Решена Постоянно появляется сообщение crexv.ocx

Статус
В этой теме нельзя размещать новые ответы.

PAMAC

Новый пользователь
Сообщения
11
Реакции
0
Добрый день!

Постоянно появляется сообщение: "Возникла ошибка при запуске C:\Windows\system32\crexv.ocx. Не найден указанный модуль".

Пожалуйста помогите решить данную проблему!

Файлы:
Посмотреть вложение virusinfo_syscure.zip
Посмотреть вложение virusinfo_syscheck.zip
Посмотреть вложение info.txt
Посмотреть вложение log.txt
 
Приветствую PAMAC, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe','');
 QuarantineFile('C:\Windows\system32\drivers\afdgjkwy.sys','');
 DeleteFile('C:\Windows\system32\drivers\afdgjkwy.sys');
 DeleteFile('C:\Users\Роман Алексеевич\AppData\Roaming\taskhost.exe');
 DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
 DeleteFileMask('C:\ProgramData\6Jre5XUvOzQ', '*.*', true);
 DeleteDirectory('C:\ProgramData\6Jre5XUvOzQ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 DeleteService('afdgjkwy');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив из папки с распакованной AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 
Выполните скрипт в uVS и пришлите полученный карантин, как описано здесь

Код:
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1


; C:\WINDOWS\SYSTEM32\CREXVX.OCX
addsgn BA652BBE5D22C5062FC4F9F9E7243286DF8BB57D7171C5300E32B0B9B891734C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4B05ED038CAEEBF 64 

zoo %Sys32%\CREXVX.OCX
bl 8D1FEAE1A62ADFEEFFF781113F61F21D 12800
delall %Sys32%\CREXVX.OCX
delall %Sys32%\CREXV.OCX
delall %SystemRoot%\SYSWOW64\CREXV.OCX
chklst
delvir
restart

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Воспользуйтесь скриптом из этой темы

+
Какое значение имеет ключ
Код:
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\
 
+ Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o','');
 DeleteFile('C:\Users\Роман Алексеевич\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1I3AQ4LJ\87[1].o');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы
 
Скрипт выполнил.
Ключ имеет следующее значение: Start Menu Pin
 
Меню Пуск, так и не работает? Если да, то:

Первое:
Экспортируйте в файлы, заархивируйте и прикрепите кусты реестра:
HKCR
HKCU
HKLM

Второе:
Подготовьте лог uVS с помощью этой версии программы

Третье:

  • Если у вас 32 разрядная версия windows, то скачайте SystemLook (32-bit)
  • Если у вас 64 разрядная версия windows, то необходимо скачать эту версию SystemLook (64-bit)
  • Дважды щелкните SystemLook.exe для его запуска.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • Скопируйте содержимое скрипта и вставьте его в текстовое поле программы:
    Код:
    :regfind
    CREXVX.OCX
    CREXV.OCX
  • Нажмите на кнопку Look, чтобы начать сканирование.
  • Когда сканирование будет завершено, откроется окно Блокнота с результатами сканирования. Пожалуйста, скопируйте текст отчета в следующее сообщение.
  • Если Вы закрыли Блокнот, то файл лога можно найти на рабочем столе: SystemLook.txt.
 
Выполнено.

Логи и кусты реестра: Посмотреть вложение 1.rar

Отчёт SystemLook:
SystemLook 30.07.11 by jpshortstuff
Log created at 13:32 on 26/08/2012 by Роман Алексеевич
Administrator - Elevation successful

========== regfind ==========

Searching for "CREXVX.OCX"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@="crexvx.ocx"

Searching for "CREXV.OCX"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup]
"ObfuscatedSyncPath"="C:\Windows\system32\crexv.ocx"

-= EOF =-
 
Нужно было выгрузить все указанные кусты.

Выполните скрипт в uVS:
Код:
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall CREXVX.OCX
exec reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup" /v "ObfuscatedSyncPath"
restart
 
Пуск так и не работает?
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
BackupRegKey('HKLM', 'Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}', 'HKLM_7C857801');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32');
RegKeyParamWrite('HKLM','Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32','','REG_SZ','%SystemRoot%\system32\wbem\wbemsvc.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\MediaPlayer\Setup\ObfuscatedSyncPath');
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

В связи с тем, что зловред блокирует измененные ветки реестра, то вначале необходимо вернуть права на изменения следующих веток реестра (подробная инструкция):
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]

После примените следующий твик реестра:

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\
  00,6c,00,00,00
"ThreadingModel"="Both"

[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer\Setup
"ObfuscatedSyncPath"=-
Откройте блокнот, скопируйте содержимое твика и сохраните файл с расширением reg.
 
скрипт AVZ не помог.

Следующие ветки реестра не нашёл:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
  • [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]

Ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32] вернул права на изменение.

После применил указанный твик реестра.

Пуск заработал. Благодарю!
 
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу