LSA Shell (Export version) (SOLUCIONADO)

[jevirulo]

Hola amigos,

Estoy q me subo por las paredes, llevo casi una semana intentando quitar este virus y no hay forma, asi q recurro a los expertos ;).

Os cuento, me sale el mensaje LSA Shell cuando me conecto a internet y al poco rato la pantallita con el windows\system32\lsass.exe y la cuenta atras de apagado. Despues de mucho mirar por internet, llegue a la conclusion de que era el sasser o el blaster pero he pasado ya muchos antivirus, especificos para estos virustb, y me dice q no hay nada. No veo ninguna solucion a ver si me podeis ayudar porfa. Por cierto en los procesos me sale uno muy raro de inicio q se llama win32ttb.exe y no se q es y tampoco lo he encontrado por internet. Bueno de todas formas os pongo el log del hijackthis.

Otra cosa q he apreciado es q cuando fui a las propiedades de mi pc para deshabilitar la recuperacion del sistema me salia un mensaje de error en el registro RPC.

Bueno eso es todo de momento, os agradezco mucho la ayuda de antemano.



Logfile of HijackThis v1.99.0

Scan saved at 17:28:43, on 01/02/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de Programa\YA.COM\dslstat.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de Programa\YA.COM\dslagent.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender8\bdoesrv.exe

C:\Archivos de programa\Softwin\BitDefender8\bdswitch.exe

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\girajevis\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe

O4 - HKLM\..\Run: [Windows Update Host] hoster.exe

O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] C:\Archivos de programa\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\ARCHIV~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender8\\bdswitch.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Windows Update Host] hoster.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe

O4 - HKCU\..\Run: [Windows Update Host] hoster.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A68A4D49-2D69-4AC5-93D6-CCD3ACBD65C5}: NameServer = 62.151.8.100 62.151.2.8

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server - Unknown - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

[maura63]

Antes de nada intenta conectar via windows update y actualiza tanto el IE como el XP.



Te faltan parches y por supuesto los servipacks.



Saludos

maura63

[maura63]

La clave es esta



O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe



Si no puedes actualizar ejecuta esta utilidad y vuelve despues a intentarlo



ELIRPCA



---v9.2---(31 de Enero del 2005) (para W32/Sdbot.worm!166912 de McAfee y SpyBot.LN de Trend "MSSW32.EXE")



https://foros.zonavirus.com/viewtopic.php?t=796



Saludos

maura63

[jevirulo]

He intentado hacer lo q me has dicho via Mi Pc propiedades pero al entrar en la etiqueta actualizaciones automaticas esta todo deshabilitado!!!. Como actualizo desde la pagina de microsoft??

[maura63]

Has probado con el IE abierto pinchando en herramientas y luego en windows update?



Prueba a ejecutar primero la utilidad.



Saludos

maura63

[maura63]

Arranca en modo seguro lanza hijackthis pulsa en scan y marca la casilla izquierda delas entradas siguientes, luego pulsa fix y acepta. Si conoces alguna no elimines



comprueba si puedes conectar con windows update



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport.es/

O4 - HKLM\..\Run: [Windows Update Host] hoster.exe

O4 - HKLM\..\RunServices: [Windows Update Host] hoster.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe



O4 - HKCU\..\Run: [Windows Update Host] hoster.exe

O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe





Saludos

maura63

[msc hotline sat]

Además de lo indicado por Maura63, prueba el ELILSA.EXE, y si al querer actualizar con windowsupdate te salta el shutdown, cuando ejecutes el ELILSA acepta en BLOQUEAR EL INTENTO DE INTRUSION, con lo que cerraras el port TCP445 y podrás acceder a la descarga de parches:



https://foros.zonavirus.com/viewtopic.php?t=737



saludos



ms, 1-02-2005

[jevirulo]

Tomo nota, pero he estado hacieno lo q me habeis dicho. He arrancado en modo seguro y he ejecutado el programa ELIRPCA, y me dice q no ha encontrado nada pero q ha restaurado los registros, despues he intentado pasar mi antivirus q es el Bitdefender 8 profesional plus, pero en modo seguro no se q pasa pero no me abre. Asi q he vuelto a modo normal y he intendao actualizar por el IE y me ha pasado eso q me habeis dicho me ha saltado la pantallita y el firewall del bitdefender me ha dado el aviso de backdoor. Q hago???, lo de hijackthis en modo seguro o pasar otro antivirus??, si tengo q pasar otro antivirus recomendarme uno porfa.

Muchas gracias

[msc hotline sat]

Prueba con el ELILSA que no es lo mismo que el ELIRPCA.



Cintrolan dos gamas distintas de intrusion, uno por el desbordamiento de buffer del LSASS; a través del TCP 445 , y el otro por la vulnerabilidad RPCDCOM, a través del NETBIOS 135



Saludos



ms, 1-02-2005

[jevirulo]

He probado el ELILSA normal y en modo de prueba y no me ha encontrado nada, lo q si q funciona, es q si lo activo ya no me aparece la pantallita de desconexion. Q puedo hacer???, de todas formas he de hacer lo del hijackthis en modo seguro???

[caito]

El Hijack lo pasas en Modo Normal, pero asegúrate de tener todas las aplicaciones cerradas ( por ej : internet,Windows Media, otros programas,etc).

Salu2

Caito

[jevirulo]

Bueno despues de muchos intentos...He encontrado los virus!!!. He pasado en modo de pruebas el antivirus stinger de McAfee y me los ha detectado y eliminado, en efecto era el gusano q me dijisteis. Luego he borrado los registros con el hijackthis, tb como me dijisteis. Pero no se si lo he limpiado del todo, pq cuando me he conectado a internet en modo normal para bajarme el parche del windows me ha vuelto a salir el mensajito y la cuenta atras. Pero he conseguido bajar el parche e instalarlo. Despues he vuelto a hacer una pasada con el stinger y ni rastro de los virus anteriores ni en el registro tampoco. Mi pregunta es, es normal q me saliera las pantallitas una vez quitado los virus antes de instalar el parche???

[caito]

creo que es normal, lo importante es que ya lo has actualizado, comenta como funciona ahora.

Salu2

caito

[maura63]

Tal y como dice Caito es normal mientras no tuvieras el parche instalado.



Saludos

maura63

[msc hotline sat]

Para conocimiento de todos:



Cuando un gusano de los que intentan entrar por desbordamiento de buffer del LSASS intenta entrar (el que sea, Sasser, KOrgo, Cycle, etc etc), si no hay el parche correspondiente aplicado (MS04-011 o SP2 de XP), remotamente se puede recibir el intento de intrusion que produzca el ERROR de windows, por el cual lance el shutdown, y ello impida bajar los parches o lanzar el windowsupdate.



Por ello, con el ELILSA, lo primero que se ofrece es BLOQUEAR EL INTENTO DE INTUSION, lo cual, si se acepta, cierra de port TCP445 que es por el que intenta entrar este gusano, impidiendo que llegue a poder provocar dicho ERROR, y consecuentemente que provoque el shutdown, y por ello puede actualizarse los parches sin reinicios.



En el siguiente reinicio, el port cerrado se restaura normalmente, y ya no aparecen las fastidiosas cuentas atras del shutdown.



Además, esta utilidad ELILSA; elimina los gusanos al respecto que hubiera en el ordenador, y luego, si encontrara a faltar el parche correspondiente, lo indica para que pueda obrarse en consecuencia.



Con esto espero que se comprenda el porqué se pudo actualizar los parches con dicha utilidad



https://foros.zonavirus.com/viewtopic.php?t=737



Aclaro que los shutdown en general pueden detenerse una vez lanzados, con inicio-ejecutar SHUTDOWN -A o atrasando el reloj un par de horas, logrando que el reinicio sea el la hora prevista, en tal caso 2 horas mas tarde.



saludos



ms, 2-02-2005

[msc hotline sat]

Y viendo al releer el Tema que eso era todo, habiendose solucionado el problema, cerramos el Tema



saludos



ms, 2-02-2005