2016 03 %D0%BC%D0%B5%D0%B3%D0%B0%D1%84%D0%BE%D0%BD 5016 %D1%81%D0%BF%D0%B0%D0%BC%D0%B5%D1%80 %D1%85%D1%83%D0%B6%D0%B5 %D1%80%D0%B0%D1%81%D0%B0

Автоматический установщик OpenVPN от Nyr Оно все определяет автоматически и имеет дефолтные настройки, можно тупо жать ентер, ентер, ентер и получить конфиг клиента на выходе. Далее, в конфиге юзера (/домашняя папка/username.ovpn) удаляете строку remote-cert-tls server и удаляете последний блок с ключом tls-auth. Также добавляете строку auth SHA512. Значит, первое, что мы делаем, это удаляем неудачно установленный OpenVPN (если устанавливали) и вычищаем остатки:


Administration => TR-069 => Отключаем снятием галочки, сохраняем.

Далее, в конфиге юзера (/домашняя папка/username.ovpn) удаляете строку remote-cert-tls server и удаляете последний блок с ключом tls-auth. Также добавляете строку auth SHA512.


AuthType Basic AuthName «Administation Zone! Restricted Access» AuthUserFile /var/www/папка_пользователя/data/etc/.htpasswd Require valid-user Administration => TR-069 => Отключаем снятием галочки, сохраняем. Грузимся с ERDCommander Подключаемся к реестру найденной винды Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32) Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/ Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache Удаляем с дисков все Recycler и System Volume Information Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.