Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Wolverine en 22 de Octubre de 2003, 10:56:42 pm

Título: Isass.exe
Publicado por: Wolverine en 22 de Octubre de 2003, 10:56:42 pm
POST EDITADO POR DABO, WEBMASTER, A LAS 2,13 H DEL 3 DE MAYO

DESINFECCION DEL VIRUS W32/SASSER.A y B


CONVIENE IMPRIMIR POR SI REINICIA

Tras las numerosas consultas del dia de hoy sobre este  problema, y recabando la informacion que se ha ido  plasmando en el foro hemos redactado esta pequeña guia, que esperamos os sea de utilidad, no obstante si alguien observara algun error  agradeceriamos  lo expusiese, este virus entra tipo el blaster y por la ausencia de una actualización de Windows en vuestro PC

:arrow:   Pantallas que muestra...


(http://www.telecable.es/personales/dabo/fotos/asser1.gif)


(http://www.telecable.es/personales/dabo/fotos/asser2.gif)



---------------------------------------------------------------------

RESUMEN  DE ACTUACION

-------------------------------------------------------------------------------------

1º PASO)

:arrow: Detener el reinicio del pc.

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve  a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.

-----------------------------------------------------------------------------------

2º PASO), APLICAR EL PARCHE DE MICROSOFT

 :arrow: APLICAR EL PARCHE DE MICROSOFT

:arrow: parche de microsoft,  dependiendo de nuestro sistema operativo
.-Para conocer nuestro sistema operativo....  panel de control, sistema, pestaña general.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Parche en español para win xp y win xp+sp 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

------------------------------------------------------------------------------------

3er PASO),

 :arrow: APLICAR VACUNA O HERRAMIENTA DE DESINFECCION, DE MICROSOFT


Sasser.A and Sasser.B Worm Removal Tool (KB841720) (http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356)



O BIEN:

McAfee AVERT Stinger:

http://download.nai.com/products/mcafee-avert/stinger.exe

SRL (NOD 32):

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser

-------------------------------------------------------------------------------------


por ultimo mandarnos un donativo para pagar unas birras a esta gente nuestra del foro tan enrollada :lol:  , un saludo, Dabo, webmaster

(http://www.daboweb.com/phpBB2/templates/subSilver/images/logo.gif)

AQUI UNA EXPLICACION DE COMO ACTUA EL VIRUS, AL FINAL DE ELLA TENEIS INSTRUCCIONES DE COMO LIMPIAR MANUALMENTE SI FALLA EL PARCHE DE MICROSOFT


Citar
  W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante

para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria 


 4er PASO), CONSEJOS Y ACTUACIONES A LLEVAR A CABO

:arrow:  PROCEDIMIENTO MANUAL TRAS APLICAR EL PARCHE


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados,  si alguno no puede borrarlo por indicarle que esta en uso cierre el pocedo en el administrador de tareas..


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\win.log
c:\windows\avserve.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


:arrow: Limpieza manual del registro

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

.- En Windows NT, 2000 y XP, abra la siguiente clave del registro para buscarla:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

3. Cierre el editor del registro.

4. Reinicie el equipo

5. Escanee nuevamente con su antivirus para confirmar la eliminacion del virus




:arrow: Importante:

         En Windows XP debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm

ME
http://www.vsantivirus.com/faq-winme.htm


:arrow: Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.



:arrow:     Aqui teneis tambien un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/foros/index.php?topic=2420.0


Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/foros


------------------------------------------------------
-----------------------------------------------------------------

VARIANTE B

w32/SASSER B

 La versión B del virus W32.Sasser es practicamente igual que su antecesora y de hecho los parches aplicados sirven tanto para una como para otra.

La diferencia que tiene esta segunda versión es que en crea algún archivo diferente a la hora de instalarse.

Las diferencias son las siguientes:

En la versión A el gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe

En la versión B cambia el nombre un poquito agregando un 2 al final
c:\windows\avserve2.exe

En la versión A modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = avserve.exe

En la versión B es prácticamente la misma con la misma característica que antes he citado.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe

En las dos versiones da los mismos mensajes de error.

En la versión A se crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

En la versión B crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
JumpallsNlsTillt

A la hora de hacer la reparación manual deberemos de tener cuidado de eliminar algunos archivos de la versión B que en la A no se creaban, siendo los siguientes:

En las dos versiones se debe de ejecutar el editor de registro (Inicio - Ejecutar - poner regedit - Intro) y buscar en:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

Una vez aquí en la versión A eliminabamos simplemente el archivo:

avserve

Pues bien, después de seguir los mismos pasos en la versión B, debemos eliminar eses mismo archivo y otro con el mismo nombre y el 2 añadido:

avserve2.exe
avserve.exe

Luego tan solo nos queda clickar en registro - salir, aceptar los cambios y reiniciar el PC

---------------------------------------------------------------------
---------------------------------------------------------------------
----------------------------------------------------------------------

Citar
W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm

Nombre:  W32/Sasser.C
Tipo:  Gusano de Internet
Alias:  Sasser.C, W32/Sasser-C, W32/Sasser.Word.c, Win32/Sasser.C, WORM_SASSER.C
Fecha:  2/may/04
Plataforma:  Windows NT, 2000, XP, 2003
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante recompilada del Sasser.A, básicamente idéntica en su funcionalidad. Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

    c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

    c:\win.log
    c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

    c:\windows\system32\15643_up.exe
    c:\windows\system32\12383_up.exe
    c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    avserve = avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

    Apagar el sistema

    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM

    Tiempo restante
    para el apagado: xx:xx:xx

    Mensaje
    El proceso del sistema
    C:\WINNT\system32\lsass.exe terminó
    de forma inesperada indicando código 0
    Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
    Jobaka3l


Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/foros



-----------------------------------------------------------------------------------

NUEVA VARIANTE  " D" DEL VIRUS SASSER , VARIAN    DETALLES DEL PROCEDIMIENTO DE LIMPIEZA  ¡¡¡¡ OJO ...!!!


Nota: Es recomendable utilizar un firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


PROCEDIMIENTO DE LIMPIEZA

DETENER EL REINICIO DEL PC

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.


APLICAR EL PARCHE DE MICROSOFT

:arrow: parche de microsoft, dependiendo de nuestro sistema operativo
.-Para conocer nuestro sistema operativo.... panel de control, sistema, pestaña general.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Parche en español para win xp y win xp+sp 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es



LIMPIEZA

:arrow: Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


:arrow: Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


 HERRAMIENTAS ESPECIFICAS DE LIMPIEZA
Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser


BORRAR MANUALMENTE ARCHIVOS AGREGADOS POR EL VIRUS

:arrow:  Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\win2.log
c:\windows\skynetave.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

:arrow:   Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


EDITAR EL REGISTRO

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

skynetave.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



Citar
W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-c.htm

Nombre: W32/Sasser.D
Tipo: Gusano de Internet
Alias: Sasser.D, W32/Sasser-D, W32/Sasser.worm.d, W32/Sasser.D, WORM_SASSER.D
Fecha: 3/may/04
Plataforma: Windows NT, 2000, XP, 2003
Tamaño: 16,384 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante básicamente idéntica a las anteriores, es capaz de escanear 200 direcciones IP por segundo.

Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\skynetave.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:\win2.log
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
skynetave.exe = c:\windows\skynetave.exe

El gusano inicia 1024 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esta variante es capaz de escanear más de 200 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas.

El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
SkynetSasserVersionWithPingFast



ENLACE A LA PAGINA PRINCIPAL DEL FORO

http://www.daboweb.com/foros

------------------------------------------------------
------------------------------------------------------



































A ver posteo esto aquí por que de entrada pienso q puede ser algo de lo más tonto seguro, pero me tiene  rayada, por que últimamente me atacan muy a menudo con troyanos ( pero siempre me los para el norton) y ya estoy algo paranoica. La cosa es que lleva todo el día apareciéndome este mensaje del firewall: A remote system is attempting to access Isass.exe on your computer y después la correspondiente opción a bloquear o permitir, yo de momento le doy a bloquear, pero me sigue saliendo y no tengo ni idea de q es ese Isass.exe(http://smilies.sofrayt.com/%5E/9/questionwht.gif) aunque lo he buscado a conciencia.
 Alguien tiene alguna idea al respecto??? (http://smilies.sofrayt.com/%5E/9/help.gif)
Título: Isass.exe
Publicado por: destroyer en 22 de Octubre de 2003, 11:06:35 pm
hola:
Buscado por la red...

  ""servicios de windows la mayoría. Si te vas a MI PC, Panel de Control, Herramientas Administrativas, y Servicios, los veras todos. Te situas encima de cada uno y con el boton derecho del mouse propiedades y verás el tipo de servicio que es"".



lsass.exe
Administrador de cuentas de seguridad
Agente de directivas IPSEC

http://www.wininfo.com.ar/pag2.html

-----------------

Por otro lado, por si acaso;

http://www.vsantivirus.com/back-sypofox-a.htm
Título: Isass.exe
Publicado por: Wolverine en 22 de Octubre de 2003, 11:10:56 pm
Vaya rapidez!!! así da gusto :D  
Muchas gracias Dest.
Voy a echar un vistazo a lo q me dices, ya sabía yo q al final no era nada chungo, pero mejor preguntar por si acaso.
Título: Isass.exe
Publicado por: destroyer en 22 de Octubre de 2003, 11:24:59 pm
hola wolverine:

    El otro dia Paulet tambien estaba con dudas acerca de este proceso, a ver si se conecta hoy que seguro y conociendole, :lol:  :lol:  :wink:   tiene más detalles que aportar..

un saludo
Título: Isass.exe
Publicado por: w32.spybot en 23 de Octubre de 2003, 01:34:27 am
a mi tambien me suele pasar lo mismo, se quieren conectar desde fuera a issas.exe, yo por si acaso lo bloqueo todo a no ser que este seguro de lo que hago


ISSAS.EXE

Servicios IPSEC
IPSEC es un conjunto de extensiones de la familia del protocolo IP.
Provee autent ificación y verificación de paquetes y la encriptación de los mismos. Es muy
usado en Redes Privadas Virtuales, VPNs (Virtual Private Networks)
Por lo general, un usuario "normal" no ut iliza estos servicios. O sea que lo vamos a
Deshabilitar .
Nombre en Inglés: IPSEC Services (PolicyAgent )
Ejecutable o DLL: lsass.exe

Inicio de sesión en red
Se ut iliza para loguearse/ autent ificarse en un Cont rolador de Dominio (Domain Cont roller)
Se recomienda Deshabilitar a no ser que nuest ra computadora pertenezca a un dominio.
Nombre en Inglés: Net Logon (Net logon)
Ejecutable o DLL: lsass.exe

Proveedor de compatibilidad con segur idad LM de Window s NT
Permite a los usuarios conectarse a una red ut ilizando el protocolo de autent ificacion NTLM.
No es necesario a no ser que ut ilicemos Message Queuing o un servidor Telnet .
Nombre en Inglés: NT LM Security Support Provider (NtLmSsp)
Ejecutable o DLL: lsass.exe

Almacenamiento protegido
Permite almacenar los passwords locales o de sit ios web (Autocompletar) .
A pesar de que esta información se almacena encriptada, si deshabilitamos este servicio,
directamente no se va a guardar, lo cual sería mas seguro aún.
Por otro lado, podríamos requerir de este servicio para administ rar claves privadas para
procesos de encriptado.
Si necesitamos que nuest ra computadora almacene passwords, ya sea para el Out look,
conexión a Internet , un cont rolador de dominio que necesite autentificación, etc... lo
dejamos en Automát ico.
Nombre en Inglés: Protected Storage (ProtectedStorage)
Ejecutable o DLL: lsass.exe

Administrador de cuentas de segur idad
Almacena información de seguridad de cuentas de usuarios locales.
El inicio de este servicio, indica a otros servicios que el subsistema SAM (Security Accounts
Manager) está listo para recibir peticiones. Este servicio no debería ser deshabilitado. Si
hacemos esto corremos el riesgo que algunos de los servicios que lo ut ilicen no se inicien
correctamente. De todas maneras, la decisión corre por nuest ra cuenta.
Nombre en Inglés: Security Accounts Manager (SamSs)
Ejecutable o DLL: lsass.exe

esto es lo que he encontrado de ese servicio
Título: Isass.exe
Publicado por: Dabo en 23 de Octubre de 2003, 01:34:48 am
no os preocupeis por este proceso, es uno de los habituales en el win 2000 o XP, si fuese ptask.exe ... jeje, otro gallo cantaria, pero has hecho bien en postearlo, ante la duda preguntar, lo muevo a seguridad ok ???
Título: Isass.exe
Publicado por: Leandros en 23 de Octubre de 2003, 03:13:37 am
Mmm hablando de pass, me bajé ayer un programa que te ocupa menos de 50 kb que al ejecutarlo te saca todas las pass que tengas almacenadas, pero solo del usuario activo. Lo estoy guardando por que como daré programación quiero ver si puedo modificarlo en un futuro para sacar las pass de todos los usuarios del pc...se podría hacer eso?  :?:
Título: Isass.exe
Publicado por: Dabo en 23 de Octubre de 2003, 03:19:18 am
se puede amigo, no hace falta modificar ese, hay varias formas y programas para eso pero si fuese una red lo mejor seria meter un sniffer, no es muy complicado, con el PW dump y el join the ripper puedes volcar el contenido de los "hashes" o pass de win de la SAM al "active directory" y luego con el join romper los pass

se bueno  :D
Título: Isass.exe
Publicado por: Leandros en 23 de Octubre de 2003, 05:03:00 am
jajajja nono tranquilo si todo es por aprendr, no tengo intención de utilizar nada de esto en ningún sitio :P
Título: Isass.exe
Publicado por: Paulet en 26 de Octubre de 2003, 02:02:27 am
buenas

pues sobre esa aplicación mucho que aclarar no tengo, sólo que en mi caso me pide paso con el cortafuegos y de ahí que la conociera, así que después de informarme un poco, gracias dest, bloquee la aplicación con el cortafuegos y cerre el puerto a cal y canto sin notar ningún inconvenietne en la máquina

saludos
Título: Isass.exe
Publicado por: destroyer en 26 de Octubre de 2003, 02:48:00 am
hola:
          Paulet,   ¿solo hiciste eso?, no te reconozco, ¿no le buscaste las tripas? :wink:  creo que te estas haciendo mayor... :lol:  :lol:
un saludo
Título: Isass.exe
Publicado por: Paulet en 26 de Octubre de 2003, 10:47:17 am
buenas

dest mayor yo, noooooooooooooooo, y que más quisiera que hiciera cargarme el windows, que por otra parte no estaría mal, venga lo confieso algunas de sus funciones me las carge, jeejej, por puro placer

saludos :shock:
Título: Isass.exe
Publicado por: destroyer en 26 de Octubre de 2003, 11:34:08 am
:lol:  :lol:
Título: Isass.exe
Publicado por: Wolverine en 28 de Octubre de 2003, 03:19:31 pm
Muchas gracias chicos ya esta bloqueada con el firewall.
Título: EL ISSAS. EXE ME REINICIA EL PC
Publicado por: marta26 en 01 de Mayo de 2004, 09:08:03 am
Saludos compañeros. Necesito ayuda urgente para pqara el isass.exe me reinicia el pc. Ayuda por favos
Título: Isass.exe
Publicado por: kabieces en 01 de Mayo de 2004, 01:16:00 pm
Hola lo que le sucede a mi novia es que al encender el pc y conectarlo a internet le aparece una ventanita que dice error en el archivo issas.exe...
no se puede navegar ni hacer nada no funciona al norton ni nada y al de unos instantes se apaga el pc. ¿como podria solucionarlo?
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 02:13:48 pm
Hola a tod@s.
A mi me sucede lo mismo que a la novia de kabieces y que a marta26, y lo más curioso es que ha sido de repente, sin yo haber modificado nada.

He leido en el link de spybot que se desaconseja deshabilitar este servicio y yo me pregunto.. para que esté 10 min con accesibilidad al Internet Explorer y de repente deje de tenerla, o en el peor de los casos me aparezca este aviso (*) y se termine reiniciando el pc, qué debo hacer?

Deshabilito la opción o elimino la cuenta de invitado que tengo, aparte de la mía como administradora? Porque se supone que se debe a ello, no?

Ahora os pondré las capturas que he hecho, porque veo que voy a darle a ENVIAR y ya no tendré conexión.

Gracias por adelantado
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 02:17:58 pm
(http://perso.wanadoo.es/gemgem/isassss.JPG)
(http://perso.wanadoo.es/gemgem/isass.JPG)
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 02:20:23 pm
Holas marta 26 y kabiece y bienvenid@s ;)
Por lo visto se trata de una nueva vulnerabilidad de los sistemas operativos microsoft  que afecta a win2k, Xp, Xp 64 bit y server 2003. Afecta al componente LSASS (Local Security Authority SubSystem) y permite ejecutar código de forma arbitraria, de forma remota en 2000 y xp y local para el 64 bit y 2003.
Vete a ésta página y descarga e instala el parche adecuado para el sistema operativo que tengáis

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(acordaos de descargar el parche en el idioma en el que tengáis el S.O.)

Para detener el reinicio del ordenador y poder hacer lo del parche tranquilamente, vete a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.
Prueba y nos cuentas, suerte  :wink:
Título: Isass.exe
Publicado por: sisipo en 01 de Mayo de 2004, 02:23:16 pm
Hola!!

Estás en lo cierto Miyu, he creado un post en el foro de virus ya que hay un virus q se aprovecha de este exploit.

(Virus W32/Sasser)

Salu2!!!
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 02:25:04 pm
ups gemgem ahora he visto tu mensaje :D es cierto, hoy está el tema revolucionado con ésto, a ver si conseguís solucionarlo  :roll:
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 02:28:35 pm
Perfecto sisipo! ;) pensaba que de momento no había más problemas que el reinicio, pero por lo visto ya han encontrado la forma de sacarle "provecho" :?
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 02:31:11 pm
Hola Miyu, gracias por contestar y no te preocupes si has visto mi post al final.

Pues sí, parece que hoy todo el mundo está con este problema.

Yo termino de instalar las actualizaciones automáticas que tenía descargadas aunque no instaladas. Me esperaré 10 min y si veo que vuelvo a conectarme a la pág. web y estoy sin IExplorer me tiraré de los pelos, porque estoy empezando a ponerme muy nerviosa y a impacientarme.

Mil gracias por tu disponibilidad; Os tendré informad@s de los avances que se produzcan (que espero que sean buenos).

Un salu2
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 02:43:06 pm
..
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 03:12:59 pm
Gemgem, es probable que tu pc ya haya sido infectado por el virus que explota ésta vulnerabilidad :? Se copia a sí mismo en la carpeta de Windows con el nombre avserve.exe La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.) también crea el siguiente archivo c:\win.log y una entrada en el registro.
 
Para eliminarlo:

1.Descargar e instalar el parche y reiniciar el equipo
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)

2.Acceder al registro Inicio-ejecutar y escribir regedit

3.Eliminar del registro bajo la columna Nombre la entrada avserve

HKEY_CURRENT_USER/Software/Microsoft/Windows/Current version/Run
 avserve = c:\windows\avserve.exe


4. En Win NT, 2000 Y XP la siguiente clave del registro

HKEY_CURRENT_USER/Software/Microsoft/Windows NT
/CurrentVersion/Winlogon


5.Cierra el editor del registro, reinicia y pasa un anti actualizado para eliminar cualquier resto del gusano, mismamente con el Panda Online
 http://www.pandasoftware.es/activescan/es/activescan_principal.htm (http://www.pandasoftware.es/activescan/es/activescan_principal.htm)

Prueba y nos cuentas, suerte ;)


Citar
    Es importante desactivar el restaurador del sistema de windows para realizar la limpieza del este y cualquier virus..

http://www.vsantivirus.com/faq-winxp.htm

y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.


Para activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis un enlace de descarga y manual de uso, por si decidis instalar el firewall, zone alarm..

http://www.daboweb.com/foros/index.php?topic=2420

 :wink:
:mrgreen:
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 03:55:46 pm
Enlace a la info completa del virus que aprovecha ésta vulnerabilidad

http://www.daboweb.com/foros/index.php?topic=4065 (http://www.daboweb.com/foros/index.php?topic=4065)
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 05:18:09 pm
Hola Miyu:

Solo decirte que instalando el Panda Titanium 2004 y después de registrarme el antivirus... esto fue lo que me apareció.

(http://perso.wanadoo.es/gemgem/avserve.JPG)


No imaginas lo agradecida que estoy a tu ayuda y a tu disponibilidad. Miles de gracias.
Mi dirección de correo es [email protected].. por si alguna vez necesitas ayuda de otro tipo.

Gracias por todo
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 05:26:16 pm
No hay de qué gemgem, me alegro de que hayas podido solucionarlo ;) Gracias a ti por tu ofrecimiento, en serio :D :wink:  
Saludetes!
Título: Isass.exe
Publicado por: Alex205 en 01 de Mayo de 2004, 05:32:08 pm
Oye, pero en el registro, con lo del winlogon que hay que hacer, eliminarlo?  :shock:
Título: lsass
Publicado por: marta26 en 01 de Mayo de 2004, 06:04:47 pm
Salu2. Si no se tiene el panda, cómo se puede eliminar el gusano este? Yo tengo en norton 2003 y no me lo detecta
Título: Isass.exe
Publicado por: gemgem en 01 de Mayo de 2004, 06:15:16 pm
A mi no me ha hecho falta usar el regedit. Instálate el panda titanium porque mi hermano tiene el zonealarm y me acaba de decir q está con las pérdidas de conexión tras tenerla unos minutos (después de haber reiniciado miles de veces) y con un tráfico excesivo de caudal de datos.

De todas formas yo porbé el regedit y no encontré el archivo a eliminar.

Muchísima suerte, que parece que hayan esperado a que sea el dia del trabajador para hacer el mayor daño posible porque, para un dia en que tenía festivo mira la gracia que ha tenido el responsable/s.
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 06:22:16 pm
En la ruta HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon tienes que buscar la entrada llamada avserve si es que la hubiese, que si no estás infectado por el virus no tiene por qué haberla. Prueba antes a parchear tu sistema

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

bajaros el parche para el S.O. que tengáis, instaladlo y reiniciad. Si no estais infectados, con eso debería quedar solucionado  :wink:

Marta, no hace falta que tengas el Panda, puedes hacer un escaneo online desde su página oficial http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Saludetes
Título: Isass.exe
Publicado por: Alex205 en 01 de Mayo de 2004, 06:32:22 pm
Pues parece que lo he eliminado, pero tengo el Norton Antivirus 2004 y ayer no le funcionaba el autoprotect y supuse que tenia un virus, pero sigue sin funcionar el auto-protect. Ahora mismo estoy haciendo un análisis online haber si encuentra algo y despues reiniciaré.
Gracias por tu ayuda.
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 06:34:41 pm
A ver si sale todo limpio, suerte  :wink:
Título: Isass.exe
Publicado por: destroyer en 01 de Mayo de 2004, 06:48:04 pm
vaya currada miyu y amigos....  A ver si podemos con él...  :wink:

Un saludo
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 06:53:04 pm
Eh Dest... acaso lo dudas?  8)  :lol:  :lol:
A ver cómo evoluciona la cosa  :wink:
Título: Isass.exe
Publicado por: kabieces en 01 de Mayo de 2004, 06:58:10 pm
Bueno mi novia no puede eliminarlo ya que a ella el pc se le reinicia cada menos de un minuto y no le da tiempo a descargar el parche. Hizo lo de entrar al msdos y escribir eso raro que alguien puso pero no le para el reinicio.¿alguna otra forma?
Título: Isass.exe
Publicado por: destroyer en 01 de Mayo de 2004, 06:58:59 pm
Ni por un momento lo dudaría con el empeño y las ganas que poneis..  Sois la lecheeeee..


       Vamos a tratar en lo posible  de centralizar el tema de este nuevo virus en el foro de virus, de tal forma que toda la informacion  pueda estar disponible  para los usuarios que tengan este problema.


Un saludo
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 07:04:39 pm
kabieces, aseguraos de que lo hace bien, es muy raro que no funcione :? escibe tal cual shutdown -a (dejando un espacio entre shutdown y -a), después le das al enter y debería funcionar.
Si sigue sin chutar, prueba a atrasar unos cuantos días el reloj de windows a ver si así os deja.
Título: Isass.exe
Publicado por: kabieces en 01 de Mayo de 2004, 07:08:25 pm
Uff gracias a dios lo conseguimos el parche esta bajado y ejecutado. Ahora despues de ello ¿con pasar el antivirus basta?
Título: Isass.exe
Publicado por: Miyu en 01 de Mayo de 2004, 07:15:09 pm
Te digo lo mismo que a Alex, si no estáis infectados, con instalar el parche y reiniciar debería quedar solucionado.
De todas formas no viene mal nunca hacer un scan con el anti actualizado  :wink:

Las preguntas sobre el tema a partir de aquí id dejándolas en el post de virus por favor

http://www.daboweb.com/foros/index.php?topic=4065 (http://www.daboweb.com/foros/index.php?topic=4065)

 así estará toda la info junta y será menos lioso para tod@s, ok? Gracias  :wink:
Título: Isass.exe
Publicado por: destroyer en 01 de Mayo de 2004, 07:21:56 pm
Hola chicos:

he copiado todas las preguntas y respuestas relacionadas con este virus en el foro de virus,

http://www.daboweb.com/foros/index.php?topic=4065.10

seguimos alli todo lo que vaya surgiendo... así podra servir de ayuda a otros compañeros que estaran en la misma situacion..


Un saludo
Título: AYUDDAA ISSAS
Publicado por: CAROL en 01 de Mayo de 2004, 11:25:12 pm
necesito ayuda!!! cada vez que enciendo el ordenador me aparece que mi equipo se apagara en 60 segundos y me aparece como motivo no se que de SYSTEM  ISSAS.EXE.
no entiendo nada de informatica y necesito saber que es eso y pq me sucede y como arreglarlo claro. CONTESTAD RAPIDO PORFAVOR
GRACIAS.KAROL
Título: Isass.exe
Publicado por: destroyer en 01 de Mayo de 2004, 11:29:30 pm
hola:
Bienvenida al foro
aqui tienes todos los pasos para eliminar ese virus

http://www.daboweb.com/foros/index.php?topic=4092

Un saludo
Título: Isass.exe
Publicado por: jsanc_es en 02 de Mayo de 2004, 03:36:56 am
Hola a tod@s,

Pues ya estoy un poco pranoico xque tengo los sintomas del Sasser.A pero ni rastro del avserve ni efecto con el parche de microsoft. se me sigue reiniciando el cacharro. Ahora lo he conseguido controlar un rato parando todos los servicios de windows (2000 en mi caso) dejando solo los que me parecian inprescindibles ( a mi criterio que no es que yo sea informatico) pero no se si es peor el remedio que la enfermedad ;-)

de memento así aguanta ahora voy hacer un update de microsoft con todo los parches que haiga y me estoy pasando el active scan del panda.

AAAH y se me olvidaba, me he pasado el pqremove de panda para el Sasser y no ha encontrado nada!!!

teneis alguna idea?
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 03:59:41 am
Holaps jsanc_es  :D
Podría ser el Blaster que también provoca lo del reinicio continuo. Tienes parcheado el sistema operativo contra este virus?

Por cierto, para detener el reinicio y que puedas descargarte parches y demás tranquilamente, vete a Inicio - Ejecutar, escribe cmd y acepta. En la consola de msdos que te sale, teclea shutdown -a y dale al enter (deja un espacio entre shutdown y -a, no lo pongas unido), eso debería cancelar el reinicio ;)
Título: Isass.exe
Publicado por: Momito en 02 de Mayo de 2004, 04:49:37 am
wola
Queria agradeceros todo lo q haceis para ayudarnos a qitar este y tantos otros virus ;)
Pues bien yo tengo el viru Isass ya q me salen todas las ventanitas, y luego me reinicia el PC a su voluntad!! a parte me pone q es Isass (jiji)

Bueno pues me he bajado el parche y lo he instalado, pero cuando llego a la parte de borrar  el virus ... pues no lo encuentro!!! mi sistema orperativo es XP y lo busco donde vosotros poneis "ejecutar...regedit...Windows NT...Winlogon..." pero haí no esta el avserve... no lo encuentro para borrarlo, por si a caso tambien lo he buscado en "Windows...run...."pero tampoco esta.Sin embargo le doy al administrador de tareas y en la pestaña Procesos me aparece Isass.exe, pero haí no me deja terminar proceso ni qitarlo ni nada..
Q puedo hacer?¿?¿?donde lo busco?¿?¿

Muuuuuuchas gracias por adelantado
Título: Isass.exe
Publicado por: Momito en 02 de Mayo de 2004, 04:53:15 am
por cierto q no lo he dicho ....
yo hace tiempo q ya me vacune contra el  Blaster
Solo era por si me lo preguntabais

Gracias por adelantado
Título: Isass.exe
Publicado por: Dabo en 02 de Mayo de 2004, 04:57:49 am
hola amigo, una pregunta, se te ha vuelto a reiniciar??? no habras pasado un antivirus ya ???

te lo digo porque el proceso isass.exe no es el virus sino un proceso de Windows totalmente normal que se ve afectado por el virus en cuestion

comentanos algo ok??

bienvenido  :!:
Título: Isass.exe
Publicado por: Momito en 02 de Mayo de 2004, 11:28:18 am
wola
Pues si ha intentado reiniciarse otra vez
lo q esta vez en el ventana de error q me salia, ya no ponia lo de la memoria 009000900 no se puede leer o algo asi, ponia algo de win32, aora no lo se bien porq no me fije pensando q era otra cosa, pero con esa ventana de error no me dejaba abrir ni el explorador de windows ni el de internet ...
e cerrado la ventan y enseguida me ha vuelto a salir el mensaje de siempre del virus q en 50 seg se me reiniciara el pc.....lo q no ha podido reiniciarse  porq yo e echo lo q habeis aconsejado de "inicio...ejecutar....cmd....shutdown -a"
Eso es lo q me pasa :(
ya no se q hacer porq sigo sin encontrar el avserve y me sale ese mensajito muuuchas veces

Que puedo hacer?¿?¿?

Muchas gracias por adelantado
Título: Isass.exe
Publicado por: destroyer en 02 de Mayo de 2004, 11:35:49 am
hola:

Desactiva el restaurador del sistema del xp,  repite todo el procedimiento de limpieza de este virus, y la ultima accion de chequear el pc con el antivirus, hazlo pero con el pc en MODO A PRUEBA DE FALLOS, (arrancas y pulsas f8 y seleccionas esa opcion)  y aun asi si te sale nuevamente la ventana de error, anotanos que te marca exactamente esa ventana

Un saludo
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 11:40:40 am
Holas Momito, estaría bien que te hicieses un scan con un antivirus lo primero de todo, hazlo desde aquí http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Si tienes windows XP o ME recuerda desactivar el restaurador de archivos antes de pasarle el anti, ok?

Para Xp http://www.vsantivirus.com/faq-winxp.htm

Para ME http://www.vsantivirus.com/faq-winme.htm

Y nos cuentas qué te dice el antivirus ;)
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 11:46:11 am
Si es que...  :lol:
Hazle caso a Dest, Momito, que lo ha dicho más completo, y nos cuentas ;)
Título: Isass.exe
Publicado por: Momito en 02 de Mayo de 2004, 03:00:50 pm
ok , voy a probar y os digo ;)
Aunq ya habia desactivado el restaurador de archivos, a ver si a modo a prueba de fallos encuentro el virus
Muchas gracias
Voy a ello
Título: ZONE ALARM
Publicado por: ruzbzn en 02 de Mayo de 2004, 03:01:33 pm
Novato.....soy uno de los tantos afectados creo que tengo actualizado en windows update todos los parches de seguridad eso me dice pero no hay una pack con todos los parches para estos virus por que cada unos da su guerra a su manera desde que me instale el zone alarm me pone que ha se han bloqueado 5698 intrusiones es eso normal, ruego una ayudita puesto que antes de que me pasara esto hara unos dia solo tenia el antivirus avg 7.0 pro y nunca me paso nada fue formatear el disco duro y me paso esto he instado el parche de seguridad pero mirar las intrusiones que tengo es normal.....Ruego una ayuda especifica por favor os lo rueego no quiero cagarla del todo puesto que es la primera vez que utilizo un corta fuegos.......Ante todo daros las gracias a todos por este gran foro.
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 03:38:05 pm
Holas ruzbzn y bienvenido ;)
Si me he enterado bien, el problema que te tiene preocupado es el nº de intrusiones que te anuncia el firewall, verdad?
Verás, podrían ser montones de cosas y no necesariamente malas todas ellas :D Podría ser simplemente que no lo tienes bien configurado y estás bloqueando sin querer procesos normales de windows necesarios para acceder a la red, echa un vistazo a éste post y las direcciones que ponen en él los compañeros a ver si te sirve de ayuda http://www.daboweb.com/foros/index.php?topic=2420 (http://www.daboweb.com/foros/index.php?topic=2420)

Por otra parte hasta cierto punto puede resultar "normal" cierto nº de alertas,  pero lo habitual es que lo único que hagan es avisarte de que alguien te está haciendo un scan para saber si estás infectado con tal o cual troyano, o simplemente para ver si tienes alguna entrada desprotegida para entrar a echar un vistazo, pero se trata de scaneos aleatorios entre un montón de ips, no quiere decir que vayan a por ti :)
Por supuesto es MUY recomendable tener instalado un firewall y bien configurado porque así resultarás invisible a la mayor parte de los scaneos y aún aunque estuvieses infectado por un troyano, el fire impediría que se tuviese acceso a él desde el exterior.

Otra posibilidad podría ser que tuvieses algún spyware por ahí escondido mandando y recibiendo info por internet, ésto no es grave como un virus pero sí que es bastante molesto (además de un atentado en toda regla contra la privacidad :? )
Si te animas a pasar un programa anti spyware, te dejo aquí una dire sobre cómo hacer un scan completo con el AD-Aware http://www.daboweb.com/foros/index.php?topic=2443 (http://www.daboweb.com/foros/index.php?topic=2443)

Tanto el propio Ad-Aware como el archivo de referencia actualizado, los puedes descargar desde la firma de fatsgordon, el primer chico que escribe en ese hilo ;)

En principio deberías mirar éso, si sigues igual nos metemos con posibles troyanos o alguna otra posibilidad, cualquier duda o cualquier cosa en la que no me haya explicado bien, no te cortes y dilo, ok? Y cualquier cosa que se me haya pasado, los compis que me corrijan sin piedad :mrgreen: ;)
Nos cuentas ;)

(Por cierto, doy por supuesto que tienes el pc parcheado contra el Blaster, que es lo 1º que se debe hacer después de un formateo si tienes cualquier S.O. que no sea win98)
Título: Isass.exe
Publicado por: Momito en 02 de Mayo de 2004, 04:42:43 pm
wola

Pues ya he hecho todo lo q me deciais.
Lo he hecho todo en prueva a modo de fallos....y aun asi no he encontrado el virus :( , o sea q aun no lo he podido borrar.Pero lo extraño es q no me ha vuelto a salir ningun mensajito, ni se me ha qerido reiniciar mas el PC desde hace mucho rato. Tambien he analizado mi PC con el antivirus panda q habeis puesto en este mismo foro y no me ha encontrado ningun virus
Todo esto es muy raro....q ha pasado¿?¿?ya no tengo el virus¿?¿?o esta tan escondido q no lo encuentro¿?¿
Os puedo asegurar q tenia ( o tengo) el virus,todas las imagenes q habeis puesto de las ventanas q  salen con el virus....todas me salian ...incluida la ventana de q en 50 seg se me reiniciaba el PC!!!!no entiendo q pasa  :cry:
Me lo podeis explicar¿?¿?
Almenos por ahora no me ha intentado reiniciar

Gracias por todo
Título: Isass.exe
Publicado por: Antonio de la Flor en 02 de Mayo de 2004, 04:48:40 pm
Hola
Momito, meto mano yo en este asunto aunque no soy muy experto proque me dice mi ordenador que no hay ningún colaborador más en la brecha en este momento
Si no tienes ningún síntoma de infección mi opinión e sque debes relajarte y despreocuparte un poco.
Es posible que se hubiese erradicado el virus peor no alguna entrada del registro y por eso al rectificarse esa en modo a prueba de fallos no avisód e desinfección
Pásate un poco más tarde que te den su opinión los expertos pero yo creo que puedes relajarte de momento
Un saludo:)
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 04:56:23 pm
Reholas Momito, a ver, el tema del lsass.exe dichoso se trata de una vulnerabilidad de Windows que por sí sola provoca el tema del reinicio si no tienes el sistema parcheado, y te saldrían las ventanitas y demás avisando del error y que se va a reiniciar y todo eso.

Aparte hay un virus que ataca aprovechando esa vulnerabilidad, pero no tiene por qué haberte entrado.

Ok, si con meterle el parche de la forma que te indicamos se ha arreglado lo del reinicio y todo te va bien, se supone que el problema que tenías era tan solo el de la vulnerabilidad y el virus no te habría entrado. Si aún después de meterle el parche siguieses teniendo problemas, entonces sí que habría que ir en busca del dichoso virus, no sé si me explico :D
De todas formas si te has hecho el scan y te ha dado limpio, yo diría que solo era lo primero y que ya lo solucionaste ;)
Si me he liado con la explicación tú pregunta, ok? :D
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 04:58:53 pm
Ese Antonio ;) ;)
Título: Isass.exe
Publicado por: Antonio de la Flor en 02 de Mayo de 2004, 05:03:05 pm
:oops:
Por un momento hubo 38 invitados y yo
Qué susto, creí que no íbais a poder volver a entrar ninguno
 :oops:
Título: Isass.exe
Publicado por: destroyer en 02 de Mayo de 2004, 05:08:51 pm
Estaba currando Antonio... pero ya estamos por aqui algunos, a ver si podemos con todo esto..

Momito coincido con miyu en lo que te ha indicado, no obstante cualquier duda que tengas trataremos de solventarla..

Un saludo
Título: Isass.exe
Publicado por: Miyu en 02 de Mayo de 2004, 05:12:58 pm
Otia Antonio, pues yo llevo conectada todo el rato  :shock:
Título: Isass.exe
Publicado por: Antonio de la Flor en 02 de Mayo de 2004, 05:17:59 pm
No dest
Había cinco o diez moderadores y registrados en línea, pero recargué y se habían caído todos y habían entrado un monton de invitados más
Recargué de nuevo para comprobar que no era el pitorreo de los cinco minutos del contador del foro y seguía sin aparecer ninguno
Algunos de ellos están aquí firmes como varas desde hace horas, me calculé que se habían caído todos.
El servidor me está dando problemas para recargar me temo que esta tarde nos vamos a encontrar sin poder entrar ninguno si no tomamos medidas.
Decidle a dabo que podemos pasar las imágenes más pesadas a adelaflor momentáneamente.
Si los demás también tenéis estos problemas creo que deberíamos optar por desactivar los avatares y las imágenes de las firmas para acelerar el acceso al servidor: el texto consume una parte ridícula de transferencia
Título: Isass.exe
Publicado por: Dabo en 02 de Mayo de 2004, 05:21:50 pm
tranquilos que va yendo mas o menos y estoy pendiente de hacer alguna modificacion


a darle gasssssssssssssss  :!:  :D
Título: Isass.exe
Publicado por: Momito en 03 de Mayo de 2004, 12:09:28 pm
wola!!!
Soy yo otra vez
Esta comprobado...teniais razon ...a mi me hacia lo de reiniciar, pero se ve q el virus no llegó a entrar...y ahora q lo pienso el Sabado por la noche cuando llegue vi q el Norton me tenia tres avisos de q un virus qeria entrar en mi PC, y el solito lo eliminó :D , supongo q seria ese virus
Menos mal
Por fin ya no me reinicia ni nada y todo a vuelto a la normalidad, y todo gracias a vosotros, no se como daros las gracias!!!

Mil gracias no se q hubiera echo sin vosotros...supongo q aún me estaria reiniciando el PC, jjejeje

Muchas gracias :lol:
Título: Isass.exe
Publicado por: Dabo en 03 de Mayo de 2004, 01:14:26 pm
como me alegro, quedate por aqui, estas en casa  :wink:
Título: Isass.exe
Publicado por: Dabo en 03 de Mayo de 2004, 03:30:48 pm
ir al principio del hilo y lo vereis todo actualizado


http://www.daboweb.com/foros/index.php?topic=871


 :wink:
Título: Isass.exe
Publicado por: destroyer en 03 de Mayo de 2004, 03:43:00 pm
Me alegro momito...  A disfrutar entonces..

Un saludo
Título: Isass.exe
Publicado por: Dabo en 03 de Mayo de 2004, 03:46:41 pm
este post ya tiene mas de 11.000 lecturas  :shock:
Título: Isass.exe
Publicado por: Leandros en 03 de Mayo de 2004, 03:48:11 pm
Me acabo de fijar,dios mio y seguirá subiendo jeje. Por cierto,emos puesto ya en las faq este problema?
Título: Isass.exe
Publicado por: destroyer en 03 de Mayo de 2004, 03:49:53 pm
Todo en orden desde el otro dia Leandros...   :wink:
Título: Isass.exe
Publicado por: Dabo en 03 de Mayo de 2004, 03:50:26 pm
pues ahora mismo ni lo se pero tendrias que copiar el principio de este post donde esta toda la info y hacer uno solo con ello

vaya lio  :wink:
Título: Isass.exe
Publicado por: Miyu en 03 de Mayo de 2004, 03:52:31 pm
Momito, me alegro de que hayas podido solucionarlo ;)
Saludetes!
Título: olaaaaaaaaaaaaaaaaaaa
Publicado por: CAROL en 09 de Mayo de 2004, 03:47:42 pm
olaaaaaaaaaaaaaaaa!! os acordais de mi no¿?¡ jeje ya creo q n tng el virus pq el ordena me va cmo siempre jejeje, pues eso qe qeria daros un saludito mu grande y otro mu grande pa miyu
un besazo a tossss
pd: an detenido al hacker ese e oido por la tele! jejeje
Título: Isass.exe
Publicado por: destroyer en 09 de Mayo de 2004, 03:58:00 pm
Hola CAROL, nos alegramos que todo esté en orden...   :wink:

Un saludo
Título: Isass.exe
Publicado por: ikun en 09 de Mayo de 2004, 03:58:07 pm
carol un detallazo volver cuando ya no tienes el virus. Pasate simpre que quieras que seras bien recibida y ayudada si lo necesitas. Un beso. :wink:
Título: Isass.exe
Publicado por: BuHo en 09 de Mayo de 2004, 04:16:01 pm
Gracias carol.
Título: Isass.exe
Publicado por: Inscientia en 09 de Mayo de 2004, 04:47:16 pm
Hola Carol, nos alegramos mucho y gracias por informarnos... dice Miyu que el jamón que le has mandado estaba muy bueno jejeje   :wink:
Título: Isass.exe
Publicado por: CAROL en 09 de Mayo de 2004, 04:49:59 pm
dnde me puedo bajar el emule??? esq tos las paginas qe descargan emule son redes de sexo  :?  besukis a TODOSSSS JEJEJEJJE.
joer e leio antes qe 9000 y piko visitas el 3 de mayo ! madre miaaa eeee
Título: Isass.exe
Publicado por: destroyer en 09 de Mayo de 2004, 04:53:15 pm
hola:
  mira en el indice de los foros

http://www.daboweb.com/foros

y ve al de emule, alli tienes  datos de interes.

Un saludo
Título: Isass.exe
Publicado por: Miyu en 09 de Mayo de 2004, 07:07:57 pm
Otia Carol, qué bueno volver a verte por aquí!!  :D Para lo del emule haz lo que te dice dest, verás que en ése foro tienes todo lo que buscas y expertos en el tema que te ayudarán con todas tus dudas, no te cortes en preguntar ;)
Citar
dice Miyu que el jamón que le has mandado estaba muy bueno jejeje

.... Insci... dónde está mi jamón?....  :roll: porque a mí no me ha llegao, joíaaaaaaaaaa  :?  :lol:  :lol:  :lol:
Saludetes ;)
Título: Isass.exe
Publicado por: Dabo en 09 de Mayo de 2004, 10:13:55 pm
esa carol  :!: