svchost.exe - Application Error

[Snoopy]

Цъкам си снощи и изведнъж нещо ми натовари на 100% процесора.

Гледам в Task Manager 296.exe натоварва. Викам си това е някаква гад, end process давам search и трия 296.exe от c windows system32 drivers. Гася PC-то.

 

Пускам днес машината и svchost.exe - Application Error

 

http://www.piccdrop.com/images/1230216439.png

 

Давам OK и се появява System Shutdown брояч.

 

http://www.piccdrop.com/images/1230216504.jpg

 

След това се реска машината.

 

Потърсих какво е 296.exe в google http://www.google.com/search?client=opera&...-8&oe=utf-8 Накакъв Malware.

 

Направих си едно копие на 296.exe в .rar и го качих в rapidshare да си го имам ако потрябва нещо.

 

Пуснах CCleaner, изчисти, пуснах скан в антивирусната, нищо не откри.

 

Препоръчаха ми да напиша в Run shutdown /a, за са спра таймера.

Направих го, спях го, но започна много да лагва системата.

Дадох му рестарт и пак се показа svchost.exe - Application Error

 

Реших да направя няколко лога:

 

Event Viewer:

 

Faulting application services.exe, version 5.1.2600.2180, faulting module unknown, version 0.0.0.0, fault address 0x09002124.

 

http://www.piccdrop.com/images/1230217422.gif

 

HijackThis:

 

http://bittersweet-place.com/svchost/hijackthis.txt

 

AutoRuns:

 

http://bittersweet-place.com/svchost/AutoRuns.txt

 

ESET SysInspector:

 

http://bittersweet-place.com/svchost/SysIn...081225-1656.xml

 

Някой има ли идея как да го разкарам този svchost без да се прибягва до крайната мярка - преинстал на бозата.

 

Става въпрос за XP Professional SP2

[Maniac]

Прикрепи към поста си този файл:

c:\windows\system32\mmmcchcc.dll

[Snoopy]

Прикрепи към поста си този файл:

c:\windows\system32\mmmcchcc.dll

 

Ето го:

 

http://bittersweet-place.com/svchost/mmmcchcc.dll

[Maniac]

Благодаря!

 

Отвори HiJackThis, избери Do a System Scan only и сложи отметки на следните редове:

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmcchcc.dll

O23 - Service: Adobe Version Cue CS3 - Unknown owner - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)

O23 - Service: Google Update Service (gupdate1c8e198e81390c) (gupdate1c8e198e81390c) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)

 

Накрая избери Fix Checked.

 

П.П.: Направи нов лог от AutoRuns, но този път, преди да го запазиш, влез в Options -> Hide Microsoft Entries и тогава File -> Save As.

[Night_Raven]

Бих ти предложил да сканираш системата си със SUPERAntiSpyware и Malwarebytes' Anti-Malware.

 

P.S.: лог от Autoruns се вади чрез File -> Export As.

[Snoopy]

Maniac

 

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmcchcc.dll)

Error #5 - Invalid procedure call or argument

 

Please email me at merijn@spywareinfo.com, reporting the following:

* What you were trying to fix when the error occurred, if applicable

* How you can reproduce the error

* A complete HijackThis scan log, if possible

 

Windows version: Windows NT 5.01.2600

MSIE version: 7.0.5730.11

HijackThis version: 1.99.1

 

This message has been copied to your clipboard.

Click OK to continue the rest of the scan.

 

Night_Raven

 

Сега ще я сканирам

[Snoopy]

Anti-Malware намери две гадини - 265.exe и 843.exe

 

http://www.piccdrop.com/images/1230278944.gif

 

Изтрих ги, реснах и пак се появява това съобщението за svchost.com :/

[Maniac]

Да, обаче точно mmmcchcc.dll явно не го засича. Ще им го изпратя. За да го изтриеш направи следното:

 

Изтегли The Avenger

http://swandog46.geekstogo.com/avenger.zip

 

1. Разархивирай The Avenger в негова собствена папка

2. Изтеглете скрипт файла за програмата от:

http://4storing.com/pteer/945de203412978e4...bd1784be12.html

 

3. Стартирай exe файла на The Avenger

4. Избери Load script и посочи пълният път до script.txt

5. Избери бутона "Execute". Това ще задейства The Avenger

 

Потвърди рестарт на машината , когато бъдеш попитан за това. След рестартиране , опасните файлове би трябвало да са елиминирани. След рестартиране , The Avenger ще изскочи с един текстов файл . Моля , копирай цялото му съдържание в отговор на този post. Така ние ще можем да проследим какво е свършила програмата.

[Snoopy]

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

File "C:\WINDOWS\system32\mmmcchcc.dll" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

Реснах машината, не се появи error-a. Зарадвах се.

 

НО

 

След малко се появи 796.exe в Task Manager-a и пак ми натовари процесора до 100% :'(

 

Дадох му end process. Предполагам че като ресна пак машината, пак ще се появи svchost.exe error-a

 

Деба и гадовете скапани

 

Edit: Дадох search за mmmcchcc.dll, има го само в back up dir-a на avenger

[Maniac]

Остави този процес активен и докато той е активен, направи лог от ESET SysInspector.

[Night_Raven]

Аз пък искам да съм сигурен какво е направила MBAM. Стартирай Malwarebytes' Anti-Malware, иди на подпрозорец Logs, отвори лога от сканирането и му копирай съдържанието тук.

[Snoopy]

Остави този процес активен и докато той е активен, направи лог от ESET SysInspector.

328.exe

 

http://bittersweet-place.com/svchost/SysIn...081226-1150.xml

 

 

Аз пък искам да съм сигурен какво е направила MBAM. Стартирай Malwarebytes' Anti-Malware, иди на подпрозорец Logs, отвори лога от сканирането и му копирай съдържанието тук.

 

Scan type: Quick Scan
Objects scanned: 59806
Time elapsed: 9 minute(s), 35 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 10

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysguard (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\sysguard.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN13.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN14.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN16.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Niki\Desktop\Services.png (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Niki\Desktop\svchost.png (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\265.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\843.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

 

След това reboot-нах, видях че файловете ги има в Quarantine таба и им дадох Delete All

 

След това съм правил още 4-5 quick scan-a и нищо не открива, както и Super AntySpyware.

 

Пуснах един път Full Scan в MBAM, вече 2 часа сканираше C: (имам много документи на desctopa..), но ми спря тока и не съм пускал отново Full Scan, но нищо не беше открило през тези 2 часа сканиране.

[Maniac]

Направи следното:

 

Изтеглете Gmer

http://www.gmer.net/gmer.zip

 

Създайте нова папка в главната си директория (примерно C:\Gmer )

Разархивирайте gmer.zip в C:\Gmer и стартирайте exe файла с име gmer.

 

1. При първо стартиране , програмата ще Ви информира за следи от rootkit заплахи след кратката си проверка.

2. Единствената настройка , която е добре да промените е да махнете отметката от Registry (т.е. програмата да не сканира в регистрите на Windows) .

3. Натиснете бутона Scan , за да започне сканиране.

Сканирането обикновено отнема време - бъдете търпеливи . Ще се показват различни неща , но не всичко ще са заплахи . Обикновено в червено са скритите/опасните неща.

4. Когато сканирането приключи натиснете Save и запазете log файла някъде на твърдия си диск

5. Изберете да запазите файла някъде и след това го прикрепете към поста си.

[Night_Raven]

Аз пък бих препоръчал едно пускане на ComboFix. Теглиш, спираш всички излишни приложения, стартираш ComboFix, не се стряскаш от писукания, потвърждаваш с Yes на всички съобщения и изчакваш да приключи сканирането. Ако ти се поиска рестарт, се съгласяваш и пишеш съответната буква в прозореца. Накрая можеш да пуснеш съдържанието на C:\ComboFix.txt тук в темата.

[B-boy/StyLe/]

Само ще добавя, че е добре Combofix да се стартира с тази команда, за да се избегнат евентуални конфликти с програмите за защита.

 

1. Спрете System Restore:

 

Десен бутон на My Computer => Properties => System Restore => слагаш отметка пред Turn Off System Restore

Start => run => cleanmgr => More Options => System Restore => Clean UP

 

2. Спрете защитата в реално време на антивирусната си програма.

 

Изтеглете инструмента Combofix:

 

Запазете го на десктопа.

 

Веведете следната команда:

 

http://img.photobucket.com/albums/v624/29wood/ka.png

 

"%userprofile%\desktop\combofix.exe" /killall

 

Копирайте съдържанието на лог файла в следващия си пост.

 

Аз също ще поискам един резултат, но чак след като завършите проверките с програмите на колегите за да не стане каша !

 

TrendMicro Sysclean

 

http://www.trendmicro.com/global/en/images/header-logo.gif

 

Изтеглете следните 3-части:

 

[*]Sysclean Package

[*]Virus Pattern Files

[*]Spyware Pattern Files

 

Направете папка в C:\ с име DCE

Копирайте там и 3-те изтеглени файлове.

Разархивирайте lpt733.zip и ssapiptn717.zip.

Стартирайте sysclean.com => уверете се, че има поставени следните отметки:

 

http://img293.imageshack.us/img293/6662/74939363qc7.jpg

 

Изберете бутона SCAN.

След края на проверката, отворете отново папката C:\DCE и отворете файла sysclean.log.

Копирайте съдържанието му в следващия си пост !