Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Ошибка при запуске C:\Windows\system32\crexv.ocx

ksv87

Автор ksv87
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ksv87 Постоялец

ksv87

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

Заранее прошу извинения за возможно неправельно созданную тему или донесения информации, так как не очень компетентен в пониманиях вирусов.

После включения компьютера появилась ошибка и выскакивает каждые пол минуты: Ошибка при запуске C:\Windows\system32\crexv.ocx.

Подумал что вирус и запустил утилиту антивируса Др. веб, она удалила несколько файлов в том числе и crexv.ocx. Ошибка больше не выскакивает, но панель задач работает с ошибками и не открыветься меню ПУСК.

Подскажите пожалуйста как действовать в данной ситуации? Можно ли восстановить файлы или переустанавливать виндовс. Проверил компьютер с помощьою avz4 (согластно поста http://forum.kaspersky.com/index.php?showtopic=218224).

Файл отчета в теме.

Заранее благодарен!

KL_syscure.zip

KL_syscure.htm

KL_syscure.xml

Изменено пользователем ksv87
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 64
  • Создана
  • Последний ответ

Топ авторов темы

  • ksv87

    31

  • akoK

    18

  • icotonev

    12

  • thyrex

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

akoK
akoK

Утро вечера мудренее. Основное заражение сняли, будем долечивать не в таком авральном режиме

Изображения в теме

icotonev Опытный

icotonev

Опубликовано
Опубликовано

Здравствуйте..!

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('c:\temp\alsysio64.sys','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
DeleteFile('c:\temp\alsysio64.sys');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\WindowsNT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('ALSysIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

F2 - REG:system.ini: UserInit=userinit.exe

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

Ссылка на комментарий
Поделиться на другие сайты
ksv87 Постоялец

ksv87

Опубликовано
  • Автор
Опубликовано

Файл quarantine.zip отправил, на почту пришло письмо: This file is corrupted. Не понимаю в чем проблема, нужно еще раз выполнить действие?

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

mbam_log_2012_07_28__11_57_05_.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

 

Да, ..! :drinks:

 

 

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

 

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

 

Эта процедура выполнена ?

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe','');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Опять подготовить новые логи с АВЗ и RSIT...! :drinks:

Ссылка на комментарий
Поделиться на другие сайты
ksv87 Постоялец

ksv87

Опубликовано
  • Автор
Опубликовано

Файл quarantine.zip отправил. Вот что пришло на почту:

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

quarantine.zip

 

This file is corrupted.

 

Best Regards, Kaspersky Lab

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
Да. удалил

 

Где дневник..?

 

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Подробнее читайте в руководстве

 

 

Скачайте ComboFix здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

Ссылка на комментарий
Поделиться на другие сайты
ksv87 Постоялец

ksv87

Опубликовано
  • Автор
Опубликовано

Дневник сброшу позже. сейчас идет проверка

 

Строка

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

снова есть. Но я ее уже 2 раза удалял

DDS.txt

Attach.txt

ComboFix.txt

mbam_log_2012_07_28__14_41_12_.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано

FAQ по работе с Malwarebytes Anti-Malware

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

ClearJavaCache::

DDS::
mExplorerRun: [9840] C:\ProgramData\Local Settings\Temp\msakia.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • para87
      растет папка system32
      Автор para87
      Я обнаружил что системная папка Windows  стала весить  200+ гб Я ОФЕГЕЛ КАК ТАК . Я удалил  через выполнить весь  %temp% и  %WinDir%\Temp также точки восстановления. После перезагрузки папка windows стала в норму. А дальше в течении 5 чесов работы  пк папка system32 стала увеличивается  и также растет до 100+ гб перегружаем комп и диск освобождается. Дальше ПК работает файлы снова растут в папке system32. за 5 чёсов папка разрослась до 100+гб.  перегружаем пк и снова диск освободился  ПК работает и снова начала расти в папка system32. до 100гб+ В диспетчере задач активность дика С была в мб/с в простои пк. Не долго думая я удалил раздел диска  "С" И переустановил Windows.  Щас все прекратилось больше папка не растет активность диска в диспетчере стало в кб/с а была в мб/с.  И что такое могло быть? Касперский + при полной проверки не чего не находил.  Система такая Windows 11 Pro  сборка 26100.3323. Щас все хорошо написал потому что меня такое очень удивила что это такое было кто сталкивался с таким напашите может я зря венду снес.
      Windows
    • alex_01_02_03
      [РЕШЕНО] ошибка 0xc0000017
      Автор alex_01_02_03
      Здравствуйте, я уже видел несколько решений данной проблемы. но мне они не помогли уже два дня пытаюсь её решить. Сначала просканировал систему нашёл пару троянов и разные ошибки. Устранил их. Перезагрузил пк не помогло. Далее следовал указаниям изложенным по данной проблеме на вашем сайте. Ничего не помогало. Редактор реестров не запускается, в командной строке, при выполнении команд, возникает данная ошибка. Итак же многие другие службы не запускаются, например не могу даже восстановить систему, появляется эта ошибка. Появилась она когда я захотел обойти блокировку discord м Youtube.
       Farbar Recovery Scan Tool вообще запускается и сразу закрывается, тоже самое с браузером яндекс, чтобы его запустить Farbar Recovery Scan Tool мне нужно выключить пк и включить и как только он включится запустить сканирование в течении 10-15 секунду, при сканировании вылетает ошибка 0xc0000017  раза три, но продолжает сканировать.

      CollectionLog-2025.04.24-22.39.zip
    • Maxxx
      [РЕШЕНО] Не получается выполнить установку антивирусных программ. Не запускаются, выдают ошибки при запуске либо при установке.
      Автор Maxxx
      Обычное дело, сидел играл, вдруг игра свернулась, резко открылась какая-то командная строка что-то выполнила и закрылась. Понял что случалась беда. 
      При попытке открыть в браузере что-либо про майнер и прочее, сразу закрывались видео, сайты по решениям проблемы, любые антивирусные сайты и т.д, все что вероятно может помочь. Долго промучился, получилось что-то наклацать и теперь могу заходить на сайты и скачивать подобные файлы. 
      Попытался установить malwarebytes, устанавливается, но не открывается, не создается папка ( фото приложу )
      Dr. Web сканирует, но ничего не находит 

      CollectionLog-2025.04.26-17.19.zip
    • Alonya
      [РЕШЕНО] ошибка 0xc0000017 при попытке запуска regedit скорее всего вирус
      Автор Alonya
      Вылетает ошибка при открытии редактора реестра "ошибка 0xc0000017 при попытке запуска regedit" скорее всего вирус, подхвачен был при установки обхода блока дискорда
    • saha96
      Список пользователей при запуске
      Автор saha96
      Доброго времени суток! Кто может подсказать как вернуть список пользователей при запуске windows 10? На экране блокировки отображается 1 из 3 учёток.
×
×
  • Создать...