Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

[thestoryiheard]

Спасибо большое за подсказки. Я перепробовал множество способов, но именно ваш способ сработал на 100%.

 

[Hotab]

Вот образ (webfile.ru/6088638) системы, c активным заражением Javik c включенным UAC.

Применил скрипт

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\PROGRAMDATA\CREATIVE\CREXV.OCX
restart

После перезагрузки все нормально стало работать!

Если интересует, могу сделать образы и решение:

- малварь удален, а не открывается пуск (UAC on)
- малварь активен, все открывается (UAC off)
- малварь неактивен, пуск не работает (UAC off)

 

[akok]

Это говорит, только об одном. Разработчик UVS отработал намного оперативнее чем разработчик AVZ.

Если интересует, могу сделать образы и решение

Воля твоя.

 

[akok]

Немного с задержкой.
1. Разработчик UVS добавил методику восстановления ключей реестра после заражения
2. AVZ не может корректно обработать сброс прав на ветку реестра в win7 x64.

 

[akok]

Обновил описание в первом посту.

+ В связи с неэффективностью текущего скрипта AVZ, он убран из методики.

 

[akok]

Олег обратил внимание на нашу проблему. Использование недокументированных функций AVZ позволило восстановить эффективность лечения. Это подтверждает двухдневное "испытание" скрипта на форумах:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

procedure FixRegistry;
begin
RegKeyResetSecurity('HKCR','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32');
RegKeyResetSecurity('HKLM','SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32');
BackupRegKey('HKCR','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}','HKCR_a2a9545d');
BackupRegKey('HKCR','CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}','HKCR_7C857801');
BackupRegKey('HKLM', 'Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}', 'HKLM_7C857801');
BackupRegKey('HKLM', 'Software\Classes\ClsId\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}', 'HKLM_a2a9545d');
RegKeyParamWrite('HKEY_CLASSES_ROOT','CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','','REG_EXPAND_SZ','%SystemRoot%\system32\shell32.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','Software\Classes\ClsId\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32','','REG_SZ','%SystemRoot%\system32\wbem\wbemsvc.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','Software\Classes\ClsId\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','','REG_EXPAND_SZ','%SystemRoot%\system32\shell32.dll');
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetupAVZ('X64R=NN');
FixRegistry;
SetupAVZ('X64R=YY');
FixRegistry;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Теперь о самих недокументированных функциях X64R=NN(Y):

SetupAVZ позволяет настраивать параметры AVZ в ходе работы скрипта, причем большинство параметров доблирует параметры командной строки. Удобство SetupAVZ состоит в том, что на вход функции передается имя параметра и его значение, если имя и значение допустимые - происходит настройка. Если нет - то настройка не выполняется, но никакой ошибки не возникает. Это позволяет решать проблему совместимости скриптов между версиями AVZ и его ядра в KIS/KES разных версий - неподдерживаемый параметр просто игнорируется функцией и работа скрипта не прерывается.
Параметр X64R работает только на x64 версиях системы, задается как X64R=xy, где:
x - управляет редиректором реестра. Может принимать значения N и Y. Если он равен N, то редиректор выключатется и AVZ начинает работать с x64 версиями веток реестра. Если он равен Y, то редиректор работает и обращение к некоторым ветками реестра прозрачно редиректится на ключ Wow6432Node
y - управляет файловым редиректором. Все по аналогии: Y - редиректор включен, и в частности AVZ видит x32 версию каталога System32. N - редиректор выключен, видим x64 каталоги
Визарды AVZ и его компоненты автоматически используют переключение редиректора. В частности:
1. в ходе карантина файла он ищется в разных режимах редиректора, и если найдется 2 версии, то карантинятся обе
2. если в ходе исследования системы речь идет о x64 процессе, то в случае необходимости его файл ищется при отключенном редиректоре
3. Визарды в ходе правки ключей реестра автоматически учитывают наличие редиректора и в случае надобности управляют им
Так как AVZ является x32 процессом, то для него редиректор изначально включен, т.е. считаем, что он запускается в режиме X64R=YY. Это нормальный редим работы, поэтому в случае выключения редиректора его необходимо включить после выполнения необходимых действий, т.е.
SetupAVZ('X64R=NN');
...некие действия...
SetupAVZ('X64R=YY');

 

[Namale]

ошибки в работе панели задач и не открываться меню ПУСК.

Именно с такой проблемой я и столкнулась. Тема мне помогла,я полностью справилась с этой бедой,хотя вчера целый день ковырялась в интернете напрасно.Чтобы написать свою огромную благодарность даже зарегалась на форуме! Моя признательность akoK (Константину) ОГРОМНАЯ!

 

[akok]

было бы за что благодарить.

Разработка "лечения" велась всей командой, без них все было бы намного сложнее... так, что не только меня благодарить нужно.

 

[AgressivA]

Здравствуйте , у меня не работает меню пуск и панель задач , как раз после того как я удалил crexv.ocx . Попробовал ваш метод , сделал все как нужно , но когда я пытаюсь запустить твик реестра ( который можно скачать в этой теме) , у меня вылазиет ошибка " Не удалось импортировать ,не все данные были записаны в реестр . Некоторые разделы были заняты системой или другими процессами " . Пробовал зайти через безопасный режим , но толку 0 . Подскажите что делать ?
Заранее спасибо .

 

[Severnyj]

Права сбрасывали на ветки реестра, как указано в инструкции?

 

[AgressivA]

Да

 

[akok]

Судя по ответу системы права не сбросились. Проверьте, может одна из веток заблокирована.

 

[Severnyj]

Тогда готовьте логи по правилам и создавайте здесь новую тему с приложенными логами