СПАМ с компьютера

**Zaurius** · 27.10.2021, 13:21

Добрый день.

Нужна ваша помощь.

Есть ноутбук, на котором установлен Outlook. Когда запускаем Outlook с почты начинает исходить спам. Независимо какая почта. Если подключено 10 почты, спамить будут все 10. Только отбойников пришло на 90 тысяч с лишним, пока я не успел отключить почту. Ранее нам приходили всякие вирусные письма, с просьбой проверить реквизиты во вложенной папке, перейти по ссылке, сменить пароль на почту и т.д. Возможно сотрудница случайно или по неопытности открыла это письмо и занесла что-то. Последний раз его форматировали тоже из-за вируса, но вот с рассылкой спама впервые. Программист говорит вирус глубоко засел. Куда засел? Он же форматируется, чистая система, куда может засесть вирус если не в маршрутизаторе, который мог заразиться ботнетом? Но тогда почему другие компьютеры в этой сети не спамят? Почему раньше не было спама? Ну или в каком-то бекапе пользователя засел и каждый раз восстанавливая их, вирус тоже восстанавливается.

Попытка скачать антивирусы (пробовал avg и totl 360) ни к чему не привели. Они вообще не устанавливаются, выдают ошибку. Когда открываю браузер (Хром) открывается страница с рекаптчей, что мол слишком много запросов и нужно пройти проверку на робота. Я даже на ваш сайт не смог зайти с этого компа, браузер просто не может связаться с хостом. Пишу вам с другого компьютера.

Ноутбук по-любому буду форматировать, но прежде я бы хотел проверить не заражены ли какие-то файлы пользователя, так как после формата придется их восстанавливать, а если там вирус, то опять 25. Поэтому, лучше сразу проверить, выявить причину данной проблемы, почистить если получится и отформатировать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.10.2021, 13:26

Уважаемый(ая) Zaurius, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 27.10.2021, 15:22

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

Сделайте новый лог Autologger.

**Zaurius** · 27.10.2021, 17:03

Во время сканирования выходит окно, в котором говорится о какой-то программе майнинга и выбор - удалить, отменить или игнорировать. Сначало нажал на удалить, компьютер перезагрузился. Логов в папке программы ( AV_block_remove.log ) не обнаружил. Повторное сканирование, отменил окно и все равно компьютер перезагружается. Логов соотвественно тоже нет. Сделал повторный скан с AutoLogger-ом

**Vvvyg** · 27.10.2021, 17:58

Ну, всё равно уже чуть лучше дела.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\temp\g8633.tmp.exe');
 TerminateProcessByName('c:\windows\temp\g8d2.tmp.exe');
 TerminateProcessByName('c:\windows\temp\sppsvc.exe');
 QuarantineFile('C:\Users\Ulfet\AppData\Roaming\NVIDIA Display Driver Service ver9.96\NVIDIADisplayDriverService.exe', '');
 QuarantineFile('C:\Windows\system32\5R92JMMM5Z.tmp', '');
 QuarantineFile('c:\windows\temp\g8633.tmp.exe', '');
 QuarantineFile('c:\windows\temp\g8d2.tmp.exe', '');
 QuarantineFile('c:\windows\temp\sppsvc.exe', '');
 DeleteFile('C:\Users\Ulfet\AppData\Roaming\NVIDIA Display Driver Service ver9.96\NVIDIADisplayDriverService.exe', '64');
 DeleteFile('C:\Windows\system32\5R92JMMM5Z.tmp', '64');
 DeleteFile('c:\windows\temp\g8633.tmp.exe', '');
 DeleteFile('c:\windows\temp\g8633.tmp.exe', '64');
 DeleteFile('c:\windows\temp\g8d2.tmp.exe', '');
 DeleteFile('c:\windows\temp\g8d2.tmp.exe', '64');
 DeleteFile('c:\windows\temp\sppsvc.exe', '');
 DeleteFileMask('C:\Windows\system32', '*.tmp', false);
 DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', false);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServicea\Parameters', 'ServiceDll', '64');
 DeleteSchedulerTask('AppServer ver7.73');
 DeleteSchedulerTask('AppServer ver7.74');
 DeleteSchedulerTask('Asp.Net Core Module ver7.75');
 DeleteSchedulerTask('Asp.Net Core Module ver7.76');
 DeleteSchedulerTask('Downloaded Program Files ver7.78');
 DeleteSchedulerTask('DriverStore ver8.83');
 DeleteSchedulerTask('Graphics Codec  ver0.18');
 DeleteSchedulerTask('Graphics Codec  ver0.19');
 DeleteSchedulerTask('IIS Express ver3.45');
 DeleteSchedulerTask('Internet Explorer ver0.18');
 DeleteSchedulerTask('Internet Explorer ver3.42');
 DeleteSchedulerTask('Internet Explorer ver3.43');
 DeleteSchedulerTask('Keyboard layout Utilitie ver0.14');
 DeleteSchedulerTask('Keyboard layout Utilitie ver0.15');
 DeleteSchedulerTask('Keyboard layout Utilitie ver0.16');
 DeleteSchedulerTask('Keyboard layout Utilitie ver4.46');
 DeleteSchedulerTask('LogicNP Software ver2.31');
 DeleteSchedulerTask('LogicNP Software ver4.46');
 DeleteSchedulerTask('Microsoft SDKs ver4.48');
 DeleteSchedulerTask('Microsoft Services ver4.52');
 DeleteSchedulerTask('Microsoft Services ver4.53');
 DeleteSchedulerTask('Microsoft Services ver6.66');
 DeleteSchedulerTask('Microsoft Services ver6.67');
 DeleteSchedulerTask('Microsoft Shared ver6.64');
 DeleteSchedulerTask('Microsoft Shared ver6.65');
 DeleteSchedulerTask('Microsoft SQL Server Compact Edition ver1.23');
 DeleteSchedulerTask('Microsoft SQL Server Compact Edition ver1.24');
 DeleteSchedulerTask('Microsoft SQL Server ver0.12');
 DeleteSchedulerTask('Microsoft SQL Server ver0.13');
 DeleteSchedulerTask('Microsoft Web Tools ver2.34');
 DeleteSchedulerTask('Microsoft Web Tools ver4.49');
 DeleteSchedulerTask('Microsoft.NET ver1.23');
 DeleteSchedulerTask('Microsoft.NET ver1.25');
 DeleteSchedulerTask('Microsoft.NET ver5.57');
 DeleteSchedulerTask('Microsoft.NET ver7.78');
 DeleteSchedulerTask('Microsoft.NET ver7.79');
 DeleteSchedulerTask('Microsoft.NET ver7.80');
 DeleteSchedulerTask('Microsoft.NET ver8.82');
 DeleteSchedulerTask('Microsoft.NET ver9.95');
 DeleteSchedulerTask('ModifiableWindowsApps ver0.11');
 DeleteSchedulerTask('ModifiableWindowsApps ver0.12');
 DeleteSchedulerTask('netFilterService ver8.89');
 DeleteSchedulerTask('NVIDIA Corporation ver1.28');
 DeleteSchedulerTask('NVIDIA Corporation ver4.52');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver2.29');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver3.40');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver8.81');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver8.85');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver8.86');
 DeleteSchedulerTask('NVIDIA Display Driver Service ver9.96');
 DeleteSchedulerTask('regedit ver7.73');
 DeleteSchedulerTask('regedit ver8.87');
 DeleteSchedulerTask('regedit ver8.88');
 DeleteSchedulerTask('regid.1991-06.com.microsoft ver0.16');
 DeleteSchedulerTask('regid.1991-06.com.microsoft ver2.29');
 DeleteSchedulerTask('Rummage ver2.32');
 DeleteSchedulerTask('Rummage ver6.64');
 DeleteSchedulerTask('Runtime Broker ver8.83');
 DeleteSchedulerTask('Runtime Broker ver9.97');
 DeleteSchedulerTask('Runtime Broker ver9.98');
 DeleteSchedulerTask('Service binary ver7.80');
 DeleteSchedulerTask('Skrinshoter ver0.19');
 DeleteSchedulerTask('Skrinshoter ver2.33');
 DeleteSchedulerTask('Skrinshoter ver2.34');
 DeleteSchedulerTask('Skrinshoter ver6.66');
 DeleteSchedulerTask('Support Center  ver1.22');
 DeleteSchedulerTask('Support Center  ver1.23');
 DeleteSchedulerTask('Support Center  ver4.54');
 DeleteSchedulerTask('Support Center  ver8.88');
 DeleteSchedulerTask('Support Center  ver9.95');
 DeleteSchedulerTask('System Language Driver ver0.17');
 DeleteSchedulerTask('System Language Driver ver9.90');
 DeleteSchedulerTask('SystemApps ver1.24');
 DeleteSchedulerTask('SystemApps ver7.80');
 DeleteSchedulerTask('SystemApps ver7.81');
 DeleteSchedulerTask('SysWOW64 ver4.48');
 DeleteSchedulerTask('SysWOW64 ver4.50');
 DeleteSchedulerTask('SysWOW64 ver8.82');
 DeleteSchedulerTask('SysWOW64 ver8.83');
 DeleteSchedulerTask('Update Controller ver1.19');
 DeleteSchedulerTask('Update Controller ver1.20');
 DeleteSchedulerTask('Update Controller ver1.52');
 DeleteSchedulerTask('Update Controller ver9.94');
 DeleteSchedulerTask('USOPrivate ver3.37');
 DeleteSchedulerTask('USOPrivate ver3.38');
 DeleteSchedulerTask('USOPrivate ver9.94');
 DeleteSchedulerTask('USOShared ver2.35');
 DeleteSchedulerTask('USOShared ver2.36');
 DeleteSchedulerTask('Windows Media Player ver4.51');
 DeleteSchedulerTask('Windows Media Player ver4.52');
 DeleteSchedulerTask('Windows NT  ver0.12');
 DeleteSchedulerTask('Windows NT  ver1.27');
 DeleteSchedulerTask('Windows NT  ver1.28');
 DeleteSchedulerTask('Windows Phone Kits ver4.53');
 DeleteSchedulerTask('Windows Phone Kits ver5.55');
 DeleteSchedulerTask('Windows Phone Kits ver8.84');
 DeleteSchedulerTask('Windows Portable Devices ver4.54');
 DeleteSchedulerTask('Windows Portable Devices ver5.55');
 DeleteSchedulerTask('Windows Portable Devices ver6.68');
 DeleteSchedulerTask('Windows Portable Devices ver6.69');
 DeleteSchedulerTask('Windows Portable Devices ver8.86');
 DeleteSchedulerTask('Windows Sidebar ver5.57');
 DeleteSchedulerTask('Windows Sidebar ver5.58');
 DeleteSchedulerTask('Windows Sidebar ver5.59');
 DeleteSchedulerTask('WindowsApps ver0.14');
 DeleteSchedulerTask('WindowsApps ver5.55');
 DeleteSchedulerTask('WindowsApps ver6.69');
 DeleteSchedulerTask('WindowsApps ver8.84');
 DeleteSchedulerTask('WindowsHolographicDevices ver6.71');
 DeleteSchedulerTask('WindowsPowerShell ver3.45');
 DeleteSchedulerTask('WindowsPowerShell ver5.60');
 DeleteSchedulerTask('WinRAR ver6.71');
 DeleteSchedulerTask('WinRAR ver6.72');
 DeleteSchedulerTask('WinRAR ver7.72');
 DeleteSchedulerTask('WMI Provider Host ver9.93');
 DeleteSchedulerTask('Workflow Manager Tools ver5.62');
 DeleteSchedulerTask('wsappx ver9.90');
 DeleteSchedulerTask('wsappx ver9.91');
 DeleteSchedulerTask('Xbox ver5.56');
 DeleteSchedulerTask('Xbox ver8.89');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте его через этот сервис.
После получения результатов дайте ссылку на отчёт.

Деинсталлируйте программы McAfee Security Scan Plus и McAfee Safe Connect.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\1.lnk"          -> ["C:\activator\1.bat"]
>>>  "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\unpack.lnk"     -> ["C:\activator\unpack.bat"]
>>>  "C:\Users\Ulfet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KMS Tools\WinRAR.lnk"     -> ["C:\activator\Rar.exe"]
>>>  "C:\Users\Ulfet\McAfee Security Scan Plus.lnk"          -> ["C:\Program Files\McAfee Security Scan\3.11.1924\McUICnt.exe"  =>> SecurityScanner.dll]
>>>  "C:\Users\Ulfet\Desktop\programs\Adobe.Acrobat.Pro.DC.v2020.006.20034\Adobe Acrobat DC.lnk"     -> ["C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrobat.exe"]

Отчёт о работе прикрепите.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Zaurius** · 28.10.2021, 08:22

Доброе утро.

Сегодня утром пришел, а ноут не открывается. Синий экран смерти, до 100% грузится и перезагрузка. И так постоянно циклическая перезагрузка. Восстанавливать уже не буду. Достал он меня. Лучше отформатирую, если снова будет спам, напишу сюда же и прикреплю новые логи.

Спасибо за уделенное время.

**Vvvyg** · 28.10.2021, 10:10

Хорошо, ждём.

- - - - -Добавлено - - - - -

Да, надеюсь, уже все пароли пользователя поменяли - системный, на почту, на прочие ресурсы, они скомпрометированы.

**Zaurius** · 28.10.2021, 10:17

Да, естественно поменял. Первым делом я это и сделал.

Кстати, просканировал на вирусы, антивирус обнаружил кучу троянов и майнинг программу. При том это только файлы бекапа. Представляю что там в системе творилось.

**Vvvyg** · 28.10.2021, 12:30

Если бы система не загнулась, вычистили бы всё, и форматировать не пришлось бы. AV block remove удалил майнер и сопутствующие ему ограничения в системе (блокировку антивирусов и сайтов с ними). А скриптом удалились бы трояны и 3-м шагом привели бы всё в норму. Ну, по плану )

**Zaurius** · 28.10.2021, 12:53

703 вируса только на диске "D" было

А системный администратор мне еще говорил: зачем антивирусы, кто ими сейчас пользуется. Вот зачем...

**Vvvyg** · 28.10.2021, 16:51

В 10-ке вполне нормальный встроенный защитник, если его не отключать, вполне справляется. Ну и по возможности не давать пользователям права администратора, это 90% проблем с вирусами отсекает.

СПАМ с компьютера (заявка № 227284)

Опции темы