Hallo,

ich verwende in einem Netzwerk einen Kyocera Ecosys M2535dn, das ist ein Kombigerät zum drucken, faxen, scannen. Dieser ist angeschlossen an eine Fritzbox 7490 (über die auch der Internetzugang läuft). Außerdem sind in dem Netzwerk 3 PCs.

Es kommt seit geraumer Zeit etwa 1x die Woche vor, dass der Drucker über Nacht, wenn alle PCs ausgeschaltet sind, eine Seite mit
"XPS Print Error
Job Name: (None)
Document Name: (None)
Page number: 0
Error: XPS Format error (19,4,2)" bedruckt.

Darauf folgt eine Seite mit
"Rewrite Engine on
RewriteCond %{HTTP_REFERER} ^(.*)Google\.(.*)
RewriteRule .* hxxp://testswork.ru/info.zip [L]"

3. Seite:
Viele nicht entzifferbare Zeichen, darin enthalten "This program cannot be run in DOS mode."

Hierauf folgen massig Seiten, die am oberen Rand nur noch mit irgendwelche Zeichen bedruckt werden. Gedruckt wird solange, bis das Papierfach leer ist.

Meine Suche nach einer Lösung war bislang komplett erfolglos. Hat hier jemand eine Idee?

Vielen Dank im Voraus

rorob

Wieso denkst du, dass dein Problem etwas mit Malware zu tun hat?

Hallo MKDB,

danke für die Rückmeldung.

Meine Vermutung hat mehrere Ursachen:

Dieses "testswork.ru/info.zip" hört sich meines Erachtens schon verdächtig an. Es scheint ja, als wolle der Drucker irgendetwas drucken, was er nicht drucken/verarbeiten kann. Also muss irgendwoher der Befehl zum Drucken einer Datei kommen. Diese Datei könnte diese info.zip sein - und ich habe keine Ahnung, was das sein sollte, zumal ich nicht wissentlich etwas mit .ru - Seiten zu tun habe.

Hinzu kommt, dass ich natürlich google bemüht habe. Die Ergebnisse waren sehr dürftig, einer hat in verschiedenen Foren eine fast identische Situation geschildert. Die Aussagen gingen aber alle in dieselbe Richtung, nämlich dass es Malware sein muss.

Hinzu kommen die Ergebnisse z.B. der Virustotal domain info:

https://www.virustotal.com/en/domain/testswork.ru/information/

Zitat:

Latest detected URLs
Latest URLs hosted in this domain detected by at least one URL scanner or malicious URL dataset.
7/68 2016-05-06 11:42:58 hxxp://testswork.ru/
7/67 2016-05-03 14:57:10 hxxp://testswork.ru/stat.zip/
6/67 2016-05-03 14:37:20 hxxp://testswork.ru/stat.zip
9/67 2016-05-02 05:03:36 hxxp://testswork.ru/test8.txt/
8/67 2016-05-02 04:33:49 hxxp://testswork.ru/test8.txt
9/67 2016-05-01 05:55:02 hxxp://testswork.ru/test5.txt
9/67 2016-04-27 13:53:48 hxxp://testswork.ru/test5.txt/
9/68 2016-04-15 19:07:44 hxxp://testswork.ru/test12.txt
9/68 2016-04-15 11:30:04 hxxp://testswork.ru/test7.txt
7/67 2016-04-15 00:08:28 hxxp://testswork.ru/test7.txt%20HTTP/1.1/
More
Latest detected files that were downloaded from this domain
Latest files that are detected by at least one antivirus solution and were downloaded by VirusTotal from the domain provided.
41/55 2016-01-10 08:49:49 5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
39/54 2016-01-02 16:42:58 7bf7550ae929d6fea87140ab70e6444250581c87a990e74c1cd7f0df5661575b
1/53 2015-12-27 16:29:57 c482bbe6506b26ddab5dc360092f80657d5fee0b651234e37a5c6b8a7f768b1f
41/55 2015-12-16 15:30:09 f7fadd6ba489b0049596fecded009b436d46cd67b061d16b49e4ebc9fdd2cf61
1/55 2015-11-23 10:07:07 16937788af221e395c2889576dbed3003a7e113ceed551ffffe6f0da43442627

Oder Sophos.com:

Zitat:

Troj/Miner-AI exhibits the following characteristics:
File Information

Size
2.9M
SHA-1
814cf8a128d1d335824116a2af51a795b898023f
MD5
f4113fba9736d863297670552a304189
CRC-32
fd210af6
File type
Windows executable
First seen
2007-10-13

Other vendor detection

Avira
TR/CoinMiner.J

Runtime Analysis
Copies Itself To

F:/images.scr
c:\Documents and Settings\test user\Application Data\Images\image.exe

Dropped Files

c:\Documents and Settings\test user\Local Settings\Temp\nsy4.tmp\inetc.dll

Processes Created

c:\Documents and Settings\test user\application data\images\image.exe

HTTP Requests

hxxp://testswork.ru/test.txt
hxxp://testswork.ru/test2.txt

DNS Requests

testswork.ru

Zudem habe ich im Zusammenhang mit dem Symptom, dass der Drucker massenweise Seiten mit sonderlichen Schriftzeichen bedruckt, und auf einer der ersten Seiten "This program cannot be run in DOS mode" steht, nun mehrfach den Begriff "Bugbear" gelesen. Hierbei handelt es sich wohl um einen Virus/Trojaner, der u.a. dieses Druckerproblem auslöst.

hxxp://home.mcafee.com/virusinfo/virusprofile.aspx?key=99728

Diese ganzen Indizien ließen mich dann vermuten, dass es sich um Malware handelt und ich somit hier richtig bin

Danke schonmal,

rorob

Servus,


na dann schauen wir mal...





Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!




Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:


Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.







Bitte poste mit deiner nächsten Antwort

• die Logdatei von TDSS-Killer,
• die beiden neuen Logdateien von FRST.

Hallo Matthias,

vielen Dank für die Rückmeldung und die Anweisungen.

Leider komme ich vor Montag nicht mehr zu den betreffenden Rechnern. Es handelt sich hierbei auch um betriebliche Rechner mit im Hinblick auf Datenschutz sehr sensiblen Daten - stellt das ein Problem dar bzw. besteht die Möglichkeit, dass die von Dir genannten Programme in ihren Logfiles irgendetwas dahingehend aufzeichnen? Jedenfalls muss ich, bevor ich mit den Scans beginne, ersteinmal Rücksprache mit Kollegen halten.

Das wusste ich zwar auch bevor ich die Frage hier gestellt habe, allerdings hatte ich gehofft, dass das beschriebene Problem vllt. bekannt ist, sodass auch Auskünfte ohne die Scans möglich sind.

Ich danke Dir jedenfalls erneut für Deine Hilfe und komme so schnell wie möglich, voraussichtlich spätestens Montag, hierauf zurück.

Grüße
rorob

Servus,

so etwas musst du im ersten Post erwähnen:

Zitat:

Zitat von rorob

Leider komme ich vor Montag nicht mehr zu den betreffenden Rechnern. Es handelt sich hierbei auch um betriebliche Rechner mit im Hinblick auf Datenschutz sehr sensiblen Daten - stellt das ein Problem dar bzw. besteht die Möglichkeit, dass die von Dir genannten Programme in ihren Logfiles irgendetwas dahingehend aufzeichnen? Jedenfalls muss ich, bevor ich mit den Scans beginne, ersteinmal Rücksprache mit Kollegen halten.

Bereinigung von gewerblich genutzten Rechnern

Hi,

sorry, das hatte ich nicht zuvor gelesen.

Es handelt sich tatsächlich um einen eher kleineren Betrieb ohne eigene IT Abteilung. Ich werde die Sache mal hier ansprechen - natürlich auch die Sache mit der Spende - und mich dann erneut melden. Da die Daten tatsächlich aber besonderen Verschwiegenheitsverpflichtungen unterliegen, befürchte ich jedoch, dass das Arbeiten mit den Logfiles etc. nicht möglich sein wird.

Dennoch natürlich vielen Dank an Dich und das Board.

rorob

Servus,


kann ich verstehen.

Gib mir einfach nächste Woche Bescheid.

Servus,


gibts schon Neuigkeiten?

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!