Hardware y software

Como eliminar el virus SASSER

MeSiDj
MeSiDj #1 May '04

* Más info sobre el nuevo virus:
http://www.media-vida.net/vertema.php?fid=17&tid=1828811103

Aquí os dejo la forma manual de desactivar el virus SASSER si ya habéis sido infectados. Es manual pero efectiva:
Si te sale el cuadro de que se te va a reiniciar haz lo siguiente: Inicio > EJECUTAR > escribes CMD y pulsas intro,cuando se te abra MS-DOS pones shutdown -a.

1 - CTRL + ALT + SUPR, entrar en la pestaña "procesos", y terminar el proceso "avserve.exe"

2 - Entrar en el registro de windows, y buscar la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, y eliminar el valor "avserve.exe" que aparece a la derecha.

3 - Eliminar el fichero "avserve.exe" de la carpeta de Windows: Inicio > Buscar > avserve (carpeta windows)

4 - Instalar el parche de Microsoft de aquí:

¬Windows XP

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

¬Windows 2000

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=FBD38C36-D1D3-47A2-A5D5-6C8F27FDCC40

5- Pasa el removal para terminar el proceso y borrar cualquier resto de SASSER(Gracias Viperdark):

http://securityresponse.symantec.com/avcenter/FxSasser.exe
NOTA: necesitas tener permisos de administrador del sistema para pasar este....

Con todo esto y reiniciando,tu pc estara listo,de todas maneras píllate un buen firewall. Tampoco vendría mal pasar un antivurus actualizado para borrar cualquier otro resto.

Por otra parte,si decides formatear,como al final me decidi a realizar para estar mas seguro,nada mas formateas instala los dos parches,el del blaster y este siempre teniendo el modem apagado,grabalos en un cd RW o algun cd de datos en multisesion para ahorrar dinero.
Saludos, mesidj.

Nota del moderador: Esto no pasaría si TODOS tuviérais el sistema Windows Update activado para que os avise cuando salgan parches nuevos. Es necesario estar siempre día para evitar vulnerabilidades críticas. El éxito en cuanto a propagación de este tipo de virus depende básicamente de que haya un gran número de usuarios con el culo al aire, así que no dejéis que esto suceda una próxima vez (recordad al 'famoso' Blaster...). Luego la culpa es de Microsoft...

P3KaX
P3KaX #2 May '04

gracias tio, a ver si funciona porke yo ya estoy hasta los cojones xD he instalado toda clase de parches d todos los colores y nada.

Un saludo!

litusrem
litusrem #3 May '04

la verdad es que hoy han habido avalanchas de post referentes a virus

Necro15
Necro15 #4 May '04

bueno, pues yo se supone que ya lo arregle pero me sale, en procesos, el proceso lsass.exe , y si intento cerrarlo me dice que es un proceso de sistema critico, ein? XD

HaDeX
HaDeX #5 May '04

Muchas gracias :)

MeSiDj
MeSiDj #6 May '04

Una cosa es ISASS OTRA LSASS :) LSASS es un proceso de windows,eso no lo tokes.

G
garza #7 May '04

es una cosa excusiba del XP? x ke en mi win2k nada de nada...
no hay updates en la pagina de microsoft...

para win2k
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=FBD38C36-D1D3-47A2-A5D5-6C8F27FDCC40
en micro$oft update no sale....

_
_seed_ #8 May '04

Muchísimas gracias, estaba acojonadito ya k mi antivrus no lo detectaba además k no me dejaba actualizaro.

R
ryaN1 #9 May '04

vale y avserve2.exe q tngo io qe ? xd nada iwal q el 1 i punto xd

MeSiDj
MeSiDj #10 May '04

es el mismo,eliminalo

skrw
skrw #11 May '04

Creo que tengo el mismo pero me lo identifica como el Welchia 12800, con los archivos *_up.exe en la carpeta de system32 de windows y tiene infectado tambien el svchost.exe

Creo que esa solucion no es completa porq el svchost.exe sigue infectado y no se mencionan esos archivos, o tengo una variante diferente, pero tengo los mismos problemas q vosotros, tambien tengo el avserve.exe ese (CharliE)

kalt69
kalt69 #12 May '04

Gracias ;)

D
DrnK #13 May '04

no me dja borrar el avserve.exe ni avserve2.exe me pone que acceso denegado compreube ke el disco no este protegido cntra escritura tarararar... q ago?

ViPeRDaRk
ViPeRDaRk #14 May '04

MeSiDj, pon tb el removal http://securityresponse.symantec.com/avcenter/FxSasser.exe se supone q lo ace todo solito (menos instalar el parche de m$ xD)

#13 ctrl alt supr y cierra el avserve.exe y el otro xd

salu2

TaTo
TaTo #15 May '04

como era para lo del paso 2 lo de la key xD

ke se me olvido komo era ;S

asias :D

zNk
zNk #16 May '04

Cuando abro el FxSasser para eliminarlo me dice esto :

You do not hace administrator rights to run the tool.
Please contact your Network Administrator For more information.

q cojones es eso ?

DoVer
DoVer #17 May '04

ese programa lo tienes ke ejcutar con una cuenta ke tenga privilegios de administrador

zNk
zNk #18 May '04

y si no los tengo ?

MeSiDj
MeSiDj #19 May '04

si usas xp necesitas entrar con cuentra de administrador no de invitado :P

zNk
zNk #20 May '04

ok gracias , ya esta :)

Divaka
Divaka #21 May '04

Aora Voy pa la casa de mi primo q ta infectado con el mismo virus aver que tal tus instrucciones :D.

FrEeTe
FrEeTe #23 May '04

eres mi dios meisi ;@@

D
D3v1L #24 May '04

Muchas gracias 25

ManOwaR
ManOwaR #25 May '04 Cofrade

Aki teneis mas infoz!

http://www.pandasoftware.es/virus_info/enciclopedia/ficha.aspx?iddeteccion=100273

http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp

#24 Inicio, Ejecutar, Regedit

Shalauras
Shalauras #26 May '04

Si las pag web a veces me fallan y no cargan (a la de 5 o 6, vuelve a ir) tb es el virus ese?

Gracias

E
Elgor #28 May '04

#26/27

Seguramente sea el virus, pues el mecanismo que tienen los virus para actuar es lo primerito tumbar al antivirus.

Yo tenía actualizado windows y antivirus del Jueves y ayer me entró i me costó un wevo kitarlo, pq no podía conectarme a inet ni na ¬¬...

x cierto, muy útil lo shutdown -a xD aier me habría venido q pal pelo....

Ahora otro problema, después de kitar el virus ayer, actualizar windows y el antivirus (kaspersky) me ha vuelto a entrar :S... generándome los archivos *_up.exe en path: c:\windows\system32. El caso es que ya sospechaba q era otra vez nuestro amiguito, pero después de instalar el parche me resultaba extraño.

El caso es que le he vuelto a exterminar, le he pasado el symantec removal y el karspersky y ya no me detecta nada :...

El proceso SVCHOST.EXE tb lo tenía infectado ¬¬...

En fins... suerte a todos...

S
surprise #29 May '04

thx!

:D

Usuarios habituales