Назад | Перейти на главную страницу

Неисправность принтера HP (вирус?)

У меня серьезные проблемы с несколькими принтерами HP.

Проблема заключается в следующем: мой принтер (разные модели) печатает случайный символ ASCII в первой строке бумаги (образец изображения: http://tinyurl.com/d2744sk ) и печатает несколько листов (50+)

А вот еще один скриншот очереди печати: http://tinyurl.com/cvxeo6n первые 2 - это ascii «print».

Проблема заключается в том, что он проявляется на разных моделях принтеров (но только HP) и в разных организациях с некоторыми общими чертами, но без связи между ними. Здание находится в нескольких милях от отеля. Я подозреваю, что какой-то пользователь распространял вирус через USB-ключи.

Провожу полное сканирование системы несколькими антивирусами безрезультатно. Я обновляю прошивку принтеров, если она доступна, как мы говорим.

Считают, что:

- All models seems to be vulnerable: Laser and InkJet
- Antivirus can't find anything
- Driver and firmware are updated to the latest version
- The printer function properly but every 1 or 2 prints starts printing ascii character
- The client are Windows XP 32Bit and Windows 7 64Bit
- Printers are all in the same Subnet and VLAN there's direct connectivity from clients to printer with stable ping. I ruled out network issues

На некоторые модели принтеров влияет HP P2055dn, HP2015dn

В моей организации более 15 принтеров и более 80 клиентов. Мне нужно развертываемое решение, если применимо.

Что я мог сделать?

Заранее спасибо!

Я видел именно эту проблему при использовании универсального драйвера принтера HP. видимо, это известная проблема с ним. проблема вызвана несовместимостью настроек разных версий драйвера.

например:

  1. printerA с server1 устанавливается на клиентских компьютерах, использующих универсальную версию HP 5.3
  2. printerA используется клиентами
  3. некоторое время спустя принтер B с сервера 2 устанавливается на тех же компьютерах, использующих универсальную версию HP 5.4, обновляя драйверы для всех и заставляя эти клиенты теперь использовать версию 5.4 для принтера A.
  4. printerA теперь печатает тарабарщину, потому что драйвер версии 5.4 не понимает некоторые настройки, сохраненные драйвером 5.3

в нашем случае даже простое обновление драйвера принтера на одном сервере вызывало эту проблему. но вышеупомянутый сценарий был тем, как мы обнаружили проблему с самого начала.

решение:

убедитесь, что используемый универсальный драйвер печати HP одинаков для всей организации.

В моем случае, чтобы устранить оставшиеся ошибки, мне пришлось удалить и заново создать принтеры на серверах печати, чтобы устранить старые настройки, которые вызывали проблемы. затем эти настройки были переданы клиентам, что в основном устраняло проблему. несколько дочерних проблем были исправлены путем удаления и повторного добавления принтеров на этих клиентах.

Это не вирус, это повреждение драйвера.

  • Удалите принтер.
  • Убрать все следы водителя
  • Переустановите принтер и верный Водитель.
  • ТЕСТ.

Это должно решить вашу проблему.

Пока что я нашел эти отчеты в дополнение к записи в дневнике SANS ISC:

http://community.spiceworks.com/topic/232157-printer-prints-virus-string-until-out-of-paper?page=2

  • См. Сообщение от "kinggeorge" от 8 июня 2012 г. в 07:01, страница 2: "... Только в Windows 7 мы обнаружили (скрытое) запланированное задание, которое использовало rundll32.exe со случайно сгенерированным dll-файлом в c: \ windows \ system32 ... "

https://community.mcafee.com/thread/45989?start=10&tstart=0

  • Сообщение № 14 от «mrussell77» от 8 июня 2012 г., 8:02 подтверждает ключи реестра, указанные в комментариях дневника SANS.
  • В сообщении № 15 от "scorpy" от 8 июня 2012 г., 7:58, упоминается запланированная задача.

Я бы сказал, что драйвер / катушки повреждены из-за обновления. Но потом я просто прочитал это SANS:

Было несколько сообщений о том, что ПК в сети печатают то, что выглядит как исполняемый файл, на большом количестве принтеров. Некоторые инструменты сканирования могут вызвать такое поведение, но в известных мне случаях эти инструменты не использовались в сети в то время. Различные AV-продукты пока не подходят для этого.

Если это происходит в вашей сети, используйте свои журналы для определения отправляющего устройства (будет в журналах печати) и отключите его для исследования и повторного создания образа. Если у вас есть настоящая вредоносная программа, загрузите ее через контактную форму и порадуйте наших парней и девушек.

отметка