Zcfgsvc.exe

Witam,

To mój pierwszy post na tym forum więc witam wszystkich.

Mam następujący problem. Mianowicie jakiś czas temu pojawił się u mnie komunikat podczas startu windowsa zwiazany z kavo.exe. Poczytalem troche o tym wlasnie na tym forum. Wtedy użyłem progrmu ComboFix i SDFix. Myślałem że sie z nim uporałem bo na jakiś czas był spokój (problem dotyczy laptopa).

Teraz od jakiegoś czasu pojawia się komunikat podczas zamykania systemu z progamem Zcfgsvc.exe. System pyta się czy “zakończyć go teraz” jak nie klikne tego przycisku to system sie nie wyłączy. Jakby tego było mało kiedy próbowałem przenieść plik za pomocą pendrivu (byl foramtowany zanim nagralem pliki) na drogi komuter (stacjonarny udostepnia polaczenie wifi na laptopa przez kabel) program Avast wykryl wirusa- plik H:/p0sc9t.cmd nazwa: Win32:AuCrypt[crypt] niby robak/wirus. I na komputerze stacjonarnym nie mogę otworzyć tego kluczyka, pisze że nie mam uprawnień. Zamieszczam logi z następujących programów:

HijackThis v1.99.1

Silent Runners

Z góry dziękuje za odpowiedź.

fix w hijackthis

Log z Silent czysty

Podaj log z Combofix

Dzięki wielkie za tak szybką odpowiedź :wink:

To znaczy że to jest jakiś syf i musze go wykasować w trybie awaryjnym :?:

Log z Combofix

Możesz w normalnym trybie

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\yp.bat

C:\sdc.bat

C:\2.cmd

C:\ocbqsqj.bat

C:\2jqj.bat

C:\p0sc9t.cmd

D:\p0sc9t.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82513766-740c-11dc-855e-ff71c564b34c}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfbc8214-7377-11dc-855c-b5757ec4e3bd}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wlej.org a w poście dajesz tylko link

Powstały log

Ten kavo.exe to chyba Combofix skasował.

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Zamieszczam raport. Niby wykrył 4 wirusy :?

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

Raport Chyba pomogło thx :slight_smile: Zrobie jeszcze raz skana tym antywirem.

wszystko usunięte powinno być OK

:slight_smile:

Raport znowu skaner wykazuje infekcje :frowning:

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

:slight_smile:

Spoko wszystko jest już ok na laptopie :slight_smile: Tylko mam jeszcze watpliwosci do do maojego stacjonarnego komutera zamieszcze logi z programów:

HijackThis v1.99.1

ComboFix

Silent Runners

Widzicie coś może co budzi podejrzenia?

Logi czyste choć Combo ucięty

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

Zrobione, nic nie wykrył dzięki wielkie za pomoc :wink: