Решена Постоянно появляется сообщение crexv.ocx

Тема в разделе "Лечение компьютерных вирусов", создана пользователем PAMAC, 25 авг 2012.

Статус темы:
Закрыта.
  1. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    Добрый день!

    Постоянно появляется сообщение: "Возникла ошибка при запуске C:\Windows\system32\crexv.ocx. Не найден указанный модуль".

    Пожалуйста помогите решить данную проблему!

    Файлы:
    Посмотреть вложение virusinfo_syscure.zip
    Посмотреть вложение virusinfo_syscheck.zip
    Посмотреть вложение info.txt
    Посмотреть вложение log.txt
     
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую PAMAC, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe','');
     QuarantineFile('C:\Windows\system32\drivers\afdgjkwy.sys','');
     DeleteFile('C:\Windows\system32\drivers\afdgjkwy.sys');
     DeleteFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe');
     DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
     DeleteFileMask('C:\ProgramData\6Jre5XUvOzQ', '*.*', true);
     DeleteDirectory('C:\ProgramData\6Jre5XUvOzQ');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
     DeleteService('afdgjkwy');
    ExecuteSysClean;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив из папки с распакованной AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS
     
    1 человеку нравится это.
  4. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
  5. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Выполните скрипт в uVS и пришлите полученный карантин, как описано здесь

    Код (Text):
    ;uVS v3.75 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1


    ; C:\WINDOWS\SYSTEM32\CREXVX.OCX
    addsgn BA652BBE5D22C5062FC4F9F9E7243286DF8BB57D7171C5300E32B0B9B891734C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4B05ED038CAEEBF 64

    zoo %Sys32%\CREXVX.OCX
    bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
    delall %Sys32%\CREXVX.OCX
    delall %Sys32%\CREXV.OCX
    delall %SystemRoot%\SYSWOW64\CREXV.OCX
    chklst
    delvir
    restart
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  7. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Воспользуйтесь скриптом из этой темы

    +
    Какое значение имеет ключ
    Код (Text):
    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\
     
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    + Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o','');
     DeleteFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы
     
  10. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    Отправил
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    А ответ на вопрос?
     
  12. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    Скрипт выполнил.
    Ключ имеет следующее значение: Start Menu Pin
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Меню Пуск, так и не работает? Если да, то:

    Первое:
    Экспортируйте в файлы, заархивируйте и прикрепите кусты реестра:
    HKCR
    HKCU
    HKLM

    Второе:
    Подготовьте лог uVS с помощью этой версии программы

    Третье:

    • Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit)
    • Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit)
    • Дважды щелкните SystemLook.exe для его запуска.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • Скопируйте содержимое скрипта и вставьте его в текстовое поле программы:
      Код (Text):
      :regfind
      CREXVX.OCX
      CREXV.OCX
    • Нажмите на кнопку Look, чтобы начать сканирование.
    • Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение.
    • Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.
     
    1 человеку нравится это.
  14. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    Выполнено.

    Логи и кусты реестра: Посмотреть вложение 1.rar

    Отчёт SystemLook:
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Нужно было выгрузить все указанные кусты.

    Выполните скрипт в uVS:
    Код (Text):

    ;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    delall CREXVX.OCX
    exec reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup" /v "ObfuscatedSyncPath"
    restart
     
    1 человеку нравится это.
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Пуск так и не работает?
     
  17. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    да, также не работает(
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    BackupRegKey('HKLM', 'Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}', 'HKLM_7C857801');
    RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32');
    RegKeyParamWrite('HKLM','Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32','','REG_SZ','%SystemRoot%\system32\wbem\wbemsvc.dll');
    RegKeyDel('HKLM','SOFTWARE\Microsoft\MediaPlayer\Setup\ObfuscatedSyncPath');
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    В связи с тем, что зловред блокирует измененные ветки реестра, то вначале необходимо вернуть права на изменения следующих веток реестра (подробная инструкция):
    Код (Text):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
    [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
    После примените следующий твик реестра:

    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
    @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
      00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
      65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
    "ThreadingModel"="Apartment"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
    @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
      00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
      65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\
      00,6c,00,00,00
    "ThreadingModel"="Both"

    [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
    @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
      00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
      65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
    "ThreadingModel"="Apartment"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup
    "ObfuscatedSyncPath"=-
     
    Откройте блокнот, скопируйте содержимое твика и сохраните файл с расширением reg.
     
    2 пользователям это понравилось.
  19. PAMAC
    Оффлайн

    PAMAC Пользователь

    Сообщения:
    11
    Симпатии:
    0
    скрипт AVZ не помог.

    Следующие ветки реестра не нашёл:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
    • [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]

    Ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32] вернул права на изменение.

    После применил указанный твик реестра.

    Пуск заработал. Благодарю!
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
    • Прикрепите файл к следующему сообщению.
    Подробнее читайте в руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей