Сегодня какое-то нашествие блокера под именем 22CC6C32.exe — попались три заблокированных компьютера, причем на всех из них стоял лицензионный Касперский Интернет Секьюрити 2010/2011. Сегодняшний троян оказался размером 26 624 байт. Как раз размером с оригинальный userinit.exe. На этот троян вообще не существует кодов разблокировки (т.е. из вообще не может быть, так задумано :)), поэтому, не пытайтесь отправлять деньги мошенникам! Вычищать 22CC6C32 придется вручную. Для этого запаситесь LiveCD (типа ERDCommander) и дистрибутивом винды… Зачем? Расскажу далее. 🙂 Грузимся с ERDCommander Подключаемся к реестру найденной винды Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32) Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/ Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache Удаляем с дисков все Recycler и System Volume Information Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему. Так как в Windows 11 совместили и интегрировали «Регулятор громкости» в новую (весьма сомнительную по юзибилити), «Панель уведомлений» в трее (он же «Угол», :фейспалм:), то теперь за всю эту котовасию отвечает родимый explorer.exe — он же «Проводник».
В связи с нашествием ботов, ломящихся в админку Joomla по адресу /administrator/ и забивающих все логи, было решено прикрутить дополнительную авторизацию: средствами веб-сервера Apache. Для этого в директории /administrator/ создаем файл .htaccess следующего содержания:
Автоматический установщик OpenVPN от Nyr Оно все определяет автоматически и имеет дефолтные настройки, можно тупо жать ентер, ентер, ентер и получить конфиг клиента на выходе.
Далее, в конфиге юзера (/домашняя папка/username.ovpn) удаляете строку remote-cert-tls server и удаляете последний блок с ключом tls-auth. Также добавляете строку auth SHA512.
После недели-двух использования виндоус 11 выясняется, что эта панель любит просто зависать / пропадать / не открываться — назовите как угодно. Вместе с календарем, регулятором громкости, конечно.
Administration => TR-069 => Отключаем снятием галочки, сохраняем.