Далее, в конфиге юзера (/домашняя папка/username.ovpn) удаляете строку remote-cert-tls server и удаляете последний блок с ключом tls-auth. Также добавляете строку auth SHA512. Administration => TR-069 => Отключаем снятием галочки, сохраняем. Теперь нам необходимо сгенерировать файл пользователей/паролей для корректной работы авторизации. Для этого в консоли запускаем утиль htpasswd в следующем виде:
Теперь нам необходимо сгенерировать файл пользователей/паролей для корректной работы авторизации. Для этого в консоли запускаем утиль htpasswd в следующем виде:
Грузимся с ERDCommander Подключаемся к реестру найденной винды Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32) Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/ Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache Удаляем с дисков все Recycler и System Volume Information Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.
Загружаемся с LiveCD с WinPE (например, ERDCommander)
При загрузке подключаем реестр найденной Windows XP системы
Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном
У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш
Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона)
Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.
Сегодня какое-то нашествие блокера под именем 22CC6C32.exe — попались три заблокированных компьютера, причем на всех из них стоял лицензионный Касперский Интернет Секьюрити 2010/2011. Сегодняшний троян оказался размером 26 624 байт. Как раз размером с оригинальный userinit.exe. На этот троян вообще не существует кодов разблокировки (т.е. из вообще не может быть, так задумано :)), поэтому, не пытайтесь отправлять деньги мошенникам! Вычищать 22CC6C32 придется вручную. Для этого запаситесь LiveCD (типа ERDCommander) и дистрибутивом винды… Зачем? Расскажу далее. 🙂
Если Kontakt внезапно (или после переустановки системы) начал выдавать подобное сообщение «The patch is encrypted and cannot be loaded unless the respective Library is registered properly«, не пугайтесь, просто необходимо заново добавить библиотеки сэмплов в сам Контакт. Для этого открываем собственно сам Контакт, идем в закладку «Libraries», нажимаем кнопку «Add Library» и указываем путь к нашему плагину / билиотеке. Тоже самое пробелываем со всеми инструментами, которые нам необходимы. После этого все должно работать.