2014 02 %D0%B2%D0%BE%D1%81%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5 %D1%84%D0%B0%D0%B9%D0%BB%D0%B0 %D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85 оутлоок оутлоок репаир 1

Грузимся с ERDCommander Подключаемся к реестру найденной винды Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32) Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/ Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache Удаляем с дисков все Recycler и System Volume Information Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему. Предположим, купили Вы облачный VPS или дедик у вас, не важно, и вот решили Вы, что хватит с вас роскомпозора и прочих ФСБ и неплохо бы через VPN сидеть, но дополнительно покупать что-то не хочется. Вариант «самому настроить OpenVPN-сервер» Вы уже испытали и у Вас нихрена не вышло. На помощь приходит отличный скрипт автоустановки OpenVPN-сервера с гитхаба от юзера Nyr под названием «warrior openvpn»: https://github.com/Nyr/openvpn-install. Покажу на примере своей CentOS. Так как в Windows 11 совместили и интегрировали «Регулятор громкости» в новую (весьма сомнительную по юзибилити), «Панель уведомлений» в трее (он же «Угол», :фейспалм:), то теперь за всю эту котовасию отвечает родимый explorer.exe — он же «Проводник».


Загружаемся с LiveCD с WinPE (например, ERDCommander) При загрузке подключаем реестр найденной Windows XP системы Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона) Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.

Значит, первое, что мы делаем, это удаляем неудачно установленный OpenVPN (если устанавливали) и вычищаем остатки:


Для отображения значков приходится либо тыкаться в настройку «Персонализация» -> «Панель задач» -> «Переполнение угла панели задач» (о, боже! кто это придумал?!!) и тыкать принудительно КАЖДЫЙ тубмлер на Вкл. около нужной программы (а если она еще не установлена? Ну да, ну да, пошел я на @#$)… Там же в настройках есть пункт Application, в котором можно и Samba-сервер включить для USB флешки, и FTP поднять и прочую всякую всячину творить. С 16 Гб флешкой работает, проверено. 3G, 4G модемы — не проверял. В связи с нашествием ботов, ломящихся в админку Joomla по адресу /administrator/ и забивающих все логи, было решено прикрутить дополнительную авторизацию: средствами веб-сервера Apache. Для этого в директории /administrator/ создаем файл .htaccess следующего содержания: