Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

  • Автор темы Автор темы akok
  • Дата начала Дата начала
А почему вы это шепотом?
 
Кнопка Пуск не работает под одним пользователем

Здравствуйте!
Достался компьютер со следами crexv.ocx - были следы от него в реестре.
Не работает кнопка Пуск и панель задач неотображает запущенные приложения. Причем не работает под одним конкретеным пользователем. Под другими пользователями и локальным администратором проблем нет.
Изучил все схожие темы.
В параметрах:
Код: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
все правильно. На всякий случай, запускал скрипты Avz, приведенные в этой теме форума. Не помогает.
В какую сторону можно рыть?
 
Kamskiy, Потому что UAC был включен, поэтому другие пути и записи реестра! Я изменил одно значение и все заработало.. Какое? Точно сейчас не скажу..
 
Hotab написал(а):
Kamskiy, Потому что UAC был включен, поэтому другие пути и записи реестра! Я изменил одно значение и все заработало.. Какое? Точно сейчас не скажу..
Нажмите для раскрытия...
Значение в реестре или еще где то?
 
Kamskiy написал(а):
На всякий случай, запускал скрипты Avz, приведенные в этой теме форума. Не помогает.
Нажмите для раскрытия...
Нужно смотреть в кусте HКCU. Выгрузите копию реестра с проблемной машины, посмотрим.
 
Забрал файлы в закрытый раздел.
 
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.
Windows Registry Editor Version 5.00

[-HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}]

[-HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Windows\Shell\AttachmentExecute\{4012DF06-0000-0400-5001-00000A030057}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Root Page"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\Main]
"Root Page"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\Settings]
"looker"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnableU3"=-
Нажмите для раскрытия...
 
+
Проверьте значения ключей
Код: 
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32

и 
HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
 
Kamskiy, еще нужен скрин проблемы.
 
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.
[-HKEY_CURRENT_USER\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}]
Нажмите для раскрытия...
перегрузитесь и проверьте.
 
Только перед выполнением скрипта, сделайте экспорт куста HKEY_CLASSES_ROOT.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKEY_CLASSES_ROOT',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
akoK написал(а):
Kamskiy, еще нужен скрин проблемы.
Нажмите для раскрытия...
Скрин сделать затруднительно - глюк проявляется в динамике: при нажатии на кнопку Пуск меню не открывается, при запуске приложений на панели задач запущенные приложения не отображаются.

Добавлено через 33 секунды
shestale написал(а):
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.

перегрузитесь и проверьте.
Нажмите для раскрытия...

Сделано - не помогло.

Добавлено через 31 секунду
akoK написал(а):
Только перед выполнением скрипта, сделайте экспорт куста HKEY_CLASSES_ROOT.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKCR ',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
Нажмите для раскрытия...

Сделано - не помогло.
 
Сделайте экспорт куста HKCU из под проблемного пользователя и из под рабочего.
 
Всем спасибо!
Проблему решил скритп akoK:
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKEY_CLASSES_ROOT',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end
Непонятно, конечно, ведь в этом ключе реестра и так было такое же значение (%SystemRoot%\system32\shell32.dll')
 
Там ключ был вида REG_SZ, а нужен REG_EXPAND_SZ.

Код: 
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32
У кого какой вид ключа указан? Особенно интересует win7 32.
 
В связи с тем, что ?вредонос?* портит запись реестра в кусте HKEY_CLASSES_ROOT, произведено обновление методики устранения проблемы.

www.safezone.cc

После удаления crexv.ocx (crexvx.ocx) не работает меню ПУСК

После лечения данного зловреда backdoor.win32.javik.a, (DrWEB:backdoor.siggen.47065) - основным признаком которого является наличие: C:\Windows\system32\crexv.ocx Или backdoor.win64.javik.a C:\Windows\SysWow64\crexvx.ocx возможны ошибки в работе панели задач и не открывается меню ПУСК...
www.safezone.cc www.safezone.cc

Добавлено через 1 минуту 30 секунд
* нет уверенности, что это отработал вредонос, а не кривое лечение одного из вендоров.
 
Последнее редактирование:

Похожие темы

Дамир
Решена Удаление вируса подмены буфера
2
Ответы
27
Просмотры
156
Дамир
Дамир
Sa11ary
  • Закрыта
В работе Удаление нежелательных программ
2
Ответы
33
Просмотры
430
Sandor
Sandor
Galaxy
  • Закрыта
Решена Анализ логов и удаление подозрительных файлов
2
Ответы
20
Просмотры
426
Galaxy
Galaxy
Назад
Сверху Снизу