Значит, первое, что мы делаем, это удаляем неудачно установленный OpenVPN (если устанавливали) и вычищаем остатки: Значит, первое, что мы делаем, это удаляем неудачно установленный OpenVPN (если устанавливали) и вычищаем остатки: Я нашел только один способ, топорный в лоб — перезапуск процесса explorer.exe («Проводник»), тогда все возвращается на свои места. Надолго ли это? Возможно, с обновлением следующим что-то прилетит, т.к. проблема встречается достаточно часто.
Вообще, модуль авторизации довольно обширный, полную документацию смотрите на сайт Apache: https://httpd.apache.org/docs/2.2/howto/auth.html
По пунктам для чайников: 1) Жмем Ctrl + Alt + Delete, 2) «Диспетчер задач», жмем «Подробнее» для фулл диспетчера, 3) Жмем правой кнопкой мыши на заголовке столбцов (Имя, Состояние, и т.д.), 4) Выбираем отображать столбец «Имя процесса», 5) Жмем на столбец «Имя процесса» -> все процессы отсоритруются по имени, 6) Ищем в списке «explorer.exe» («Проводник») 7) Жмем на нем правой кнопкой мыши и выбираем «Перезапустить»
В конфиге сервера (/etc/openvpn/server/server.conf) удаляете строку tls-auth ta.key 0. И вообще все, что связано с tls.
Грузимся с ERDCommander
Подключаемся к реестру найденной винды
Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32)
Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/
Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache
Удаляем с дисков все Recycler и System Volume Information
Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска
Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате
В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.
Теперь нам необходимо сгенерировать файл пользователей/паролей для корректной работы авторизации. Для этого в консоли запускаем утиль htpasswd в следующем виде: