Перейти к содержанию

Ошибка при запуске C:\Windows\system32\crexv.ocx


Рекомендуемые сообщения

Доброго времени суток!

Заранее прошу извинения за возможно неправельно созданную тему или донесения информации, так как не очень компетентен в пониманиях вирусов.

После включения компьютера появилась ошибка и выскакивает каждые пол минуты: Ошибка при запуске C:\Windows\system32\crexv.ocx.

Подумал что вирус и запустил утилиту антивируса Др. веб, она удалила несколько файлов в том числе и crexv.ocx. Ошибка больше не выскакивает, но панель задач работает с ошибками и не открыветься меню ПУСК.

Подскажите пожалуйста как действовать в данной ситуации? Можно ли восстановить файлы или переустанавливать виндовс. Проверил компьютер с помощьою avz4 (согластно поста http://forum.kaspersky.com/index.php?showtopic=218224).

Файл отчета в теме.

Заранее благодарен!

KL_syscure.zip

KL_syscure.htm

KL_syscure.xml

Изменено пользователем ksv87
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 64
  • Создана
  • Последний ответ

Топ авторов темы

  • ksv87

    31

  • akoK

    18

  • icotonev

    12

  • thyrex

    2

Здравствуйте..!

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('c:\temp\alsysio64.sys','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
DeleteFile('c:\temp\alsysio64.sys');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\WindowsNT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('ALSysIO');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

F2 - REG:system.ini: UserInit=userinit.exe

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

Ссылка на комментарий
Поделиться на другие сайты

Файл quarantine.zip отправил, на почту пришло письмо: This file is corrupted. Не понимаю в чем проблема, нужно еще раз выполнить действие?

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

mbam_log_2012_07_28__11_57_05_.txt

Ссылка на комментарий
Поделиться на другие сайты

Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял?

 

Да, ..! :drinks:

 

 

Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций.

 

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

Ссылка на комментарий
Поделиться на другие сайты

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

 

Эта процедура выполнена ?

Ссылка на комментарий
Поделиться на другие сайты

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\hasplms.exe','');
QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe','');
QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe','');
DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe');
DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Опять подготовить новые логи с АВЗ и RSIT...! :drinks:

Ссылка на комментарий
Поделиться на другие сайты

Файл quarantine.zip отправил. Вот что пришло на почту:

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

quarantine.zip

 

This file is corrupted.

 

Best Regards, Kaspersky Lab

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Да. удалил

 

Где дневник..?

 

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Подробнее читайте в руководстве

 

 

Скачайте ComboFix здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

Ссылка на комментарий
Поделиться на другие сайты

Дневник сброшу позже. сейчас идет проверка

 

Строка

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято.

снова есть. Но я ее уже 2 раза удалял

DDS.txt

Attach.txt

ComboFix.txt

mbam_log_2012_07_28__14_41_12_.txt

Ссылка на комментарий
Поделиться на другие сайты

FAQ по работе с Malwarebytes Anti-Malware

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

ClearJavaCache::

DDS::
mExplorerRun: [9840] C:\ProgramData\Local Settings\Temp\msakia.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • para87
      Автор para87
      Я обнаружил что системная папка Windows  стала весить  200+ гб Я ОФЕГЕЛ КАК ТАК . Я удалил  через выполнить весь  %temp% и  %WinDir%\Temp также точки восстановления. После перезагрузки папка windows стала в норму. А дальше в течении 5 чесов работы  пк папка system32 стала увеличивается  и также растет до 100+ гб перегружаем комп и диск освобождается. Дальше ПК работает файлы снова растут в папке system32. за 5 чёсов папка разрослась до 100+гб.  перегружаем пк и снова диск освободился  ПК работает и снова начала расти в папка system32. до 100гб+ В диспетчере задач активность дика С была в мб/с в простои пк. Не долго думая я удалил раздел диска  "С" И переустановил Windows.  Щас все прекратилось больше папка не растет активность диска в диспетчере стало в кб/с а была в мб/с.  И что такое могло быть? Касперский + при полной проверки не чего не находил.  Система такая Windows 11 Pro  сборка 26100.3323. Щас все хорошо написал потому что меня такое очень удивила что это такое было кто сталкивался с таким напашите может я зря венду снес.
      Windows
    • Alonya
      Автор Alonya
      Вылетает ошибка при открытии редактора реестра "ошибка 0xc0000017 при попытке запуска regedit" скорее всего вирус, подхвачен был при установки обхода блока дискорда
    • khorboro
      Автор khorboro
      Доброго времени суток! При запуске системы открывается microsoft IE со страницей сайта казино. Проверил систему c dr.web cureit, нашелся trojan.starter, вылечен с помощью утилиты cureit. При перезагрузке компьютера проблема осталась. Проверил повторно cureit'ом и AVZ, проблем не нашлось. Логи прилагаю, проверьте, пожалуйста. Заранее спасибо!

      CollectionLog-2020.07.20-10.49.zip
    • ArtemAfonin
    • LØNEX
      Автор LØNEX
      при запуске regedit вылетает такая ошибка. я уже все перепробовал - и scannow, и различные проверки диска (в том числе в безопасном режиме), системный диск также чистил, ничего не помогает. есть подозрение на вирусы, проверял комп KVRT, нашел троян, вроде его больше нет, но ошибка все еще есть. прошу помочь


×
×
  • Создать...