Cultura Gamer / Geek / Friki / Otaku y Mucho mas.

Nod32

Eliminar el virus lsass.exe

10 September 2010 DarkTairoN Software, 1

Primero que nada como ya les había mencionado en un post anterior lsass.exe no es el virus en si se trata de un proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows más concretamente de que estos funcionen correctamente y en orden pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A desgraciadamente parece que también el virus W32/Rbot-AHW está haciendo de las suyas con este proceso.

En este caso el W32/Rbot-AHW no es tan fácil de eliminar como el W32/Sasser.A pero buscando por ahí descubro que ya existe un tutorial para borrarlo gracias al foro de Spyware, los pasos son los siguientes:

Sigue estos pasos:

1) Ver archivos ocultos

2) Reinicia a prueba de fallos

3) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

  • O4 – HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
  • O4 – HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe

4) Busca y elimina este archivo:

  • ssprotecter.exe

5) Reinicia normal y finaliza con estos pasos:

  • - Pasa al menos 2 de estos Antivirus Online o algún antivirus como No32, Kaspersky o Avast.
  • - Limpia el registro con RegSeeker (Te recomiendo Tune- Up) y pasa Ad-Aware actualizado.
  • - Elimina cookies y temporales con Disk Cleaner y vacía la papelera (igual recomiendo Tune- Up es mejor aplicación)
    Reinicia y el virus fue eliminado (probado en Windows xP y Vista)

Aplicaciones y más información:

, , , , , , , , , , , ,

¿Qué es el proceso lsass.exe y porque es peligroso?

13 March 2010 DarkTairoN General, 18

Bueno como ya en varias ocasiones les he dicho mi hermana tiene la sorprendente habilidad de contaminar su PC con unos virus que me llevan horas quitar este es el caso de Isass.exe, primero una pequeña introducción al virus.

¿Qué es lsass.exe?

Antes de nada originalmente no era un virus se trata de un proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows más concretamente de que estos funcionen correctamente y en orden pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A.

¿Qué es el virus W32/Sasser.A?

Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver “MS04-011 Actualización crítica de Windows (835732)”, http://www.vsantivirus.com/vulms04-011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Básicamente una vez que está infectado lsass.exe es como si tu PC tuviera la puerta abierta para ser controlada este es un problema más que nada de los equipos que usan Windows desatendido (ósea pirata) o que simplemente no está actualizado.

¿Cómo elimino W32/Sasser.A o borro el lsass.exe?

Lamentablemente muchos antivirus fallan al momento de detectar este problema con el proceso Isass hasta el momento AVG, AVAST, NOD32, Norton, McAffe parecen no detectarlos Karspesky y Panda lo detectan perfectamente pero la única manera de eliminarlo es borrar el proceso del sistema o que puede acarrear problemas con la seguridad de Windows. La forma más seguro y fácil es instalar cualquiera de los dos antivirus mencionados actualizarlo y listo.

¿Cómo se si mi proceso está infectado?

Bueno este virus se propaga igual por USB asi que básicamente si tienes “ver archivos ocultos” y ven que en una memoria USB existe un archivo autorun y lsass.exe quiere decir que tienes el virus, en algunos equipos más vulnerables esos se reinician cada 60 segundos lo que hace un infierno de virus.

En caso de que no puedan conseguir los antivirus mencionados pueden usar varios de los métodos que ofrecen vsantivirus.

Curiosidades:

  • Un error común es confundir Isass.exe con lsass.exe el nombre correcto es lsass.exe y viene de Local Security Authority Subsystem.
  • Pertenece al grupo de los virus supercompactos lo cual hace que sea más difícil su detección.
  • Al parecer que no lo detecte Nod32 y AVG se debe a quejas de los usuarios por que el antivirus borraba lsass.exe que se considera un proceso importante del sistema.

, , , , , , ,

Opdux.exe: el virus del USB y desconexión de Messenger en un solo paquete

15 November 2009 DarkTairoN Software, 3

virus-pendrive

Reparar la Lap-top de mi hermana siempre es un reto, no sé como lo hace pero cada vez que tengo que repararla me trae algo nuevo que no se compone con lo que ya hice y tengo que empezar de nuevo ahora me salió con un virus llamado opdux.exe para los que han sufrido de esta infección sabrán que no existe mucho sobre él pues es una de las miles de variantes de virus que infecta el USB lo que cambia es que opdux.exe también acata las conexiones de Messenger.

  • Como ataca:

El virus se comporta igual que los demás una vez que estas contaminado se copiara a cualquier memoria USB que tengas pero no se infectara la memoria (aquí se puede eliminar el virus de forma manual por “Símbolo del sistema”), el virus es listo una vez que se copia a la memoria se queda inactivo pero escondido hasta que lo conectas a otra PC en ese momento se copia al disco duro e infecta a la nueva PC y el USB sigue sin ser infectado.

  • Que hace:

Una vez infectada la PC bloquea los archivos ocultos y no deja verlos pues él se esconde en la raíz de cada disco y USB pero aparte impide las conexiones del Messenger solo te dejara conectarte un segundo para que se desconecte después aparte lanzara anuncios de diferentes empresas de celular por medio del Internet Explorer (siempre es Internet Explorer no importa que no sea tu navegador por default no afecta a Firefox ni a Opera pero si bloquea al Safari).

  • Como removerlo:

El virus es detectado por el Nod32 y el Avast (tal vez por mas antivirus pero son los únicos que probé, una vez eliminado el archivo que contamina la maquina tenemos que eliminar la infección para eso usamos el Flash Disinfector una pequeña aplicación que elimina todo los problemas del virus limpia los discos, limpia los USB, permite que el Messenger se conecte y elimina el problema de la publicidad por medio de internet Explorer. Solo tienes que ejecutarla y darle aceptar, probablemente se cierre el Explorador de Windows pero espera unos minutos o ejecútalo manualmente.

Enlaces:

, , , , , , ,

Entradas Anteriores

Categorias

Comentarios Recientes

Blogroll

TaironCave