crexv.ocx - Ошибка, проблемы с меню пуск и панелью задач

[Никита Соловьев]

Наблюдается рост популярности очередной вредоносной программы, по классификации Лаборатории Касперского она детектируется как Backdoor.Win32.Javik.a (32-разрядная версия) Backdoor.Win64.Javik.a (64-разрядная версия).

Имена файлов вредоносной программы: crexv.ocx, crexvx.ocx

Некорректное лечение данной троянской программы приводит к появлению ошибок и проблемам с меню пуск и панелью задач.


Что делать?

1. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('%WINDIR%\system32\crexv.ocx','');
 DeleteFile('%WINDIR%\system32\crexv.ocx');
 QuarantineFile('%WINDIR%\SysWow64\crexvx.ocx','');
 DeleteFile('%WINDIR%\SysWow64\crexvx.ocx');
 DelCLSID('0B97F45B-25E7-4B96-AD81-C6F163B0EACF');
 DelCLSID('4302A370-37A0-4CF8-85EC-F81E38401FAD');
 DelCLSID('4362A370-37A0-43F8-85EC-18BE38601FAD');
 DelCLSID('CA440E3A-5D37-4EB0-A3B5-E7D2003F9349');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'javik_quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. Скопируйте следующий текст из рамки код в блокнот и сохраните как fix.reg

Код:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,73,00,76,00,63,00,2e,00,64,00,6c,\
  00,6c,00,00,00
"ThreadingModel"="Both"

Щёлкните дважды полученный файл, согласитесь внести изменения в реестр.
Обратите внимание: Вы должны иметь соответствующие права для того, чтобы произвести изменения в реестре.

Ознакомьтесь с инструкцией по оформлению запроса и откройте новую тему в разделе "Помогите!".

[Tosta]

Никита Соловьев и все кто работал в сети над решением этой проблемы, спасибо вам большое, отселживал информацию 4 дня и дождался решения)
PS: тем, кому не удастся поменять значения в реестре, совет. Запускайте его как regedt32.exe и меняйте владельца на себя родного. Всё будет ok!

[akok]

Никита Соловьев, твик реестра и скрипт лечения будет скоро дополнены (или объединены). Как только буду уверен в безопасности их применения....

- - - Добавлено - - -

Дополнил методику восстановления скриптом AVZ который можно использовать вместо твика реестра.
+
Дополнилось описание зловреда, это позволит дополнить первую часть первого поста.

[Alextnt]

Огромный респект авторам лечилки...

[akok]

Обновился твик и скрипт AVZ (ссылки в посте №3). Теперь подлежат решению и такие проблемы