Ошибка при запуске C:\Windows\system32\crexv.ocx

[ksv87]

Доброго времени суток!

Заранее прошу извинения за возможно неправельно созданную тему или донесения информации, так как не очень компетентен в пониманиях вирусов.

После включения компьютера появилась ошибка и выскакивает каждые пол минуты: Ошибка при запуске C:\Windows\system32\crexv.ocx.

Подумал что вирус и запустил утилиту антивируса Др. веб, она удалила несколько файлов в том числе и crexv.ocx. Ошибка больше не выскакивает, но панель задач работает с ошибками и не открыветься меню ПУСК.

Подскажите пожалуйста как действовать в данной ситуации? Можно ли восстановить файлы или переустанавливать виндовс. Проверил компьютер с помощьою avz4 (согластно поста http://forum.kaspersky.com/index.php?showtopic=218224).

Файл отчета в теме.

Заранее благодарен!

KL_syscure.zip

KL_syscure.htm

KL_syscure.xml

Изменено 28 июля, 2012 пользователем ksv87

[Mark D. Pearlstone]

Выполните правила раздела нашего форума http://forum.kasperskyclub.ru/index.php?showtopic=31551

[ksv87]

Сделал как Вы просили.

Новые файлы.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('c:\temp\alsysio64.sys','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
DeleteFile('c:\temp\alsysio64.sys');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\WindowsNT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('ALSysIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

F2 - REG:system.ini: UserInit=userinit.exe

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

[ksv87]

Файл quarantine.zip отправил, на почту пришло письмо: This file is corrupted. Не понимаю в чем проблема, нужно еще раз выполнить действие?

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

mbam_log_2012_07_28__11_57_05_.txt

[icotonev]

Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

 

Да, ..!

 

 

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

 

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

[ksv87]

файлы AVZ; RSIT

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[icotonev]

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

 

Эта процедура выполнена ?

[ksv87]

Да. удалил

[icotonev]

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe','');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Опять подготовить новые логи с АВЗ и RSIT...!

[ksv87]

Файл quarantine.zip отправил. Вот что пришло на почту:

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

quarantine.zip

 

This file is corrupted.

 

Best Regards, Kaspersky Lab

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[icotonev]

Да. удалил

 

Где дневник..?

 

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Подробнее читайте в руководстве

 

 

Скачайте ComboFix здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

[ksv87]

Дневник сброшу позже. сейчас идет проверка

 

Строка

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

снова есть. Но я ее уже 2 раза удалял

DDS.txt

Attach.txt

ComboFix.txt

mbam_log_2012_07_28__14_41_12_.txt

[icotonev]

FAQ по работе с Malwarebytes Anti-Malware

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

ClearJavaCache::

DDS::
mExplorerRun: [9840] C:\ProgramData\Local Settings\Temp\msakia.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[ksv87]

Если что не так делаю, простите... уже немного туплю.

ComboFix.txt