Soluciones para el Isass.exe, troyano como el blaster.

Ese no se, pero el blaster era un gusano, no un troyano.

Y si este nuevo aprovecha la vulnerabilidad del RPC de windows NT, hace ya como un mes que salió un parche que lo soluciona. De todas maneras voy a meterle este parche que nunca está de más

Tienes razon confundí el termino, es un gusano. Pero bueno la cuestion es que siguiendo estos pasos que indico ya no tengo el problema de la ventanita como el blaster.

Gracias wasin por la info. Yo ayer me infecte con este virus, o lo que sea, y no tenia ni idea de solucionarlo (no habia nada de INFO en Internet, solo peña que se quejaba)...

El "truco" de:

wasin escribió:Lo primero os vais a inicio>ejecutar> escribis cmd > y en la ventana de comandos escribis > shutdown -a

Me va a venir pero que muy bien para futuros virus

Pero el Lsaas.exe no es un troyano ni un gusano ni na de na, de donde habeis sacao esa informacion, y por k un colega mio k tiene el XP y en ningun momento se ha conectao a internet y lo tiene?, por k no lo es, lo k tendreis infectado ese fichero pero en si, no lo es.

Aun asi teneis firewall, por k a mi no se me resetea.

Vamos a ver, el lsaas.exe no es un troyano ni digo que sea un troyano, el titulo del post tiene como finalidad que la gente identifique el problema ya que cuando aparece la ventanita parecida al blaster nos aparece el lsass.exe . Si alguien entra en el foro buscando solucion creo que viendo el titulo del post la encontrará. No discutamos mas si es un troyano o no, mi unica intención es que las instrucciones que he puesto les sirva a alguien como a mi me han servido.
Saludos

Vamos a ver, el lsaas.exe no es un troyano ni digo que sea un troyano, el titulo del post tiene como finalidad que la gente identifique el problema ya que cuando aparece la ventanita parecida al blaster nos aparece el lsass.exe . Si alguien entra en el foro buscando solucion creo que viendo el titulo del post la encontrará. No discutamos mas si es un troyano o no, mi unica intención es que las instrucciones que he puesto les sirva a alguien como a mi me han servido.
Saludos

Actualización de seguridad para Windows XP

Información del Sasser

Saludos.

weno haber ahora ME SALE lo k decis el aviso pero estoy haciendo eso de ejecutar y nada de nada
me kedan 11 minutos
yooo a mi me teneis k hablar en cristiano

lidita15 sigue los pasos que he puesto paso a paso. Esta en cristiano ;) Inicio>ejecutar>cmd>shutdown -a

me dice k no se reconoce un comando externo....

El problema con este nuevo Virus, es que aunque ejecutemos el parche de la página de microsoft nos seguirá dando error en un aspecto:

Al poco de navegar (con cualquier navegadot) este dejará de funcionar y parecerá que hemos perdido la conexión a internet, de igual modo, no podremos utilizar el Msn ni establecer nuevas conversas, aunque si mantener las que teniamos activadas (??¿).
A ver si aparece alguien que sepa como solucionarlo, ya que con el parche este no se arregla esto.

Os abeis fijado en el msn? no sale nada i no se puede conectar? sabeis algo de eso?

como se puede saber que ya no estamos infectados?

sigo =! nada de nada

EvilGouken escribió:El problema con este nuevo Virus, es que aunque ejecutemos el parche de la página de microsoft nos seguirá dando error en un aspecto:
Al poco de navegar (con cualquier navegadot) este dejará de funcionar y parecerá que hemos perdido la conexión a internet, de igual modo, no podremos utilizar el Msn ni establecer nuevas conversas, aunque si mantener las que teniamos activadas (??¿).
A ver si aparece alguien que sepa como solucionarlo, ya que con el parche este no se arregla esto.

A mi me pasa lo mismo,cn el parxe ya no se m reinicia pero pierdo la conexion cuando llevo un rato navegando....

Salu2

para los que pierden la conexion:

1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna "Nombre", la entrada "avserve", en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Toda esta informacion la podeis encontrar en:
http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1

Lidita15

Inicio->programas->accesorios->simbolo del sistema

ahi podras escribir el shutdown -a

Saludos!

Una puntualizacion ....el gusano se llama "Sasser" no Isass.

Suerte con el puto gusano este.

Solucionado. GRACIAS a todos los que han ayudado o participado

Ruego encarecidamente instalar ese parche y un buen antivirus.(el antivir Guard o similar)

holas:
siento a ver puesto el post sin haberme mirado los anteriores y descubrir q ya habia uno, es q llevo uns cuantas horas y no soluciono el problema.
Cuento: He estado mirando el dicho archivo avserve.exe y no lo encuentro en mi sistema, he encontrado algo en el registro (ya q no estaba donde se suponia) y tb una entrada q tenia msblast. Pero del resto no tengo ni idea de donde anda, no encuentro en el sistema ninguna archivo con ese nombre y en mi sistema no tengo nada q se te ejecutando en segundo plano, ni ahora q no se me reinica ni antes q lo hacia pero no habia nada con ese nombre. O yo he tenido suerte o no se, pero ya el virus no lo encuentro he actualizado el antivirus, he cerrado el famoso puerto ftp 5554, sino me equivoco, y no dejo q lsass.exe acceda a internet. No voy a actualizar el sistema pq el ordenata es de mi hermana (de la empresa) y lo q le voy a decir q el tio q se dedica a esto lo haga como dios manda (por cierto un poco inutil, na de actulizar el sistema, bueno, el tio debe vivir mu bien).
bueno con lo q me pase ya os contare.
salu2
kobayasy

yo estoy afectao con el virus este ya he instalado el parche, pero ahora que tengo que buscar la entrada en el registro el nombre avserve no me sale, alguna otra opcion? uso xp.thanx

Holas:
pa buscar en el registro una entrada, pones en ejecutar regedit.exe y en la ventana q aparece pones edicion>buscar>avserve.exe.
Yo he reiniciado vairas veces y he borrado esas entrada y siguen apareciendo y no donde ponen en anteriores post, por lo q me da q estas entradas son del propio registro de windows o este virus cambia mu rapidamente o no se.
salu2
kobayasy

ains, sinceramente, la de problemas que os evitaríais simplemente manteniendo vuestro equipo al día a través del Windows Update...

con ojear las actualizaciones cada semana bastaría... pero bueno, vosotros mismos... seguid así, que un día harán uno q os lo reviente todo y no podréis hacer nada

Holas:
si tienes toda la razon, pero tb esta claro q no todo el mundo no sabe hacer esas cosas (por muy facil q nos parezca) y cuando les pasa algo asi por el estilo, pues no saben lo q hacer, de todas formas no creo q sea mu gracioso a quien le pasa, como a mi q llevo unas cuantas horas hasta ya lo he solucionado y no gracias a tu ayuda (mas bien a q no es la primera vez q me paso algo por estilo y ya se por donde van los tiros)
salu2
kobayasy
Por cierto, he encontrado una info interesante para quien tenga ese problemas http://www.zonavirus.com/forophp/viewtopic.php?t=46 esta claramente explicado.

yo todavia no he tenido ningun signo de infeccion,,xo me quiero bajar la actualizacion y mi Windows Update no va :-S

Curioso cuanto menos.Me lo he tenido que bajar de uno de vustros links.

ZeusII escribió:ains, sinceramente, la de problemas que os evitaríais simplemente manteniendo vuestro equipo al día a través del Windows Update...

con ojear las actualizaciones cada semana bastaría... pero bueno, vosotros mismos... seguid así, que un día harán uno q os lo reviente todo y no podréis hacer nada

Si, eso queda muy guapo y tal con conexiones adsl o cable. Pero, ¿y los pobres q tienes tarifa plana o acaban d formatear el ordenador y nada más arrancar se les jode?
Madre q les parió, a este paso van a tener q sacar service packs cada mes de la cantidad d mierda q anda suelta por ahí

el numero de personas afectadas por acabar de formatear seguramente no llegará al 5% del total, a los demas, por mucho 56K que tengan, bajar los parches (q van saliendo poco a poco) no les cuesta nada, que yo he ido con modem muchos años y bien que me bajaba de todo, mas lento pero bajaba.

Yo no me refería a formatear debido a la infeccion por culpa d ese virus, sino a los usuarios q formatean y cada vez q formatean tiene q descargarse casi 100 mb d parches con un modem normal

A modo de sugerencia.....


Pa los que tengais router multipuesto.... o useis firewall.

Cerrad permanentemente el puerto 135 (y ya que estamos, aunque no tenga que ver con el topic, cerrad el 139 que esta cerquita del 135 !! )



Os evitareis muchos problemas

si, ya te he entendido antes, pero sigo pensando que cuando m$ avisa de que hay una vulnerabilidad grande y lanza un pequeño parche la gente deberia actualizar...

que por muy lenta que sea la conexión no hay pa tanto, y menos hoy que la mayoria de gente tiene tarifa plana...


pero bueno, ya paso esto con el blaster y a vuelto a pasar... siempre será así, pero no culpeis siempre a m$, ellos almenos hace 18 dias que publicaron el parche :/


Nota: Yo tengo ADSL, y aun así no me descargo cada vez los parches, los tengo todos bajados y guardados para no tener que bajarlos cada vez...

sigo = nada de nada k se keda aun el mensaje ese!
aun cuenta pa atras!

ayudaaaaaaaaaaaaaaaa

yo en el registro tenia el avserve ese ( que ya lo he quitao ) y un avserve2 ... tengo que quitarlo tambien?

Yo ninguno seguro k se propaga como el blaster? tengo el kerio por si acaso utilizarlo a ver.

Yo estoy haciendo lo k vosotros estais diciendo, pero no hay manera, mi virus o lo k sea se kiere kedar conmigo

ZeusII escribió:si, ya te he entendido antes, pero sigo pensando que cuando m$ avisa de que hay una vulnerabilidad grande y lanza un pequeño parche la gente deberia actualizar...

que por muy lenta que sea la conexión no hay pa tanto, y menos hoy que la mayoria de gente tiene tarifa plana...


pero bueno, ya paso esto con el blaster y a vuelto a pasar... siempre será así, pero no culpeis siempre a m$, ellos almenos hace 18 dias que publicaron el parche :/


Nota: Yo tengo ADSL, y aun así no me descargo cada vez los parches, los tengo todos bajados y guardados para no tener que bajarlos cada vez...

Pero los guardas, pero hay k clicar en cada uno para instalarlo? o hay alguna especie de instalacion automatica?

joer, me ha tenido todo el dia negro, al fin esta solucionado. es q es como el blaster y me extrañaba ya q estaba mega parcheado contra el.

ya se k soy pesada!
pero k de mi no se kiere ir!
aun no sa ido!
ayudarme!
porfiiii
graxias"

generalmente los parches mas "necesarios" estan para descargar directamente desde paginas de soporte de microsoft...

http://www.microsoft.com/downloads/search.aspx?displaylang=en&categoryid=7

aqui eliges el idioma de tu windows (ingles en mi caso) y te aparecen los mas importantes, incluso el necesario para evitar el virus actual, disponible desde el 12 de abril...


tambien hay el windows update "corporate", que ya he nombrado mas de una vez en estos foros:

http://v4.windowsupdate.microsoft.com/en/default.asp?corporate=true

con el q puedes descargar los parches...


o incluso instalaando los parches desde windowsupdate, puedes pillar los instaladores de las carpetas temporales que crea...

Gracias por tu ayuda zeus.

no es tan facil como tu lo ves. No todo el mundo esta tan al tanto de los virus que hay en todo momento. Yo me acabo de conectar y pam se me chusca esta mierda. Me conecto cada poco con mi modem y no puedo estar cada 2 x 3 perdiendo ancho de banda bajandome actualizaciones ni estar pendiente de si esta el parche ( y ya ni te cuento mi padre ). Lo que mas me jode es que tenia el zonealarm pero lo desconecte hace tiempo porque no me conectaba a internet... y ahora q lo hago... choffffff

47% de parche.... , aun me keda pa tiempo

los parches no son tan grandes...

y para estar al tanto no hace falta ni ir al windowsupdate, con apuntarse a una lista de correo como la de Hispasec (q aviso del parche dos dias después de su aparacion) o leer este foro o las noticias de eol (muchas veces se avisa) es suficiente...


creo que es una pequeña molestia a cambio de salvarse luego de todos estos problemas... y lo mas importante, de perder datos! cualquiera de estos virus podria ser mucho mas mortifero si lo deseara...

Pero lo mejor de todo, es que el parche que se usa para windows 2000 es el mismo que en mi caso hace que el equipo se quede casi colgado en el pantalla de logon, bajo determinadas circustancias, hace poco habia por aqui un post donde se comentaba el tema, asi que yo esa actualizacion no la tengo, de todas formas gracias al router estoy salvado.

Yo ni rastro de reinicio, ni rastro de aserver.exe en el disco duro ni nada, lo unico una entrada con dicho nombre en el registro

Y me extraña que me lo hayan colado con el BitDefender Professional 7.2 Antivirus & Firewall con una base de 76.387 firmas de virus y que se actualiza varias veces al dia

Aun asi estare al tanto.

Una preguntilla:

Estoy quitando el Sasser este de mi PC.
Ayer le pasé un cd a un amigo grabado con programas de mi disco duro, supongo que no hay riesgo de contagiar al colega, verdad?

Saludetes

Me parece q apagaré el movil, sino mis "amigos" me empezaran a bombardear a llamadas, me pasó con el primer blaster y me pasará con este

vamos a ver gente el problema es facil

si os sale la ventana de reiniciar haceis lo siguiente :

menude inicio/ ejecutar / cmd = os sale la ventana de consola de comandos / escribis shutdown -a y se cierra la ventana de reiniciar

ahora haceis un alt +ctrl + suprimir / os sale la ventana y elegis la de procesos . hay finalizais tarea de avserve.exe

ahora instalais el parche de microsoft

ahora haceis menu de inicio / buscar / archivos / y escribis avserve.exe y os vais a la carpeta donde esta el .exe y lo eliminais , al haberlo finalizado del arbol de procesos os dejara eliminarlo

y ahora ya podeis hacer lo del registro menu de inicio / ejecutar / regedit.exe / ahora buscais avserve.exe y os dara la entrada / la eliminais y listo

enga gente espero haberlo puesto bien claro

byer

Antes d nada, podrías hacer una cosilla, desconectais el cable d red, o el telefonico (habeis d desconectar intenret antes d q inicie windows) luego activais el firewall d windows mismamente (panel d control/conexiones d red/ propiedades/ avanzadas/ "servidor d seguridad" luego activais intenrnet nuevo y así no os saldra la ventanita, , esto seria una medida rápida xro eficaz, asi ya teneis tiempo d hacer limpieza.

PD: toy con zeus2, windows update sirve, ya que los parches no ocupan mas d 1 o 2 mb, podeis configurar windows para q os avise automaticmaente si hay alguna actualizacion crítica y estos problmeas se solucinarían.

salu2

ZeusII escribió:... y lo mas importante, de perder datos! cualquiera de estos virus podria ser mucho mas mortifero si lo deseara...

Dios mio, hablas igual que nuestro creador del melissa más internacional de todos los tiempos, jajaja y forero habitual.

Estoy d acuerdo contigo. Windows update es util y NECESARIO hoy en día con los tiempos q corren con todos esos "ociosos" explotando las vulnerabilidades del windows. Listas como las de Hispasec, alerta-antivirus, panda, mcafee y demás suelen advertir de dichos problemas

yo tengo el PC continuamente actualizado (se hace solo) y tengo en los precesos el Isass.exe

pongo la captura con los precesos por si veis algo raro mas