Возникла ошибка C:\ProgramData\Creative\crexv.ocx

Printable View

26.08.2012, 00:58
Kollyan

Вложений: 2

Возникла ошибка C:\ProgramData\Creative\crexv.ocx

Здравствуйте! Возникла ошибка C:\ProgramData\Creative\crexv.ocx
26.08.2012, 00:59
Info_bot

Уважаемый(ая) [B]Kollyan[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.08.2012, 15:43
Kollyan

Вложений: 3

Сделал как написано тут : [url]http://virusinfo.info/content.php?r=136-pravila[/url]
На рабочем столе сохранил, но не могу(не умею) запаролить в zip
hijackthis.zip
virusinfo_syscure.zip
virusinfo_syscheck.zip
Простите. Без пароля.:(

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

После проверки Dr.Web CureIt выявлено:
hlwspqh C:\Users\73B5~1\AppData\Local\Temp Trojan.Hosts.5852 Удален.
L.class C:\Users\73B5~1\AppData\Local\Temp Java.Downloader.598 Удален.
plugin-d5e06736eab1b853d3df9029061d5769.pdf C:\Users\73B5~1\AppData\Local\Temp\plugtmp-259 Exploit.PDF.2923 Удален.
crexvx.ocx c:\programdata\creative BackDoor.Siggen.47065 Удален.

Сейчас ошибка устранилась, но не работает кнопка Пуск.

Что делать?
26.08.2012, 18:42
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{D982D147-A292-B644-FF8C-A395758DFF7D}-taskhost.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E34EC323-396A-2350-C492-0B6111397EF9}-taskhost.exe','');
QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\124kkk290347.exe','');
QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\036765~1.EXE','');
DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\036765~1.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\124kkk290347.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1916220');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1226917');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S151153');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1368061');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S631716');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S3431102');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S151129162');
DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E34EC323-396A-2350-C492-0B6111397EF9}-taskhost.exe');
DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{D982D147-A292-B644-FF8C-A395758DFF7D}-taskhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

+ [SPOILER=попробуйте такой рецепт]В связи с тем, что зловред блокирует измененные ветки реестра, то вначале необходимо вернуть права на изменения следующих веток реестра ([URL="http://safezone.cc/forum/showthread.php?t=18323"]подробная инструкция[/URL]):
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32][/CODE]

После примените следующий твик реестра:

[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\
00,6c,00,00,00
"ThreadingModel"="Both"

[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[/CODE]
Откройте блокнот, скопируйте содержимое твика и сохраните файл с расширением [B]reg[/B].[/SPOILER]
26.08.2012, 23:38
Kollyan

Скрипт в AVZ выполнил с показанным кодом, компьютер перегрузился. При открытии папки карантина она абсолютно пустая. Логи все равно делать?
Далее + попробуйте такой рецепт
Запустите Редактор реестра (Win + R → regedit → OК) ...
Выход в редактор реестра через кнопку Пуск невозможен, она не открывается.
:(
27.08.2012, 00:25
thyrex

Да, логи делать

Попробуйте применить только твик
27.08.2012, 12:50
Kollyan

Вроде бы решилась проблема с кнопкой пуск!
Без этой ссылки [url]http://safezone.cc/forum/showthread.php?t=18318[/url] с подробным наглядным примером [url]http://safezone.cc/forum/showthread.php?t=18323[/url] вряд ли бы я быстро разобрался. Для кого-то секундное дело взять и запустить редактор реестра - я же его находил пол дня :) , применить твик - первый раз вообще этот термин слышу.
Сделано:
вернул права на изменения следующих веток реестра благодаря подробной инструкции
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
[HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
Перегрузил компьютер.
Открыл блокнот, скопировал содержимое твика и сохранил файл с расширением reg, запустил выполнение и кнопка Пуск заработала.
Через AVZ выполнение скрипта не помогло.
Да еще при смене пользователя кнопка тоже работала до решения проблемы.
27.08.2012, 18:38
thyrex

Скрипт и не решал проблему с кнопкой. Он убирал другие остатки вирусни

Ждем новые логи