Badaware" mixer.exe" C media Device )

[telarc]

Ciao a tutti . Sono iscritto al forum da qualche minuto e sono poco esperto di pc !!
Vorrei segnalarvi un problema di malware che si verifica nel mio pc un pentium 4 - 1GB di ram - - scheda madre asus p4p800s- scheda Video GEFORCE gx2500 nvidia.-Hard Disk Maxtor 80 GB- Windows XP prof -Service pack 3 - uso Browser Explorer 8 - Mozillla e l'eccellente GOOGLE chrome "" ...eccelente !!!
Puntualmente e sporadicamente mentre sto operando vedo apparire la finestra di questo messaggio ( esempio: stavo aprendo un avi con Real Player )

Microsoft visual C++ Runtime Library - Runtime Error
Program : C:// Windows \explore.exe
This application has requested the runtime to terminate an unusual way .Please contact the application support team for more informatione .



Premendo Ok dalla finestra del messaggio errore si resettano tutte le icone del desktop ..spariscono per un secondo...( .resta soltanto lo sfondo ) e dopo due tre secondi o piu ritorna tutto normale .Dopo qualche ora vedo il sistema che rallenta tantissimo .. Controllando il task manager vedo il processo "mixer.exe " che inizia a crescere e manda la cpu al 100% . ....(disastro tremendo ) . Ho fatto la prova a fermare questo processo e ricontrollando il task manager il processo "rundll32.exe" inizia a crescere e porta la CPU alla saturazione del 100%.
" Spybot S&D6.1.2 " trova "Cmedia Device .mixer.exe" ma non riesce ad eliminarlo e immunizzare completamente il pc !!
Il processo " mixer.exe " all 'accensione del pc non e' presente nei processi visualizzati dal task manager .

Che procedura posso eseguire ?
Infinitamente Grazie per tutti i consigli che potreste darmi !!

Rino



Note : uso AVG 7.5 -Prevx v3.0165
Firewall Windos - HJiack This -

[molixii]

il problema è in explorer cioè quello che fa visualizzare tutto in finestre, è un problema abbastanza complicato quindi ti consiglio di pazientare e aspettari i più esperti, ma sai adesso ci sono le ferie

nel frattempo ti consiglio di usare l'applicazione combofix scxaricabile gratuitamente su ComboFix | freeware, programma che ri solve la maggiorparte dei probelemi fa tutto da solo, se ci sono problemi dimmi pure
ps:ricordache quando lo fai partire devi disattivare momentaneamente l'antivirus

prova

ciao
davide

[scrambler_900]

combofix potrebbe già essere sufficiente ma fai molta attenzione a come lo usi


qui c'è una guida con immagini di supporto che ti spiega passo dopo passo cosa devi fare Olimpo Informatico :: Leggi argomento - Tools di rimozione virus


se combofix non fosse sufficiente prosegui con le scansioni qui di seguito

1) inizia con il disattivare il ripristino di configurazione di sistema (questo perchè i virus si nascondono spesso nei punti di ripristino) ,

da pannello di controllo --> clic su icona sistema --> clic sul tab Ripristino configurazione di sistema --> metti il flag nella casella che disattiva il ripristino --> clic su ok


quindi spegni e riaccendi il pc , questa volta però accendilo in modalità provvisoria (premi F8 )

2) da modalità provvisoria esegui una scansione completa con il tuo antivirus (aggiornato) elimina tutto ciò che riesci

terminata la scansione riavvia in modalità normale

3) a questo punto , scarica questo Malwarebytes Anti-Malware

lo trovi qui Malwarebytes.org

appena lo avrai installato , avvialo, vedrai la finestra principale che ha nella parte superiore una serie di linguette

clicca su aggiornamenti -- > controlla aggiornamenti -- > nella finestrellla di avviso clicca su ok al termine dell'aggiornamento del database

dopo clicca sulla linguetta scansione , seleziona e avvia la scansione COMPLETA al termine rimuovi eventuali infezioni che trova senza mettere nulla in quarantena


4) adesso è la volta di Hijack This
TrendSecure | Transaction Guard /hijackthis/download


Scarica HijackThis 2.0.2
Apri il programma HijackThis
Fai click sul pulsante "Do a System scan and save a logfile"
verrà visualizzato un file txt, che poi sarebbe il report dei risultati della scansione

Per l'interpretazione del log copialo e incollalo qui nel forum

ti diremo noi cosa eliminare


Il LOG di HijackThis va ottenuto in modalità normale altrimenti i problemi non compariranno nella lista.

HijackThis va eseguito in Modalità Provvisoria, solo per rimuovere i problemi.



5) dopo l'analisi con Hijack This, x maggior sicurezza fai una scansione on line con l'ottimo Kapersky

Kaspersky - Free Virus Scan - Kaspersky Lab

dovrai accettare di scaricare un activex ma è del tutto normale

6)quando hai terminato le varie operazioni , ripulisci tutto con ccleaner
CCleaner - Home

Guida completa Ccleaner
Guida completa Ccleaner*-*Assistenzafree

se il virus è stato rimosso riattiva il ripristino di configurazione sistema ( sempre se lo usi )

[telarc]

Ok ragazzi !!
Grazie per tutti questi consigli preziosi per sterminiare questo malware !!

Mi attivo e cerco di postarvi il log e di effettuare piu' prove possibili!!

[telarc]

Ho scaricato Malware bytes e il software ha trovato un troian e 3 adawarer nelle chiavi di registro !!!Ho riavviato il pc e i valori della CPU e la funzionalita' del SO sono ritornati normali . Ho messo in quarantena il materiale infetto !! Posso lasciarli in quarantena o devo eliminarli completamente ?

-----------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.40
Versione del database: 2581
Windows 5.1.2600 Service Pack 3

09/08/2009 0.08.16
mbam-log-2009-08-09 (00-32-47).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 158378
Tempo trascorso: 1 hour(s), 26 minute(s), 3 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{014da6c1-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{014da6cb-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{F5E178A1-0E00-45E0-B778-D8C83F4AD8A5}\RP657\A0137451.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[telarc]

Tutto Ok !!Mixer .exe e' stato sterminato !!Allego uno screnshot del Task Manager !La Cpu è ritornata a lavorare a valori normali !!
Grazie per la Vostra collaborazione !!

Rino