С этим видом трояна-винлокера я встречался несколько раз с января, и каждый последующий раз он заменяет собой все большее количество системных файлов. Сегодняшний экземпляр вируса 22CC6C32 заменил собой userinit.exe, taskmgr.exe. Также имелось 2 тела под именами файлов 22CC6C32.exe и рандомным RGVVVVVVVV.exe в папке пользователя Documents and Settings/%username%(или All Users)/Application Data/, причем каким образом в автозагрузку был записан второй экземпляр мне найти так и не удалось, просто снес его. И так, как же удалить этот 22cc6c32.exe?! Процедура лечения этой заразы следующая: В поледнее время участились случаи заражения вирусом-блокером под названием «as.exe». Представляет собой блокер с заголовком «Internet Security» и обвинениями в просмотре гей-порно и соответствующей картинкой. 🙂 Он тоже не имеет кодов разблокировки, как и 22CC6C32, но в отличие от 22CC6C32.exe не заражает/удаляет/заменяет системные файлы userinit и taskmgr. Блокер убирается следующим образом: Я нашел только один способ, топорный в лоб — перезапуск процесса explorer.exe («Проводник»), тогда все возвращается на свои места. Надолго ли это? Возможно, с обновлением следующим что-то прилетит, т.к. проблема встречается достаточно часто.
Грузимся с ERDCommander
Подключаемся к реестру найденной винды
Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32)
Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/
Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache
Удаляем с дисков все Recycler и System Volume Information
Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска
Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате
В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.
Если нужны еще юзеры, то один запуск установщика = один OpenVPN юзер на выходе (точнее, конфиг юзера). Конфиг будет лежать в папке пользователя.
Я нашел только один способ, топорный в лоб — перезапуск процесса explorer.exe («Проводник»), тогда все возвращается на свои места. Надолго ли это? Возможно, с обновлением следующим что-то прилетит, т.к. проблема встречается достаточно часто.
Ну дальше разберетесь. Работает оно на микрухе SoC Realtek RTL8676S, инфы о которой особо раздобыть не удалось. Немного кишок ZTE H118N в заключение.
Грузимся с ERDCommander
Подключаемся к реестру найденной винды
Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32)
Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/
Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache
Удаляем с дисков все Recycler и System Volume Information
Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска
Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате
В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.