Закрыто
Словил вирус, не знаю как удалить
3050
15
Словил видимо из AOMEI Partition Assistant Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN" Загуглил и доктор ДреВеб выдал мне две ссылки :Спойлер: "Trojan.DownLoader11.22983"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде. Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков. В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад. Но остается вопрос реестра,подключений и "поиска окон". Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"? Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы. P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ). UPD: svchost.exe успокоил, каким то образом включилась служба обновления виндыСпойлер: "Trojan.DownLoader11.24035"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'
на форум касперского идиJoker584 сказал(а):↑Словил видимо из AOMEI Partition Assistant Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN" Загуглил и доктор ДреВеб выдал мне две ссылки :Спойлер: "Trojan.DownLoader11.22983"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде. Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков. В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад. Но остается вопрос реестра,подключений и "поиска окон". Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"? Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы. P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).Спойлер: "Trojan.DownLoader11.24035"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Нажмите, чтобы раскрыть...
Грузишься в безопасный режим. Делаешь восстановление системы на недельку назад или любую другую точку ДО того момента, как всё началось. После этого прогоняешь всё антивирусом, чистишь CCleaner, включая реестр и всё ок.Joker584 сказал(а):↑Словил видимо из AOMEI Partition Assistant Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN" Загуглил и доктор ДреВеб выдал мне две ссылки :Спойлер: "Trojan.DownLoader11.22983"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде. Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков. В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад. Но остается вопрос реестра,подключений и "поиска окон". Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"? Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы. P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).Спойлер: "Trojan.DownLoader11.24035"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Нажмите, чтобы раскрыть...
форматировать ВСЕ диски можно во время переустановки винды и нарезать тоже можно. так же нарезать диски можно стандартной утилитой по крайней мере в 7ке точноJoker584 сказал(а):↑Факт в том, что Partition ассистантом я хотел воспользоваться сразу после переустановки виндовс ( как бэ восспользовался, но она мне не помогла ) + я не могу форматить все диски, ибо нет внешника.Нажмите, чтобы раскрыть...
Это я знаю, но я не могу форматировать Д диск, ибо там много нужной инфы, а внешника, что бы скинуть не имею. Тут дело не в этом, я уже забил. Вы мне с вирусом помогите, топ айтишники д2ру)nubideus сказал(а):↑форматировать ВСЕ диски можно во время переустановки винды и нарезать тоже можно. так же нарезать диски можно стандартной утилитой по крайней мере в 7ке точноНажмите, чтобы раскрыть...
качаешь malwarebytes anti malware и радуешься жизниJoker584 сказал(а):↑Словил видимо из AOMEI Partition Assistant Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN" Загуглил и доктор ДреВеб выдал мне две ссылки :Спойлер: "Trojan.DownLoader11.22983"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде. Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков. В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад. Но остается вопрос реестра,подключений и "поиска окон". Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"? Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы. P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ). UPD: svchost.exe успокоил, каким то образом включилась служба обновления виндыСпойлер: "Trojan.DownLoader11.24035"Изменения в файловой системе: Создает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ %WINDIR%\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe Присваивает атрибут 'скрытый' для следующих файлов: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN Удаляет следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ Перемещает следующие файлы: <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__ <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__ Сетевая активность: Подключается к: 'localhost':1039 'st###.spoon.net':443 UDP: DNS ASK www.di####artition.com DNS ASK st###.spoon.net Другое: Ищет следующие окна: ClassName: 'Shell_TrayWnd' WindowName: '(null)'Нажмите, чтобы раскрыть...
дело в том что не факт что это вирус жрет твои ресурсы, отключи обновления шиндвс и перезагрузи пекарню своюJoker584 сказал(а):↑Это я знаю, но я не могу форматировать Д диск, ибо там много нужной инфы, а внешника, что бы скинуть не имею. Тут дело не в этом, я уже забил. Вы мне с вирусом помогите, топ айтишники д2ру)Нажмите, чтобы раскрыть...
Тема закрыта
-
ЗаголовокОтветов ПросмотровПоследнее сообщение
-
Сообщений:2
Просмотров:2
-
Сообщений:2
Просмотров:4
-
Сообщений:2
Просмотров:2
-
Сообщений:8
Просмотров:12
-
Trizy 29 Jun 2024 в 17:36Сообщений: 16 29 Jun 2024 в 17:36
Сообщений:16
Просмотров:18