Скормим виндовому клиенту, для примера. Идем в https://openvpn.net/community-downloads/ и скачиваем инсталлер для своей винды. Устанавливаем, и импортируем наш конфиг пользователя username.ovpn (который предварительно скачиваем со своего VPS / дедика из домашней директории рута или под кем вы там работаете на рабочую машину-клиента с виндой). Так как в Windows 11 совместили и интегрировали «Регулятор громкости» в новую (весьма сомнительную по юзибилити), «Панель уведомлений» в трее (он же «Угол», :фейспалм:), то теперь за всю эту котовасию отвечает родимый explorer.exe — он же «Проводник». Поясню построчно: первой строкой AuthType Basic мы сообщаем серверу, что в этой папке включена авторизация. Во второй строке параметр AuthName служит для сообщения клиенту, куда он собственно, попал и данный текст будет выведен в окне авторизации. Третья строка сообщает о том, где будет храниться файл паролей .htpasswd, сгенерированный соответствующей утилитой в консоли вашего сервера (об этом отдельно, ниже). Четвертая строка Require valid-user сообщает веб серверу кого пускать в данную папку: в нашем случае любого пользователя, прошедшего авторизацию. Также там могут быть указаны конкретные пользователи через запятую.
Грузимся с ERDCommander
Подключаемся к реестру найденной винды
Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32)
Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/
Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache
Удаляем с дисков все Recycler и System Volume Information
Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска
Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате
В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.
AuthType Basic AuthName «Administation Zone! Restricted Access» AuthUserFile /var/www/папка_пользователя/data/etc/.htpasswd Require valid-user
Там же в настройках есть пункт Application, в котором можно и Samba-сервер включить для USB флешки, и FTP поднять и прочую всякую всячину творить. С 16 Гб флешкой работает, проверено. 3G, 4G модемы — не проверял.
На всякий случай, если у вас нет под рукой дистрибутива винды, выкладываю оригинальные из дистра Windows XP SP3 в зипах: WINLOGON USERINIT TASKMGR
Попался тут экземпляр наглухо залоченного роутера от Ростелеком (что удивительно, по договору ты его постепенно выкупаешь, и у тебя потом остается эта железяка) — ZTE ZXHN H118N с версией железа HW: 2.3 и ростелекомовской прошивкой V2.1.3_ROSCNT4. Т.к. попытки поиска прошивки под любого провайдера (или от производителя) не увенчались успехом, решено было попробовать настроить как есть и получилось, однако!