да огледате Control Panel и да подредите инсталираните програми по последна дата (installed on) като най-новите започнат отгоре надолу и да видите за съмнителни такива. Аз не видях проблем тук в Addition.txt лог файла и все пак не пречи да проверите още веднъж.

Линк към този отговор
Сподели в други сайтове

Странна работа наистина! Принтера си е свързван с кабел към компютъра и по-едно време като включих принтера, от компютъра излезе инфо, че изпраща заявка към принтера и започна да принтира листа.
Възможно е и да е от рутера! Използвам немски рутери на Водафон, много са калпави и едвам се влиза в настроиките на рутерите им. Явно хакери открили уязвимост в рутери и изпращали масов спам с цел някой да повярва че е заразен и да се обажда на телефона посочен на листа.

 

Control Panel всичко е наред и няма съмнителни софтуери.

Fixlog.txt

Линк към този отговор
Сподели в други сайтове

Странна работа, да. В интернет има сравнително малко информация относно този проблем и все ръководства за премахването му от честно казано съмнителни източници. Според мен е добра идея да проверите настройките на рутера си (ако това е възможно) дали не са модифицирани от зловреден скрипт и да проверите за нова версия на firmware-a за него и (ако отново е възможно) да го надградите с последната му версия.

Скрипта се е изпълнил коректно и е премахнал всички елементи в които съм имал някакви съмнения. На мен системата ми изглежда чиста, но не пречи да направите една проверка със следните инструменти:

 

СТЪПКА 1

 

Направете една проверка с Kaspersky Virus Removal Tool и покажете резултата.

https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Преди да натиснете бутона Start Scan от Change Parameters се убедете, че всички отметки са избрани (включително и пред System drive ако няма там):

RdAGNPG.png

 

СТЪПКА 2

 

Моля изтеглете Malwarebytes Anti-Rootkit и запазете архива на десктопа.

Стартирайте файла и посочете папка в която да се разархивира съдържанието на архива и след това стартирайте файла mbar.exe.

Натиснете Next и после натиснете Update.

Натиснете Next и после натиснете Scan.

Изчакайте проверката да завърши и натиснете бутона Cleanup за да премахнете всички намерени паразити (ако има такива).

Ако бъдете попитан да рестартирате, съгласете се.

Два файла (mbar-log-YYYY-MM-DD, system-log.txt) ще бъдат създадени в папката, където сте разархивирали програмата.

 

Определено е странен проблем, защото дори възстановяването на фабричните настройки на Firefox тук не е решило окончателно проблема:

https://forums.linuxmint.com/viewtopic.php?t=330034&p=1884152

(а вие нямате съмнителни стартиращи програми и планирани задачи според лог файловете).

Та, затова продължавам да се съмнявам в поразени настройки на рутера ви.

 

Поздрави!

Линк към този отговор
Сподели в други сайтове

Прикачих двата файла!
Преди около месец направих Restore to factory defaults в настройките на рутера и мисля, че няма какво друго да се направи.

mbar-log-2020-09-28 (13-08-59).txt system-log.txt


Линк към този отговор
Сподели в други сайтове

На мен лично системата ми изглежда чиста. Касперски откри ли нещо?

Относно рутера освен връщане на фабричните настройки сте сигурни, че няма нова версия на ползвания от него firmware?

След скрипта с FRST появява ли се отново съобщението, защото освен всичко друго, с него ние почистихме и кеша на браузърите?

 

Изтеглете Autoruns:

Стартирайте програмата

Изберете Options => Scan Options => сложете отметки пред Verify Code Signature и Check VirusTotal.com и Submit Unknown Images и премахнете първата отметка и изберете Rescan.

Ако Rescan е неактивен от менюто File => изберете Refresh и изчакайте проверката да приключи.

От менюто File => изберете Save => запазете файла някъде с желано от вас име (във формат arn), архивирайте го с програма по желание и го прикачете към темата.

 

Кръпките за Windows инсталирани ли са?

Линк към този отговор
Сподели в други сайтове

Касперски не откри нищо! 

Относно рутерите, те сами се обновяват автоматично всеки месец, директно от доставчика.

След листа, повече не съм виждал да излиза въпросната грешка MS-77X1. 

И да с последните кръпки за Windows 10 съм.

Възможно ли е да е от бисквитките или разрешаване на известия ? Защото аз редовно изтривам кешовете на браузърите и вероятно това може да е премахнало вируса.

DESKTOP-Autoruns.zip

Линк към този отговор
Сподели в други сайтове
преди 5 минути, Blue_Hulk написа:

Възможно ли е да е от бисквитките или разрешаване на известия ? Защото аз редовно изтривам кешовете на браузърите и вероятно това може да е премахнало вируса.

И аз това си помислих, но като прочетох темата от линка, който пуснах за същия проблем под MintOS, потребителя там написа, че дори след рефреш на Мозила проблема временно се оправил, но при рестарт на системата един ден пак се появил при затворен браузър. Затова си мисля, да не би да използва някаква пролука в RDP протокола или друга такава. Затова питах дали сте с всички инсталирани кръпки. Може би е добра идея да сложите и някаква стена, която да пита за входящи и изходящи заявки. Знам, че Windows уж би трябвало да пита, но не знам дали го прави за всички приложения.

Лог файла от Autoruns изглежда наред. Няма нищо в WMI, а файла в Printer Monitors би трябвало да е легитимен (защото приложението е легитимно). Не знам, защо обаче в Google има само два резултата с името на библиотеката, но както и да е. Може би не е особено популярна.

Освен да наблюдавате как се държи системата и да ме държите в течение. Засега друго не мога да препоръчам на този етап.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Ще потърся варианти за защитна стена. 

Благодаря ви за старанието. 🙂

Ако се появи пак вируса, непременно ще ви пиша.

Поздрави!

Линк към този отговор
Сподели в други сайтове
преди 1 час, Blue_Hulk написа:

Ако се появи пак вируса, непременно ще ви пиша.

Едно уточнение. Това не е вирус, а просто SPAM/PHISHING. :)

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване