Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

thestoryiheard

Активный пользователь
Сообщения
1
Реакции
0
Баллы
231
Спасибо большое за подсказки. Я перепробовал множество способов, но именно ваш способ сработал на 100%.
 

Hotab

Активный пользователь
Сообщения
1,163
Реакции
300
Баллы
383
Вот образ (webfile.ru/6088638) системы, c активным заражением Javik c включенным UAC.

Применил скрипт

Код:
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXV.OCX
restart
После перезагрузки все нормально стало работать!

Если интересует, могу сделать образы и решение:

- малварь удален, а не открывается пуск (UAC on)
- малварь активен, все открывается (UAC off)
- малварь неактивен, пуск не работает (UAC off)
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Это говорит, только об одном. Разработчик UVS отработал намного оперативнее чем разработчик AVZ.

Если интересует, могу сделать образы и решение
Воля твоя.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Немного с задержкой.
1. Разработчик UVS добавил методику восстановления ключей реестра после заражения
2. AVZ не может корректно обработать сброс прав на ветку реестра в win7 x64.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Обновил описание в первом посту.

+ В связи с неэффективностью текущего скрипта AVZ, он убран из методики.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Олег обратил внимание на нашу проблему. Использование недокументированных функций AVZ позволило восстановить эффективность лечения. Это подтверждает двухдневное "испытание" скрипта на форумах:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
procedure FixRegistry;
begin
RegKeyResetSecurity('HKCR','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32');
BackupRegKey('HKCR','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}','HKCR_a2a9545d');
BackupRegKey('HKCR','CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}','HKCR_7C857801');
BackupRegKey('HKLM', 'Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}', 'HKLM_7C857801');
BackupRegKey('HKLM', 'Software\Classes\ClsId\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}', 'HKLM_a2a9545d');
RegKeyParamWrite('HKEY_CLASSES_ROOT','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','','REG_EXPAND_SZ','%SystemRoot%\system32\shell32.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32','','REG_SZ','%SystemRoot%\system32\wbem\wbemsvc.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','Software\Classes\ClsId\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','','REG_EXPAND_SZ','%SystemRoot%\system32\shell32.dll');
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetupAVZ('X64R=NN');
FixRegistry;
SetupAVZ('X64R=YY');
FixRegistry;
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Теперь о самих недокументированных функциях X64R=NN(Y):
SetupAVZ позволяет настраивать параметры AVZ в ходе работы скрипта, причем большинство параметров доблирует параметры командной строки. Удобство SetupAVZ состоит в том, что на вход функции передается имя параметра и его значение, если имя и значение допустимые - происходит настройка. Если нет - то настройка не выполняется, но никакой ошибки не возникает. Это позволяет решать проблему совместимости скриптов между версиями AVZ и его ядра в KIS/KES разных версий - неподдерживаемый параметр просто игнорируется функцией и работа скрипта не прерывается.
Параметр X64R работает только на x64 версиях системы, задается как X64R=xy, где:
x - управляет редиректором реестра. Может принимать значения N и Y. Если он равен N, то редиректор выключатется и AVZ начинает работать с x64 версиями веток реестра. Если он равен Y, то редиректор работает и обращение к некоторым ветками реестра прозрачно редиректится на ключ Wow6432Node
y - управляет файловым редиректором. Все по аналогии: Y - редиректор включен, и в частности AVZ видит x32 версию каталога System32. N - редиректор выключен, видим x64 каталоги
Визарды AVZ и его компоненты автоматически используют переключение редиректора. В частности:
1. в ходе карантина файла он ищется в разных режимах редиректора, и если найдется 2 версии, то карантинятся обе
2. если в ходе исследования системы речь идет о x64 процессе, то в случае необходимости его файл ищется при отключенном редиректоре
3. Визарды в ходе правки ключей реестра автоматически учитывают наличие редиректора и в случае надобности управляют им
Так как AVZ является x32 процессом, то для него редиректор изначально включен, т.е. считаем, что он запускается в режиме X64R=YY. Это нормальный редим работы, поэтому в случае выключения редиректора его необходимо включить после выполнения необходимых действий, т.е.
SetupAVZ('X64R=NN');
...некие действия...
SetupAVZ('X64R=YY');
 

Namale

Активный пользователь
Сообщения
1
Реакции
3
Баллы
233
ошибки в работе панели задач и не открываться меню ПУСК.
Именно с такой проблемой я и столкнулась.Тема http://safezone.cc/forum/showthread.php?t=18318 мне помогла,я полностью справилась с этой бедой,хотя вчера целый день ковырялась в интернете напрасно.Чтобы написать свою огромную благодарность даже зарегалась на форуме! Моя признательность akoK (Константину) ОГРОМНАЯ!
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
было бы за что благодарить.

Разработка "лечения" велась всей командой, без них все было бы намного сложнее... так, что не только меня благодарить нужно.
 

AgressivA

Активный пользователь
Сообщения
2
Реакции
0
Баллы
231
Здравствуйте , у меня не работает меню пуск и панель задач , как раз после того как я удалил crexv.ocx . Попробовал ваш метод , сделал все как нужно , но когда я пытаюсь запустить твик реестра ( который можно скачать в этой теме) , у меня вылазиет ошибка " Не удалось импортировать ,не все данные были записаны в реестр . Некоторые разделы были заняты системой или другими процессами " . Пробовал зайти через безопасный режим , но толку 0 . Подскажите что делать ?
Заранее спасибо .
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,477
Реакции
8,855
Баллы
753
Права сбрасывали на ветки реестра, как указано в инструкции?
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Судя по ответу системы права не сбросились. Проверьте, может одна из веток заблокирована.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,477
Реакции
8,855
Баллы
753
Тогда готовьте логи по правилам и создавайте здесь новую тему с приложенными логами
 
Сверху Снизу