Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Friday, August 19, 2011

lpdd.exe

Source
The unsafe files using this name are associated with the malware group:
  • System Back Door
File Name Aliases LPDD.EXE can also use the following file names:
  • SMSC.EXE
  • TYF[1].JPG
  • UPDATE.EXE
  • UI41.EXE
  • 33131893.DAT
  • 54966891.DAT
  • 77109486.DAT
  • 22343863.EXE
=========     ==========
Fuente
Descarga, Instala y/o Actualiza estas herramientas, pero no las ejecutes aùn:
CCleaner
Malwarebytes' Anti-Malware
Ahora ejecuta de una por una y respetando estrictamente el orden:
a) CCleaner como indica su Manual en la opcion de Limpiador y Registro.
  • Se recomienda hacer una copia de seguridad en la ejecución de la opción Registro
b) Malwarebytes' Anti-Malware como indica su Manual
  • En la opción de Análisis Completo, al finalizar pulsas Mostrar resultados
  • Verificas que todo este seleccionado y pulsas Eliminar seleccionados
  • Si te lo solicita debes aceptar el Reinicio del sistema.
c) Realiza un examen en linea con ESET Online Scanner como indica su Manual
  • Al finalizar el examen no olvides Guardar el Reporte en el escritorio u otra locación
Pega los siguientes reportes:
  • Malwarebytes' Anti-Malware
  • ESET Online Scanner
si no.. en modo seguro
-------------------------
Desactiva Restaurar Sistema
Descarga y ejecuta USBFix como indica su Manual
  • Eliges la opcion de Supresion
Con Internet Explorer ingresa a la pagina de Panda ActiveScan 2.0
  • Realiza un examen como indica su Manual
Pega los reporte de panda ActiveScan y USBFix en la siguiente respuesta.
=========     ==========
http://forum.html.it/forum/showthread.php?s=3c793d2429231e0378ad7abe12d7d482&threadid=1471340&perpage=15&highlight=&pagenumber=1

URL: file://C:\WINDOWS\system32\lpdd.exe
Process: file://C:\WINDOWS\System32\svchost.exe
Infection: win32:Trojan-gen
----------------
scarica Hijackthis
http://www.trendsecure.com/portal/e...hijackthis.php#
1) crea una cartella dedicata e scompattalo al suo interno
Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup

2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum

------------
ci sono delle voci poco convincenti vediamo di controlare ill pc piu' a fondo
scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt
come usare correttamente combofix
--------------


se ancora non lo hai fatto rimuovilo con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
prova a scaricarlo nuovamente e rinominalo durante il download
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file
allegalo su wikisend
-----------------
Scarica e installa malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

dopo riprova a scaricare combofix e vedi se da lo stesso errore
-----------------
vai qui e amalizza il file che avsst continua a segnalarti
c:\windows\system32\lpdd.exe
salva la pagina e posta il link per il controllo
-------------
scarica CKScanner sul desktop
doppio clic sull'icona CKScanner.exe per lanciare il programma e quindi clic sul pulsante Search For Files.
Quando la scansione è terminata (- il cursore clessidra scompare quando la scansione è completata), clicca sulla lista pulsante Save to File. verrà creata sul desktop --- > ckfiles.txt
-------------
prima di finire e prima delle pulizie fammi questa scansione dovrebbe togliere qualcosa
Scarica sulk desktop questo programma clicca sulla sua icona e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt
-------------
controlla il sistema con questo se dovesse uscire ancora quell'errore fai un controllo con dds
Doppio clic per avviare il file dds.scr, si apre una finestra dos, a fine scansione si apriranno 2 report,salvali con il nome che hanno e inseiscili su wikisend
------------
i due file che avenger non ha eliminato in quanto assenti io li vedo
c:\windows\system32\lpdd.exe
c:\windows\system32\ui41.exe
prevx li considera una Back Door e non finisce qui....il lpdd.exe si porta con se una bella famigliola tra cui anche ui41.exe
http://www.prevx.com/filenames/2236...1/LPDD.EXE.html
ora fai in questo modo
disattiva il ripristino e lascialo disattivato
rimuovi avast e java da pannello di controllo
ripeti la pulizia del registro e dei file temp come ti ho indicato prima
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" questo testoCitazione:
Files to delete:
c:\windows\system32\lpdd.exe
c:\windows\system32\ui41.exe
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
----------------
quel messaggio generic host processo for win32 servidces è stato chiuso e' generico bisognerebbe vedere cosa o chi lo provoca proviamo a controllare meglio il sistema ma ti anticipo che non e' assicurato il successo, solo una controllatina a qualcosa fuori posto soprattutto quella cartella della quale non mi fido (anche se tu non la vedi) voglio fare una verifica
Scarica systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.
---------------
ecco
file zip su megaupload http://www.megaupload.com/?d=EAVWJMDC
report.txt su wikisend report.txt
----------------
controllando il rapporto abbastanza velocemente mi sono soffermato su queste cartelle
C:\WINDOWS\system32\1040
C:\WINDOWS\system32\1033
se non le conosci, eliminale
-----------------
non capisco da dove si generano queste infezioni ma forse ne abbiamo gia' parlato....
se hai ancora combofix rimuovilo con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
scaricalo nuovamente da qui e mettilo sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
non usare il pc durante la scansione, nemmeno il mouse!
===================
scusatemi se intervengo.
Si tratta di un'infezione dovuta ad un net-worm.
Il pc è in una LAN?
Scarica ed installa un firewall, oltre al traffico in http (TCP 80) verifica i dati in-out verso le porte
21 - 22 - 42 - 69 - 135 - 443 - 445 - 1433
http://personalfirewall.comodo.com/free-download.html
===================
elimina la cartella qoobox se dovesse darti accesso negato o altro usa Inherit
mettilo nella stessa directory della cartella BackEnv e poi trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.
Poi potrai eliminare la cartella qoobox.
fai pulizia con ccleaner ( eseguilo due volte)
poi vai in provvisoria e scansiona il sistema con avira, vediamo cosa esce
----------------
andando un po a spulciare cosa sono quei trojan, ho trovato questa discussione che dice che non c'è nessun modo per eliminarlo
http://it.answers.yahoo.com/questio...20084842AAvhvYT
-----------------
Pensi d'avere un file infetto?
Invialo a
SuspectFile

http://amvinfe.myblog.it

-----------------
ho installato comodo : come faccio per far scansionare o bloccare quelle porte?
vai nella sezione "Firewall", apri "Eventi Firewall" e verifichi quali porte vengono utilizzate e da quali processi.
Se devi bloccare un'applicazione, portati nella scheda "Definire una nuova applicazione bloccata".
-----------------
l'unica cosa e' che ora hai due antivirus quello di comodo e avira
fixa queste righe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)
se non le conosci fixa anche queste
O17 - HKLM\System\CCS\Services\Tcpip\..\{C17DE59B-0A60-453E-99D6-F665C548C347}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{C17DE59B-0A60-453E-99D6-F665C548C347}: NameServer = 156.154.70.25,156.154.71.25




No comments: