Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

Кнопка Пуск не работает под одним пользователем

Здравствуйте!
Достался компьютер со следами crexv.ocx - были следы от него в реестре.
Не работает кнопка Пуск и панель задач неотображает запущенные приложения. Причем не работает под одним конкретеным пользователем. Под другими пользователями и локальным администратором проблем нет.
Изучил все схожие темы.
В параметрах:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
все правильно. На всякий случай, запускал скрипты Avz, приведенные в этой теме форума. Не помогает.
В какую сторону можно рыть?
 
Kamskiy, Потому что UAC был включен, поэтому другие пути и записи реестра! Я изменил одно значение и все заработало.. Какое? Точно сейчас не скажу..
 
Kamskiy, Потому что UAC был включен, поэтому другие пути и записи реестра! Я изменил одно значение и все заработало.. Какое? Точно сейчас не скажу..
Значение в реестре или еще где то?
 
На всякий случай, запускал скрипты Avz, приведенные в этой теме форума. Не помогает.
Нужно смотреть в кусте HКCU. Выгрузите копию реестра с проблемной машины, посмотрим.
 
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.
Windows Registry Editor Version 5.00

[-HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}]

[-HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Windows\Shell\AttachmentExecute\{4012DF06-0000-0400-5001-00000A030057}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Root Page"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\Main]
"Root Page"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\Settings]
"looker"=-

[HKEY_USERS\S-1-5-21-1618422463-95503110-3177952060-2197\Software\Microsoft\Internet Explorer\PhishingFilter]
"EnableU3"=-
 
+
Проверьте значения ключей
Код:
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32

и 
HKEY_CLASSES_ROOT\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
 
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.
[-HKEY_CURRENT_USER\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}]
перегрузитесь и проверьте.
 
Только перед выполнением скрипта, сделайте экспорт куста HKEY_CLASSES_ROOT.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKEY_CLASSES_ROOT',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
Kamskiy, еще нужен скрин проблемы.
Скрин сделать затруднительно - глюк проявляется в динамике: при нажатии на кнопку Пуск меню не открывается, при запуске приложений на панели задач запущенные приложения не отображаются.

Добавлено через 33 секунды
Скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Запустите файл и подтвердите добавление в реестр.

перегрузитесь и проверьте.

Сделано - не помогло.

Добавлено через 31 секунду
Только перед выполнением скрипта, сделайте экспорт куста HKEY_CLASSES_ROOT.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKCR ',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Сделано - не помогло.
 
Всем спасибо!
Проблему решил скритп akoK:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 RegKeyParamWrite('HKEY_CLASSES_ROOT',
                        'CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32','',
                          'REG_EXPAND_SZ',
                          '%SystemRoot%\system32\shell32.dll');
 RebootWindows(false);
end
Непонятно, конечно, ведь в этом ключе реестра и так было такое же значение (%SystemRoot%\system32\shell32.dll')
 
Там ключ был вида REG_SZ, а нужен REG_EXPAND_SZ.

Код:
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32
У кого какой вид ключа указан? Особенно интересует win7 32.
 
В связи с тем, что ?вредонос?* портит запись реестра в кусте HKEY_CLASSES_ROOT, произведено обновление методики устранения проблемы.


Добавлено через 1 минуту 30 секунд
* нет уверенности, что это отработал вредонос, а не кривое лечение одного из вендоров.
 
Последнее редактирование:
Назад
Сверху Снизу