В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Как удалить бэкдор crexv и восстановить нормальную работу меню Пуск в XP/Vista/Seven

отредактировано ноября 2018 Раздел: Форум лечения заражений
imageв июле-августе на компьютерных форумах был пик обращений пользователей с проблемой: после очистки антивирусом заражения системы перестает нормально работать меню Пуск в системах: либо блокируется кнопка Пуск (в Vista/Seven/Windows 8), либо вместо элементов меню появляется черный квадрат (XP/W2k3). По моим наблюдениям поиск решения происходил одновременно на kompasnet.org, virusinfo.info, pchelpforum.ru, safezone.cc.

с помощью анализа образа автозапуска в Universal Virus Sniffer была найдена причина блокировки Пуск. Модуль crexv.ocx при установке бэкдора перезаписывался в CLSID вместо системных объектов: SHELL32.dll, wbemsvc.dll. Таким образом, после очистки файла crexv.ocx штатными антивирусами или сканерами
----------
Полное имя C:\PROGRAMDATA\CREATIVE\CREXVX.OCX
Имя файла CREXVX.OCX
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
www.virustotal.com 2012-08-27 [2012-07-26 18:39:14 UTC ( 1 month, 2 weeks ago )]
Avast Win32:Malware-gen
Kaspersky Backdoor.Win64.Javik.a
BitDefender Trojan.Generic.7671642
DrWeb BackDoor.Siggen.47065
AntiVir TR/Javik.A
ESET-NOD32 Win64/Cerevx
----------
в реестре не восстанавливались нормальные значения ключей InProcServer32 в CLSID:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32

в качестве решения использовались твики восстановления нормального значения данных ключей
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}]
@="PSFactoryBuffer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
@="C:\\WINDOWS\\system32\\wbem\\wbemsvc.dll"
"ThreadingModel"="Both"
и
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Закрепление в меню ''Пуск''"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
однако и эти твики не всегда решали проблему поскольку для внесения исправлений в реестр в соответствующие ключи не хватало прав записи для группы Администраторов. (Разрешение на запись в данные ключи было только у Trustinstaller)

т.о. и созданный скрипт в uVS не всегда решал данную проблему. ( в Vista/Windows 7)
; редактируем значения ключей
exec reg add "HKLM\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32" /ve /t REG_SZ /d "%systemroot%\system32\wbem\wbemsvc.dll" /f
exec reg add "HKLM\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32" /v "ThreadingModel" /t REG_SZ /d "Both" /f
exec reg add "HKLM\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32" /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\SHELL32.dll" /f
exec reg add "HKLM\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32" /v "ThreadingModel" /t REG_SZ /d "Apartment" /f
для того чтобы добавить права учетной записи Администраторы мы использовали утилиту subinacl.exe, которая может управлять разрешениями в реестре.

SubInACL is a command-line tool that enables administrators to obtain security information about files, registry keys, and services, and transfer this information from user to user, from local or global group to group, and from domain to domain.

пример просмотра разрешений с помощью subinacl
subinacl.exe /noverbose /outputlog=test.txt /subkeyreg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32 /display
-------
========================================================================================================
+KeyReg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32
========================================================================================================
/control=0x400
/owner =builtin\Администраторы
/primary group =system
/audit ace count =0
/perm. ace count =9
/pace =builtin\Пользователи Type=0x0 Flags=0x10 AccessMask=0x20019
/pace =builtin\Пользователи Type=0x0 Flags=0x1a AccessMask=0x80000000
/pace =builtin\Опытные пользователи Type=0x0 Flags=0x10 AccessMask=0x3001f
/pace =builtin\Опытные пользователи Type=0x0 Flags=0x1a AccessMask=0xc0010000
/pace =builtin\Администраторы Type=0x0 Flags=0x10 AccessMask=0xf003f
/pace =builtin\Администраторы Type=0x0 Flags=0x1a AccessMask=0x10000000
/pace =system Type=0x0 Flags=0x10 AccessMask=0xf003f
/pace =system Type=0x0 Flags=0x1a AccessMask=0x10000000
/pace =СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Type=0x0 Flags=0x1a AccessMask=0x10000000
с помощью subinacl добавляем полные права (Full) на указанные ключи группе Администраторы (SID=S-1-5-32-544)
; добавляем админам полный доступ на ключ
EXEC subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32" /grant="S-1-5-32-544"=F
EXEC subinacl.exe /subkeyreg "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32" /grant="S-1-5-32-544"=F
далее, разработчиком uVS была выпущена 3.76b1-3 версия, которая в автоматическом режиме решает данную проблему,
удаляя бэкдор и восстанавливая в реестре правильные значения в соответствующих CLSID
;uVS v3.76 BETA3 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall CREXVX.OCX
delall %SystemRoot%\SYSWOW64\CREXV.OCX
deltmp
delnfr
restart
для получения правильного скрипта (поскольку могут быть вариации для различных систем с учетом разрядности, статуса контроля учетных записей (UAC в Vista/Seven/Windows 8) необходимо 3.76 (и выше) версией Universal Virus Sniffer создать образ автозапуска вашей системы и предоставить его хелперам форумов компьютерной помощи. Уверен, что скрипт лечения данной проблемы не заставит себя долго ждать! :).

(с), chklst.ru


Войдите или Зарегистрируйтесь чтобы комментировать.