no se detiene el ciclo de reinicio genera el sasser (Soluci

marisani · Mensaje por **marisani** » 26 Jul 2004, 22:32

He seguido todos los pasos para remover el virus sasser de un servidor windows 2003 server.

Primero instale las actualizaciones de windows, he retirado las entradas de registro que crea el virus y le he aplicado antivirus y a pesar de todo, el ciclo de reinicio de lsass.exe sigue ejecutandose y no me deja ni siquiera loggearme (todos los procedimientos se realizaron en modo a prueba de fallos)...

¿alguien sabe que se puede hacer? :cry:

Mensaje por **cañera** » 27 Jul 2004, 06:51

pasa esta utilidad;

https://foros.zonavirus.com/viewtopic.php?t=737

cuentanos como te fue.

terminatar · Mensaje por **terminatar** » 28 Jul 2004, 10:51

La semana pasada me encontré con un ordenador que curiosamente volvía a reiniciarse a pesar de que yo, en su día, había instalado el parche por la vulnerabilidad de LSSAS.

Comprobé que nadie había desinstalado el parche, lo reinstalé y en modo a prueba de fallos pasé la utilidad ELILSA.exe que aparentemente encontró al intruso y lo eliminó.

Mi sorpresa vino cuando después de reiniciar entro en internet para actualizar el antivirus y me vuelve a salir la ventanita de que se va a apagar el ordenador. Retrasé la hora para poder terminar de actualizar el antivirus y lo pasé en modo a prueba de fallos. Encontró dos virus: Randex y Spybot.worm. Creo que fue este último el que daba el problema. Después de eliminarlos no ha vuelto a reiniciarse.

:) Saludos

Mensaje por **msc hotline sat** » 28 Jul 2004, 11:07

Lo que te pasa es que no actualizas con windowsupdate, y aunque tengas instalados los parches para el LSASS, no tienes los del RPCDCON, que es por donde entran estos otros, y te provocan el mismo shutdown, pues el que hace esto es windows, al detectar un Error de intento de intrusion, desbordamiento de buffer, etc.

Comprueba lanzando el ELIRPCA .EXE , que aparte de eliminar restos viricos, aunque ya no tuvieras el virus, si te encuientra a faltar el parche de microooft al respecto, te avisará.

Te recuerdo que el windows update lo tienes en Herramientas del Internet Explorer., dile buscar actualizaciones pendientes e instalalas.

https://foros.zonavirus.com/viewtopic.php?t=46

saludos

ms. 28-07-2004

terminatar · Mensaje por **terminatar** » 28 Jul 2004, 12:30

Si que tenía también instalado el parche por la vulnerabilidad de RPC. Con todo, y aunque comprobé que ambos parches estaban instalados, los volví a reinstalar. Es por eso que me resulta curioso que volviera a ocurrir.

:)

Mensaje por **msc hotline sat** » 28 Jul 2004, 12:51

Verás: El parche para el RPCDCOM para el Blaster era el MS03-026, pero luego salió el MS03-039 que lparcheaba ahujeros del primero, y podrías haber tenido uno u otro, pero es que ahora este año salió el MS04-012, posterior al 011 del SASSER, y este quizás no lo tengas aplicado, por eso te digo que ejecutes el ELIRPCA.EXE y si no la tuvieras aplicada te lo diría (aunque tuvieras aplicada la 026 p la 039

Y con el windowsupdate detectarías las pendientes y podrías instalarlas si fuera el caso.

saludos

ms, 28-07-2004

terminatar · Mensaje por **terminatar** » 28 Jul 2004, 14:54

Pues es bastante probable que la versión del parche para RPC que tuviera instalada fuera la antigua (eso no lo comprobé). Pero al reinstalar los parches utilicé el último, el mismo que tu me indicas. No tengo muy claro que el hecho de tener la versión vieja del parche fuera el reponsable de tener un virus que produjera el apagado pues el mensaje que presentaba se refería al servicio lsass.exe y volvió a salir tras pasar las utilidades para el sasser y para los virus de RPC, siendo además el del sasser el único que detectó al intruso.

Respecto a lo de actualizar mediante windows update, pues yo mantengo mi ordenador bien actualizado, creo que es muy importante. Así intento transmitirlo cuando me encuentro con un ordenador con un problema por falta de actualización. Pero... yo creo que hay muchísima gente que cuando le sueltas el sermón sobre los virus y las actualizaciones y los parásitos y tal y tal.... te escucha con mucha educación pero luego pasa de hacer nada porque en realidad no se cree lo que le estás contando.

Supongo que habrá gente que piensa que les engañamos y otros que piensan que estamos pirados o algo así...

Saludos :)

Mensaje por **msc hotline sat** » 28 Jul 2004, 15:13

Sí, los hay que se creen inmunes a los virus, y cuando les hablas de los parches parece que les quieras vender algo...

Y lo típico es que cuando se pregunta la version del antivirus, todos tienen la última, pero cuando insistimos en el número, casi nadie está al día.

Pero si no fuera por esto, no haríamos falta...

Si el mensaje dice algo sobre el LSASS, puede que sea de los que entran por ambois agujeros, y entre por el que no tengas el parche instalado.

Bajate de nuevo las dos utilidades ELIRPCA y ELILSA (pero las que hay ahora en la web, que cambian a menudo) y ejecutalas, y si no te encuentra a faltar ningun parche ni detecta virus, aleluya.

https://foros.zonavirus.com/viewtopic.php?t=796

https://foros.zonavirus.com/viewtopic.php?t=737

Por cierto, y tienes actualizado el antivirus? De qué día? ...

saludos

ms, 28-07-2004

terminatar · Mensaje por **terminatar** » 11 Ago 2004, 17:46

Tras diez días de vacaciones sin virus, ni parches, ni teclado, ni ratón... habrá que ir volviendo poco a poco a la vida real.

Bueno, tras pasar las utilidades actualizadas que comentas no volvió a detectar ningún intruso. Toquemos madera y... a vivir, que son dos días. 8)

Saludos

Mensaje por **maura63** » 11 Ago 2004, 17:48

Pues solucionado el tema lo cerramos.

Saludos

maura63