Словил вирус, не знаю как удалить

avatar Joker584

3050

15

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Словил видимо из AOMEI Partition Assistant

Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN"

Загуглил и доктор ДреВеб выдал мне две ссылки :

Спойлер: "Trojan.DownLoader11.22983"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Спойлер: "Trojan.DownLoader11.24035"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде.

Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков.

В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад.

Но остается вопрос реестра,подключений и "поиска окон".

Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"?

Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы.

P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).

UPD: svchost.exe успокоил, каким то образом включилась служба обновления винды

PAPA_YA_MID

Пользователь

Регистрация: 09.07.2014

Сообщения: 230

Рейтинг: 40

PAPA_YA_MID

Регистрация: 09.07.2014

Сообщения: 230

Рейтинг: 40

Joker584 сказал(а):
Словил видимо из AOMEI Partition Assistant

Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN"

Загуглил и доктор ДреВеб выдал мне две ссылки :

Спойлер: "Trojan.DownLoader11.22983"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Спойлер: "Trojan.DownLoader11.24035"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде.

Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков.

В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад.

Но остается вопрос реестра,подключений и "поиска окон".

Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"?

Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы.

P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).
Нажмите, чтобы раскрыть...

на форум касперского иди

nubideus

Пользователь

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

nubideus

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

в любой непонятной ситуации переустанавливай шиндовс

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

PAPA_YA_MID сказал(а):
на форум касперского иди
Нажмите, чтобы раскрыть...

но ведь д2ру лучший форум в мире, тут первоклассные специалисты во многих отраслях

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

nubideus сказал(а):
в любой непонятной ситуации переустанавливай шиндовс
Нажмите, чтобы раскрыть...

Факт в том, что Partition ассистантом я хотел воспользоваться сразу после переустановки виндовс ( как бэ восспользовался, но она мне не помогла ) + я не могу форматить все диски, ибо нет внешника.

unbanable

Пользователь

Регистрация: 05.08.2014

Сообщения: 133

Рейтинг: 38

unbanable

Регистрация: 05.08.2014

Сообщения: 133

Рейтинг: 38

Joker584 сказал(а):
Словил видимо из AOMEI Partition Assistant

Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN"

Загуглил и доктор ДреВеб выдал мне две ссылки :

Спойлер: "Trojan.DownLoader11.22983"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Спойлер: "Trojan.DownLoader11.24035"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде.

Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков.

В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад.

Но остается вопрос реестра,подключений и "поиска окон".

Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"?

Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы.

P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).
Нажмите, чтобы раскрыть...

Грузишься в безопасный режим. Делаешь восстановление системы на недельку назад или любую другую точку ДО того момента, как всё началось. После этого прогоняешь всё антивирусом, чистишь CCleaner, включая реестр и всё ок.

nubideus

Пользователь

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

nubideus

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

Joker584 сказал(а):
Факт в том, что Partition ассистантом я хотел воспользоваться сразу после переустановки виндовс ( как бэ восспользовался, но она мне не помогла ) + я не могу форматить все диски, ибо нет внешника.
Нажмите, чтобы раскрыть...

форматировать ВСЕ диски можно во время переустановки винды и нарезать тоже можно. так же нарезать диски можно стандартной утилитой по крайней мере в 7ке точно

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

nubideus сказал(а):
форматировать ВСЕ диски можно во время переустановки винды и нарезать тоже можно. так же нарезать диски можно стандартной утилитой по крайней мере в 7ке точно
Нажмите, чтобы раскрыть...

Это я знаю, но я не могу форматировать Д диск, ибо там много нужной инфы, а внешника, что бы скинуть не имею.

Тут дело не в этом, я уже забил. Вы мне с вирусом помогите, топ айтишники д2ру)

Simbelmynë

Пользователь

Регистрация: 10.10.2014

Сообщения: 36882

Рейтинг: 30871

Simbelmynë

Регистрация: 10.10.2014

Сообщения: 36882

Рейтинг: 30871

Joker584 сказал(а):
Словил видимо из AOMEI Partition Assistant

Все началось с того, что svchost.exe (netsvcs) очень сильно грузит процессор, начал разбираться, лазить по службам и т.д, в итоге включил показ скрытых файлов виндовс и обнаружил на диске С файл "AMTAG.BIN"

Загуглил и доктор ДреВеб выдал мне две ссылки :

Спойлер: "Trojan.DownLoader11.22983"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Спойлер: "Trojan.DownLoader11.24035"

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__

\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__

%WINDIR%\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\log\ampa1.log

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSDRIVE@\AMTAG.BIN

Удаляет следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@SYSWOW64@\ampa.sys

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\modified\@WINDIR@\ampa.exe

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

Перемещает следующие файлы:

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSDRIVE@\AMTAG.BIN.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\wnd.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@PROGRAMFILESX86@\AOMEI Partition Assistant Pro Edition 5.5\cfg.ini.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\xsandbox.bin

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@WINDIR@\ampa.exe.__meta__

<Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__.__tmp__ в <Текущая директория>\Data\AOMEI Partition Assistant\roaming\meta\@SYSWOW64@\ampa.sys.__meta__

Сетевая активность:

Подключается к:

'localhost':1039

'st###.spoon.net':443

UDP:

DNS ASK www.di####artition.com

DNS ASK st###.spoon.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Окей, думаю я, скачаю куреит и проведу полные обследования в сейф-моде.

Провел три вида : смарт, какие то непонятные системные штуки(аля загрузочные сектора и т.д, соре я ламер) и скан самих дисков.

В итоге вирусы нашел только скан дисков, и то, ни одного принадлежащего к этому трояну. Я делитнул .бин файл с диска С и попытался сам порыскать в директориях, тоже ничего не нашел, возможно из за того, что TEMP я уже чистил пару дней назад.

Но остается вопрос реестра,подключений и "поиска окон".

Как вылечить модифицированный вирусом реестр, как убрать вирусные подключения, и что значит "ищет следующие окна"?

Очень нужна помощь, комп и так работает на последнем дыхании, а тут еще и вирусы.

P.S.Пока буду решать проблему с svchost.exe, т.к. грузит 60% цп и 600 метров оперативы( из 2х гб ).

UPD: svchost.exe успокоил, каким то образом включилась служба обновления винды
Нажмите, чтобы раскрыть...

качаешь malwarebytes anti malware и радуешься жизни

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Simbelmynë сказал(а):
качаешь malwarebytes anti malware и радуешься жизни
Нажмите, чтобы раскрыть...

Помнится мне, когда я качал другие антивирусы с неоф.сайтов, я получал еще больше вирусов или "заплати - потом удалим".

Simbelmynë

Пользователь

Регистрация: 10.10.2014

Сообщения: 36882

Рейтинг: 30871

Simbelmynë

Регистрация: 10.10.2014

Сообщения: 36882

Рейтинг: 30871

Joker584 сказал(а):
Помнится мне, когда я качал другие антивирусы, я получал еще больше вирусов или "заплати - потом удалим".
Нажмите, чтобы раскрыть...

это сканер по требованию ващет, если ты такой подозрительный скачай портативную версию

nubideus

Пользователь

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

nubideus

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

Joker584 сказал(а):
Это я знаю, но я не могу форматировать Д диск, ибо там много нужной инфы, а внешника, что бы скинуть не имею.

Тут дело не в этом, я уже забил. Вы мне с вирусом помогите, топ айтишники д2ру)
Нажмите, чтобы раскрыть...
дело в том что не факт что это вирус жрет твои ресурсы, отключи обновления шиндвс и перезагрузи пекарню свою

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

nubideus сказал(а):
дело в том что не факт что это вирус жрет твои ресурсы, отключи обновления шиндвс и перезагрузи пекарню свою
Нажмите, чтобы раскрыть...

то что жрет ресурсы я уже пофиксил. мне важно удаление вируса полностью, не знаю, что еще сделать, ибо куреит ничего не нашел.

nubideus

Пользователь

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

nubideus

Регистрация: 27.02.2015

Сообщения: 6383

Рейтинг: 2480

Joker584 сказал(а):
то что жрет ресурсы я уже пофиксил. мне важно удаление вируса полностью, не знаю, что еще сделать, ибо куреит ничего не нашел.
Нажмите, чтобы раскрыть...

создай новый диск нужного размера, перемести туда все важные файлы, все остальное форматируй профит

Joker584

Пользователь

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Joker584

Регистрация: 31.10.2013

Сообщения: 2304

Рейтинг: 1733

Кароче, спасибо, что напомнили про форум касперского, чет затупил.

Тему можно закрывать.

Halem

Пользователь

Регистрация: 06.06.2014

Сообщения: 2968

Рейтинг: 14

Нарушения: 110

Halem

Регистрация: 06.06.2014

Сообщения: 2968

Рейтинг: 14

Нарушения: 110

Joker584 сказал(а):
Тему можно закрывать.
Нажмите, чтобы раскрыть...

Закрыто

Тема закрыта