Грузимся с ERDCommander Подключаемся к реестру найденной винды Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32) Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/ Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache Удаляем с дисков все Recycler и System Volume Information Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему. Ну дальше разберетесь. Работает оно на микрухе SoC Realtek RTL8676S, инфы о которой особо раздобыть не удалось. Немного кишок ZTE H118N в заключение. Загружаемся с LiveCD с WinPE (например, ERDCommander) При загрузке подключаем реестр найденной Windows XP системы Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона) Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.
Network => WAN => WAN Connection => Connetction name => выбираем из списка существующие соединения и сносим. Выбрав пункт Create WAN Connection — создаем свои от провайдера.
Ну дальше разберетесь. Работает оно на микрухе SoC Realtek RTL8676S, инфы о которой особо раздобыть не удалось. Немного кишок ZTE H118N в заключение.
Да никак! Нет, серьезно, удобную настройку «Показывать все значки» в системном трее из Windows 11, как и множество других полезных функций, просто выпилили из системы. Майкрософт изменили концепцию «системного трея», объединили ее с областью уведомлений и теперь он называется, внимание — «Угол Панели Задач«! Вах, и теперь в «углу» всё делается несколько иначе.
Сегодня какое-то нашествие блокера под именем 22CC6C32.exe — попались три заблокированных компьютера, причем на всех из них стоял лицензионный Касперский Интернет Секьюрити 2010/2011. Сегодняшний троян оказался размером 26 624 байт. Как раз размером с оригинальный userinit.exe. На этот троян вообще не существует кодов разблокировки (т.е. из вообще не может быть, так задумано :)), поэтому, не пытайтесь отправлять деньги мошенникам! Вычищать 22CC6C32 придется вручную. Для этого запаситесь LiveCD (типа ERDCommander) и дистрибутивом винды… Зачем? Расскажу далее. 🙂
С этим видом трояна-винлокера я встречался несколько раз с января, и каждый последующий раз он заменяет собой все большее количество системных файлов. Сегодняшний экземпляр вируса 22CC6C32 заменил собой userinit.exe, taskmgr.exe. Также имелось 2 тела под именами файлов 22CC6C32.exe и рандомным RGVVVVVVVV.exe в папке пользователя Documents and Settings/%username%(или All Users)/Application Data/, причем каким образом в автозагрузку был записан второй экземпляр мне найти так и не удалось, просто снес его. И так, как же удалить этот 22cc6c32.exe?! Процедура лечения этой заразы следующая: