Страница 1 из 1

Принтеры печатают с утра кракозябры!!! Караул!!!

СообщениеДобавлено: 21 окт 2002, 06:34
Сергей Рябков aka svr
Субж!
С утреца несколько NDPS принтеров (разные, но все на принтсерверах hp jd170x) начинают печатать - 1-2 строчки кракозябр на листе, и листов гонят стока, скока бумаги хватит.
NW5.0 SP6a. NDPS дополнительно не обновлялся, HP Gateway не использую, все Novell Printer Gateway.
Все принтсервера - на коммутаторе.
Пару раз ловил задание от одного юзверя в очереди дос на разных принтерах во время траблы. У этого юзверя есть права на них, но нет нужды печатать (и врать, что не печатала) - она сидит в другом здании через квартал от нас...

Вообще, создается ощущение, что трабла не в нетвари: Сегодня позвали в отдаленный отдел, где подцеплен локально LJ1100 и расшарен виндой на две машины - такая же проблема!!! Снимается перещелком питания на принтере.
Помогите, pls, а то уже долбят в макушку...

СообщениеДобавлено: 21 окт 2002, 08:10
Андрей Тр. aka RH
Интернет есть ? Почта есть ? Антивирус установлен ? Обновлялся давно ? Настоятельно рекомендую провериться .. 7 из 10, что BugBear - в последние недели он довольно "популярен".
W32.Bugbear@mm is a mass-mailing worm. It can also spread through network shares. It has keystroke-logging and backdoor capabilities. The worm also attempts to terminate the processes of various antivirus and firewall programs.

Since the worm does not properly handle the network resource types, it may flood shared printer resources, which causes them to print garbage or disrupt their normal functionality.


Подробнее почитать можно на любом антивирусном сайте.

Метод ловли Tonatos

СообщениеДобавлено: 21 окт 2002, 09:54
Федорович Леонид
Кстати, быстрый метод ловли - найти открытый TCP порт 36794 и бежать туда, а то этот вирус антивирусы там уже отключил.

Спасибо, коллеги! Андрей как в воду глядел...

СообщениеДобавлено: 21 окт 2002, 10:17
Сергей Рябков aka svr
Сразу после получения ответа Андрея начал ломать башку над тем, как выловить - у меня почти полторы сотни зверей...
Ну вот, развивая ответ Леонида, напишу, как выкрутился - мож какому-нить балбесу вроде меня полезно будет...
Пользовался прогой LANguard Network Scanner v1.25
Сначала добавил портик:
View -> Portscan.txt
В самом конце файла добавить две строчки
*36794
I-Worm.Tanatos, aka Bugbear

После этого натравил на весь диапазон IP.
Через пять минут - просмотрел список, и нашел 2 зараженные машины (в т.ч. и юзверьша, упомянутая в начале топика).
Если у кого есть другой способ - интересно было бы знать.

Re: Спасибо, коллеги! Андрей как в воду глядел...

СообщениеДобавлено: 21 окт 2002, 10:59
Андрей Тр. aka RH
Сергей Рябков aka svr писал(а):Если у кого есть другой способ - интересно было бы знать.

http://securityresponse.symantec.com/av ... ar@mm.html

Там все написано, весьма красочно ( правда, на инглиш ). Инструкции по удалению - в конце, там же ссылка на прогу-удалятель, она вроде бесплатная :
http://securityresponse.symantec.com/av ... .tool.html

У меня способ - обновления регулярно скачиваются, так его сразу прищучило у двух юзеров, как только они получили почту ( правда, не полечило пока, а в карантин поместило ).

Порадовало, что и в Symantec наши люди :)

СообщениеДобавлено: 21 окт 2002, 11:20
Музалёв Николай
Здравствуйте, коллеги!
У меня ситуация :

начинают печатать - 1-2 строчки кракозябр на листе, и листов гонят стока, скока бумаги хватит.


просто штатная!!
Проявляется в том случае, когда документ подготовлен для одного принтера, но по ошибке направлен в др. порт компьютера на другой принтер. Особо хорошо, когда пользователь наладился на цветной струйник, но пошло на лазерник.
Может здесь??

Вот:

СообщениеДобавлено: 21 окт 2002, 11:33
Сергей Рябков aka svr
2Музалёв Николай:
Не, у меня другой случай - срывание крыши у печаталок кореллирует с моментом входа в сетку инфицированной машины (да и имечко ее проскакивает в очередях), так что это не то... Хотя, я бы на вашем месте просканировал порты, как я написал выше (одну из вероятных причин исключить поможет).