СПАМ с компьютера

Добрый день.

Нужна ваша помощь.

Есть ноутбук, на котором установлен Outlook. Когда запускаем Outlook с почты начинает исходить спам. Независимо какая почта. Если подключено 10 почты, спамить будут все 10. Только отбойников пришло на 90 тысяч с лишним, пока я не успел отключить почту. Ранее нам приходили всякие вирусные письма, с просьбой проверить реквизиты во вложенной папке, перейти по ссылке, сменить пароль на почту и т.д. Возможно сотрудница случайно или по неопытности открыла это письмо и занесла что-то. Последний раз его форматировали тоже из-за вируса, но вот с рассылкой спама впервые. Программист говорит вирус глубоко засел. Куда засел? Он же форматируется, чистая система, куда может засесть вирус если не в маршрутизаторе, который мог заразиться ботнетом? Но тогда почему другие компьютеры в этой сети не спамят? Почему раньше не было спама? Ну или в каком-то бекапе пользователя засел и каждый раз восстанавливая их, вирус тоже восстанавливается.

Попытка скачать антивирусы (пробовал avg и totl 360) ни к чему не привели. Они вообще не устанавливаются, выдают ошибку. Когда открываю браузер (Хром) открывается страница с рекаптчей, что мол слишком много запросов и нужно пройти проверку на робота. Я даже на ваш сайт не смог зайти с этого компа, браузер просто не может связаться с хостом. Пишу вам с другого компьютера.

Ноутбук по-любому буду форматировать, но прежде я бы хотел проверить не заражены ли какие-то файлы пользователя, так как после формата придется их восстанавливать, а если там вирус, то опять 25. Поэтому, лучше сразу проверить, выявить причину данной проблемы, почистить если получится и отформатировать.

Уважаемый(ая) [B]Zaurius[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте, распакуйте и запустите [URL="https://bit.ly/3sxnX3j"]утилиту AV block remove[/URL], следуйте инструкциям.
Файл [B]AV_block_remove.log[/B] из папки с программы прикрепите к своему сообщению.

Сделайте новый лог Autologger.

Во время сканирования выходит окно, в котором говорится о какой-то программе майнинга и выбор - удалить, отменить или игнорировать. Сначало нажал на удалить, компьютер перезагрузился. Логов в папке программы ( AV_block_remove.log ) не обнаружил. Повторное сканирование, отменил окно и все равно компьютер перезагружается. Логов соотвественно тоже нет. Сделал повторный скан с AutoLogger-ом

Ну, всё равно уже чуть лучше дела.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\temp\g8633.tmp.exe');
TerminateProcessByName('c:\windows\temp\g8d2.tmp.exe');
TerminateProcessByName('c:\windows\temp\sppsvc.exe');
QuarantineFile('C:\Users\Ulfet\AppData\Roaming\NVIDIA Display Driver Service ver9.96\NVIDIADisplayDriverService.exe', '');
QuarantineFile('C:\Windows\system32\5R92JMMM5Z.tmp', '');
QuarantineFile('c:\windows\temp\g8633.tmp.exe', '');
QuarantineFile('c:\windows\temp\g8d2.tmp.exe', '');
QuarantineFile('c:\windows\temp\sppsvc.exe', '');
DeleteFile('C:\Users\Ulfet\AppData\Roaming\NVIDIA Display Driver Service ver9.96\NVIDIADisplayDriverService.exe', '64');
DeleteFile('C:\Windows\system32\5R92JMMM5Z.tmp', '64');
DeleteFile('c:\windows\temp\g8633.tmp.exe', '');
DeleteFile('c:\windows\temp\g8633.tmp.exe', '64');
DeleteFile('c:\windows\temp\g8d2.tmp.exe', '');
DeleteFile('c:\windows\temp\g8d2.tmp.exe', '64');
DeleteFile('c:\windows\temp\sppsvc.exe', '');
DeleteFileMask('C:\Windows\system32', '*.tmp', false);
DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', false);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServicea\Parameters', 'ServiceDll', '64');
DeleteSchedulerTask('AppServer ver7.73');
DeleteSchedulerTask('AppServer ver7.74');
DeleteSchedulerTask('Asp.Net Core Module ver7.75');
DeleteSchedulerTask('Asp.Net Core Module ver7.76');
DeleteSchedulerTask('Downloaded Program Files ver7.78');
DeleteSchedulerTask('DriverStore ver8.83');
DeleteSchedulerTask('Graphics Codec ver0.18');
DeleteSchedulerTask('Graphics Codec ver0.19');
DeleteSchedulerTask('IIS Express ver3.45');
DeleteSchedulerTask('Internet Explorer ver0.18');
DeleteSchedulerTask('Internet Explorer ver3.42');
DeleteSchedulerTask('Internet Explorer ver3.43');
DeleteSchedulerTask('Keyboard layout Utilitie ver0.14');
DeleteSchedulerTask('Keyboard layout Utilitie ver0.15');
DeleteSchedulerTask('Keyboard layout Utilitie ver0.16');
DeleteSchedulerTask('Keyboard layout Utilitie ver4.46');
DeleteSchedulerTask('LogicNP Software ver2.31');
DeleteSchedulerTask('LogicNP Software ver4.46');
DeleteSchedulerTask('Microsoft SDKs ver4.48');
DeleteSchedulerTask('Microsoft Services ver4.52');
DeleteSchedulerTask('Microsoft Services ver4.53');
DeleteSchedulerTask('Microsoft Services ver6.66');
DeleteSchedulerTask('Microsoft Services ver6.67');
DeleteSchedulerTask('Microsoft Shared ver6.64');
DeleteSchedulerTask('Microsoft Shared ver6.65');
DeleteSchedulerTask('Microsoft SQL Server Compact Edition ver1.23');
DeleteSchedulerTask('Microsoft SQL Server Compact Edition ver1.24');
DeleteSchedulerTask('Microsoft SQL Server ver0.12');
DeleteSchedulerTask('Microsoft SQL Server ver0.13');
DeleteSchedulerTask('Microsoft Web Tools ver2.34');
DeleteSchedulerTask('Microsoft Web Tools ver4.49');
DeleteSchedulerTask('Microsoft.NET ver1.23');
DeleteSchedulerTask('Microsoft.NET ver1.25');
DeleteSchedulerTask('Microsoft.NET ver5.57');
DeleteSchedulerTask('Microsoft.NET ver7.78');
DeleteSchedulerTask('Microsoft.NET ver7.79');
DeleteSchedulerTask('Microsoft.NET ver7.80');
DeleteSchedulerTask('Microsoft.NET ver8.82');
DeleteSchedulerTask('Microsoft.NET ver9.95');
DeleteSchedulerTask('ModifiableWindowsApps ver0.11');
DeleteSchedulerTask('ModifiableWindowsApps ver0.12');
DeleteSchedulerTask('netFilterService ver8.89');
DeleteSchedulerTask('NVIDIA Corporation ver1.28');
DeleteSchedulerTask('NVIDIA Corporation ver4.52');
DeleteSchedulerTask('NVIDIA Display Driver Service ver2.29');
DeleteSchedulerTask('NVIDIA Display Driver Service ver3.40');
DeleteSchedulerTask('NVIDIA Display Driver Service ver8.81');
DeleteSchedulerTask('NVIDIA Display Driver Service ver8.85');
DeleteSchedulerTask('NVIDIA Display Driver Service ver8.86');
DeleteSchedulerTask('NVIDIA Display Driver Service ver9.96');
DeleteSchedulerTask('regedit ver7.73');
DeleteSchedulerTask('regedit ver8.87');
DeleteSchedulerTask('regedit ver8.88');
DeleteSchedulerTask('regid.1991-06.com.microsoft ver0.16');
DeleteSchedulerTask('regid.1991-06.com.microsoft ver2.29');
DeleteSchedulerTask('Rummage ver2.32');
DeleteSchedulerTask('Rummage ver6.64');
DeleteSchedulerTask('Runtime Broker ver8.83');
DeleteSchedulerTask('Runtime Broker ver9.97');
DeleteSchedulerTask('Runtime Broker ver9.98');
DeleteSchedulerTask('Service binary ver7.80');
DeleteSchedulerTask('Skrinshoter ver0.19');
DeleteSchedulerTask('Skrinshoter ver2.33');
DeleteSchedulerTask('Skrinshoter ver2.34');
DeleteSchedulerTask('Skrinshoter ver6.66');
DeleteSchedulerTask('Support Center ver1.22');
DeleteSchedulerTask('Support Center ver1.23');
DeleteSchedulerTask('Support Center ver4.54');
DeleteSchedulerTask('Support Center ver8.88');
DeleteSchedulerTask('Support Center ver9.95');
DeleteSchedulerTask('System Language Driver ver0.17');
DeleteSchedulerTask('System Language Driver ver9.90');
DeleteSchedulerTask('SystemApps ver1.24');
DeleteSchedulerTask('SystemApps ver7.80');
DeleteSchedulerTask('SystemApps ver7.81');
DeleteSchedulerTask('SysWOW64 ver4.48');
DeleteSchedulerTask('SysWOW64 ver4.50');
DeleteSchedulerTask('SysWOW64 ver8.82');
DeleteSchedulerTask('SysWOW64 ver8.83');
DeleteSchedulerTask('Update Controller ver1.19');
DeleteSchedulerTask('Update Controller ver1.20');
DeleteSchedulerTask('Update Controller ver1.52');
DeleteSchedulerTask('Update Controller ver9.94');
DeleteSchedulerTask('USOPrivate ver3.37');
DeleteSchedulerTask('USOPrivate ver3.38');
DeleteSchedulerTask('USOPrivate ver9.94');
DeleteSchedulerTask('USOShared ver2.35');
DeleteSchedulerTask('USOShared ver2.36');
DeleteSchedulerTask('Windows Media Player ver4.51');
DeleteSchedulerTask('Windows Media Player ver4.52');
DeleteSchedulerTask('Windows NT ver0.12');
DeleteSchedulerTask('Windows NT ver1.27');
DeleteSchedulerTask('Windows NT ver1.28');
DeleteSchedulerTask('Windows Phone Kits ver4.53');
DeleteSchedulerTask('Windows Phone Kits ver5.55');
DeleteSchedulerTask('Windows Phone Kits ver8.84');
DeleteSchedulerTask('Windows Portable Devices ver4.54');
DeleteSchedulerTask('Windows Portable Devices ver5.55');
DeleteSchedulerTask('Windows Portable Devices ver6.68');
DeleteSchedulerTask('Windows Portable Devices ver6.69');
DeleteSchedulerTask('Windows Portable Devices ver8.86');
DeleteSchedulerTask('Windows Sidebar ver5.57');
DeleteSchedulerTask('Windows Sidebar ver5.58');
DeleteSchedulerTask('Windows Sidebar ver5.59');
DeleteSchedulerTask('WindowsApps ver0.14');
DeleteSchedulerTask('WindowsApps ver5.55');
DeleteSchedulerTask('WindowsApps ver6.69');
DeleteSchedulerTask('WindowsApps ver8.84');
DeleteSchedulerTask('WindowsHolographicDevices ver6.71');
DeleteSchedulerTask('WindowsPowerShell ver3.45');
DeleteSchedulerTask('WindowsPowerShell ver5.60');
DeleteSchedulerTask('WinRAR ver6.71');
DeleteSchedulerTask('WinRAR ver6.72');
DeleteSchedulerTask('WinRAR ver7.72');
DeleteSchedulerTask('WMI Provider Host ver9.93');
DeleteSchedulerTask('Workflow Manager Tools ver5.62');
DeleteSchedulerTask('wsappx ver9.90');
DeleteSchedulerTask('wsappx ver9.91');
DeleteSchedulerTask('Xbox ver5.56');
DeleteSchedulerTask('Xbox ver8.89');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте его [URL="https://defendium.info/aqs/upload01_frm.php"]через этот сервис[/URL].
После получения результатов дайте ссылку на отчёт.

Деинсталлируйте программы McAfee Security Scan Plus и McAfee Safe Connect.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\1.lnk" -> ["C:\activator\1.bat"]
>>> "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\unpack.lnk" -> ["C:\activator\unpack.bat"]
>>> "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\WinRAR.lnk" -> ["C:\activator\Rar.exe"]
>>> "C:\Users\Ulfet\McAfee Security Scan Plus.lnk" -> ["C:\Program Files\McAfee Security Scan\3.11.1924\McUICnt.exe" =>> SecurityScanner.dll]
>>> "C:\Users\Ulfet\Desktop\programs\Adobe.Acrobat.Pro.DC.v2020.006.20034\Adobe Acrobat DC.lnk" -> ["C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrobat.exe"][/CODE]Отчёт о работе прикрепите.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Доброе утро.

Сегодня утром пришел, а ноут не открывается. Синий экран смерти, до 100% грузится и перезагрузка. И так постоянно циклическая перезагрузка. Восстанавливать уже не буду. Достал он меня. Лучше отформатирую, если снова будет спам, напишу сюда же и прикреплю новые логи.

Спасибо за уделенное время.

Хорошо, ждём.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Да, надеюсь, уже все пароли пользователя поменяли - системный, на почту, на прочие ресурсы, они скомпрометированы.

Да, естественно поменял. Первым делом я это и сделал.

Кстати, просканировал на вирусы, антивирус обнаружил кучу троянов и майнинг программу. При том это только файлы бекапа. Представляю что там в системе творилось.

Если бы система не загнулась, вычистили бы всё, и форматировать не пришлось бы. AV block remove удалил майнер и сопутствующие ему ограничения в системе (блокировку антивирусов и сайтов с ними). А скриптом удалились бы трояны и 3-м шагом привели бы всё в норму. Ну, по плану )

703 вируса только на диске "D" было :? А системный администратор мне еще говорил: зачем антивирусы, кто ими сейчас пользуется. Вот зачем...

В 10-ке вполне нормальный встроенный защитник, если его не отключать, вполне справляется. Ну и по возможности не давать пользователям права администратора, это 90% проблем с вирусами отсекает.