Здравствуйте! Возникла ошибка C:\ProgramData\Creative\crexv.ocx
Здравствуйте! Возникла ошибка C:\ProgramData\Creative\crexv.ocx
Уважаемый(ая) Kollyan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сделал как написано тут : http://virusinfo.info/content.php?r=136-pravila
На рабочем столе сохранил, но не могу(не умею) запаролить в zip
hijackthis.zip
virusinfo_syscure.zip
virusinfo_syscheck.zip
Простите. Без пароля.
- - - Добавлено - - -
После проверки Dr.Web CureIt выявлено:
hlwspqh C:\Users\73B5~1\AppData\Local\Temp Trojan.Hosts.5852 Удален.
L.class C:\Users\73B5~1\AppData\Local\Temp Java.Downloader.598 Удален.
plugin-d5e06736eab1b853d3df9029061d5769.pdf C:\Users\73B5~1\AppData\Local\Temp\plugtmp-259 Exploit.PDF.2923 Удален.
crexvx.ocx c:\programdata\creative BackDoor.Siggen.47065 Удален.
Сейчас ошибка устранилась, но не работает кнопка Пуск.
Что делать?
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{D982D147-A292-B644-FF8C-A395758DFF7D}-taskhost.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E34EC323-396A-2350-C492-0B6111397EF9}-taskhost.exe',''); QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\124kkk290347.exe',''); QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\036765~1.EXE',''); DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\036765~1.EXE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\124kkk290347.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1916220'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1226917'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S151153'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1368061'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S631716'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S3431102'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S151129162'); DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E34EC323-396A-2350-C492-0B6111397EF9}-taskhost.exe'); DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{D982D147-A292-B644-FF8C-A395758DFF7D}-taskhost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
+попробуйте такой рецепт
В связи с тем, что зловред блокирует измененные ветки реестра, то вначале необходимо вернуть права на изменения следующих веток реестра (подробная инструкция):
После примените следующий твик реестра:Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32] [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
Откройте блокнот, скопируйте содержимое твика и сохраните файл с расширением reg.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32] @=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\ 65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment"Скрыть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт в AVZ выполнил с показанным кодом, компьютер перегрузился. При открытии папки карантина она абсолютно пустая. Логи все равно делать?
Далее + попробуйте такой рецепт
Запустите Редактор реестра (Win + R → regedit → OК) ...
Выход в редактор реестра через кнопку Пуск невозможен, она не открывается.
Да, логи делать
Попробуйте применить только твик
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде бы решилась проблема с кнопкой пуск!
Без этой ссылки http://safezone.cc/forum/showthread.php?t=18318 с подробным наглядным примером http://safezone.cc/forum/showthread.php?t=18323 вряд ли бы я быстро разобрался. Для кого-то секундное дело взять и запустить редактор реестра - я же его находил пол дня , применить твик - первый раз вообще этот термин слышу.
Сделано:
вернул права на изменения следующих веток реестра благодаря подробной инструкции
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545 d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C85780 1-7381-11CF-884D-00AA004B2E24}\InProcServer32]
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
Перегрузил компьютер.
Открыл блокнот, скопировал содержимое твика и сохранил файл с расширением reg, запустил выполнение и кнопка Пуск заработала.
Через AVZ выполнение скрипта не помогло.
Да еще при смене пользователя кнопка тоже работала до решения проблемы.
Скрипт и не решал проблему с кнопкой. Он убирал другие остатки вирусни
Ждем новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Kollyan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.