Mensaje de fallos

Estas infectado con el Worm (Esto es peor que un Virus) W32.Sasser.worm, Te
pego un post que ha puesto el socio "Caronte" en el foro de Windows XP:

"What You Should Know About the Sasser Worm
http://www.microsoft.com/security/i...sasser.asp
http://msmvps.com/harrywaldron/posts/5752.aspx

If your computer is infected with the W32.Sasser.worm, you will
see a dialog box with an LSASS.exe error.

1. Enable the Windows XP Internet Connection Firewall or a
third-party firewall on the affected computer.
2. Disconnect the computer from the Internet.
3. Restart the computer. If you have problems rebooting, reboot
in safe mode.
4. Press CTRL+ALT+DEL.
5. Click the Task Manager.
6. Click the Processes tab.
7. Press and hold the CTRL key and then click
C:\WINDOWS\avserve.exe and c:\WINDOWS\system32\*_up.exe.
8. Click the End Task button.
9. Click Start.
10. Click Search and then search for and delete the following
files:
* C:\WINDOWS\avserve.exe
* c:\WINDOWS\system32\*_up.exe
11. Click Start again, click Run, and then type: regedit32
12. Click OK.
13. In Registry Editor, locate and delete the following registry
key:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
14. Connect the computer to the Internet.
15. Go to the Windows Update site, and click the Scan for
Updates button.
16. Download and install the critical updates
recommended after the scan."

Mr.Tucker Dot Com.-
Mr.Tucker [MS-MVP Windows - IE/OE] Anteriormente posteando como "Stripper"

"Mauricio Vittini" escribió en el mensaje
news:706e01c42fe5$c2fa8230$
Mi Notebook (IBM A21M) me entregó el siguiente
mensaje "C:\Windows\system32\Isass.exe ha finalizado
inesperadamente..." Posteriormente a ello se apaga y se
resetea automáticamente. Cada vez que se reinicia entrega
el mismo mensaje y vuelve a reiniciarse. ¿Como se puede
reparar este fallo? Uso Windows XP Professional

Atte.

M. Vittini

Mauricio Vittini wrote:

Mi Notebook (IBM A21M) me entregó el siguiente
mensaje "C:Windowssystem32Isass.exe ha finalizado
inesperadamente..." Posteriormente a ello se apaga y se
resetea automáticamente. Cada vez que se reinicia entrega
el mismo mensaje y vuelve a reiniciarse. ¿Como se puede
reparar este fallo? Uso Windows XP Professional

Atte.

M. Vittini

Herramienta de eliminación de W32.Blaster.Worm
Descubierto el: August 11, 2003
Actualizado por última vez el: April 1, 2004 09:27:19 AM


Symantec Security Response ha desarrollado una herramienta que permite
eliminar infecciones causadas por:
W32.Blaster.Worm
W32.Blaster.B.Worm
W32.Blaster.C.Worm
W32.Blaster.D.Worm
W32.Blaster.E.Worm
W32.Blaster.F.Worm


Notas importante:
· W32.Blaster.Worm es un gusano que explota la vulnerabilidad de DCOM RPC
(llamada remota de procedimientos) descrita en Microsoft Security Bulletin
MS03-026, (este recurso esté en inglés) y el parche de actualización se
encuentra ahí. Usted deberá descargar e instalar el parche. En muchos
casos, necesitará hacer esto antes de proceder con el proceso de
eliminación del gusano. Si tiene problemas para eliminar la infección o
prevenir la re-infección por medio de estas instrucciones, descargue e
instale el parche de actualización.
· Información adicional y un sitio alternativo del cual puede descargar el
parche de Micosoft se encuentra en el artículo What You Should Know About
the Blaster Worm and Its Variants.
· Debido a la forma de operar del gusano, puede tener ser que se presenten
problemas de conexión con internet para obtener el parche, definiciones de
virus o la herramienta de eliminación antes de que el gusano apague el
equipo. Se han recibido reportes de usuarios que usan Windows XP, que al
activar el firewall les permite la descarga e instalación del parche, así
como para las definiciones de virus y la herramienta de eliminación. Esta
también puede aplicar con otros firewalls, aunque no ha sido confirmado.

Utilidad de la herramienta

La Herramienta de eliminación de W32.Blaster.Worm realiza las siguientes
tareas:
1. Termina todos los procesos virales de W32.Blaster.Worm.
2. Elimina los archivos de W32.Blaster.Worm.
3. Elimina los archivos asociados.
4. Elimina los valores agregados en el registro por el gusano
Parámetros de línea de comandos disponibles para la herramienta
Parámetros Descripción
/HELP, /H, /? Muestra el mensaje de ayuda.
/NOFIXREG Desactiva la reparación del registro (el uso de este parámetro
no es recomendable).
/SILENT, /S Activa el modo silencioso.
/LOG=<path name> Crea un archivo de registro; <nombre de ruta> es la
ubicación en que se almacenan los resultados de la herramienta. de forma
predeterminada, este parámetro genera el archivo de registro FixBlast.log
en la misma carpeta desde la que se ejecute la herramienta de eliminación.
/MAPPED Analiza las unidades de red asignadas (el uso de este parámetro
no es recomendable; consulte las notas).
/START Obliga a la herramienta a iniciar el análisis inmediatamente.
/EXCLUDE=<path> Excluye del análisis la <ruta> especificada (el uso de
este parámetro no es recomendable).

NOTA: el uso del parámetro /MAPPED no garantiza la eliminación total del
virus en el equipo remoto por los siguientes motivos:
· El análisis de unidades asignadas sólo abarca las carpetas que estén
asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto,
por lo que se producirían omisiones en la detección.
· Si se hallara un archivo infectado en la unidad asignada, no se podría
llevar a cabo la eliminación de dicho archivo si otro programa lo
estuviese usando.

Por estos motivos, se debe ejecutar la herramienta de forma local en todos
los equipos.

Restablecer la conexión a internet
En muchos casos tanto para Windows 2000 y Windows XP, cambiando la
configuración del servicio de RPC (Remote Call Procedure) le puede
permitir conectarse a internet sin que se apague el equipo. Siga uno de
estos pasos:
a. Haga clic en Inicio > Ejecutar. El cuadro de diélogo de Ejecutar
aparece.
b. Escriba:

SERVICES.MSC /S

en la línea, y haga clic en Aceptar. La ventana de Servicios se presentará.
c. En el panel del lado derecho, busque Llamada a procedimiento remoto
(RPC).

ADVERTENCIA: No confunda con el servicio de Localizador de llamadas a
procedimiento remoto (RPC).

d. Haga clic con el botón derecho sobre Llamada a procedimiento remoto
(RPC) y seleccione Propiedades.
e. Haga clic sobre la pestaña Recuperación.
f. Usando el menú desplegable, cambie Primer error, Segundo error y
Siguiente error a "Reiniciar el servicio".
g. Haga clic en "Aplicar" y "Aceptar".

ADVERTENCIA: Asegúrese de restaurar esta configuración, después de haber
removido el virus.

Para obtener y ejecutar la herramienta

Nota:
· Es preciso disponer de derechos administrativos para ejecutar esta
herramienta en Windows NT 4.0, Windows 2000 o Windows XP.
· Si usted está ejecutando MS Exchange 2000 Server, puede desear excluir
la unidad M del análisis de la herramienta, usando el parámetro de
exclusión. Sin importar si usted toma esta opción, antes de ejecutar la
herramienta respalde todos los datos de la unidad M. Para mayor
información, sobre la importancia de esta última acción lea el documento
de la base de conocimientos de Microsoft, "XADM: Do Not Back Up or Scan
Exchange 2000 Drive M" (Article 298924).

1. Descargue el archivo FixBlast.exe de:

http://securityresponse.symantec.co...xBlast.exe
2. Guarde el archivo en una ubicación adecuada, por ejemplo, su carpeta de
descargas o el escritorio de Windows (o bien en un medio extraíble que
sepa no está infectado, si es posible).
3. Para comprobar la autenticidad de la firma digital, consulte la sección
"La firma digital".
4. Cierre todos los programas antes de ejecutar la herramienta.
5. Si está utilizando Windows Me o XP, desactive Restaurar sistema.
Consulte la sección "Restaurar sistema de Windows Me/XP", si desea obtener
más detalles al respecto.

ADVERTENCIA: recomendamos insistentemente que no omita este paso, si
ejecuta Windows Me/XP.

6. Haga doble clic en el archivo FixBlast.exe para iniciar la herramienta
de eliminación.
7. Haga clic en Start para que se inicie el proceso y deje que se ejecute
la herramienta.

Nota: Si al ejecutar la herramienta, se presenta un mensaje indicando que
la herramienta no pudo eliminar uno o más archivos, tendrá que volver a
ejecutar la herramienta en Modo a prueba de fallos. Apague la computadora,
desconéctela de la energía eléctrica y espere 30 segundos. Reinicie la
computadora en Modo a prueba de fallos y ejecute la herramienta
nuevamente. Todos los sistemas operativos Windows a 32 bits pueden iniciar
en Modo a prueba de fallos excepto Windows NT. Para mayor información, lea
el documento "Como reiniciar Windows 9x o Windows Me en Modo a prueba de
fallos."

8. Reinicie el equipo.
9. Ejecute otra vez la herramienta de eliminación para asegurarse de que
el sistema quede limpio.
10. Si está utilizando Windows Me/XP, tendrá que volver a activar
Restaurar sistema.
11. Ejecute LiveUpdate para confirmar que dispone de las definiciones de
virus más recientes.

Cuando termine de ejecutarse la herramienta, se mostrará un mensaje
indicando si el equipo está infectado por W32.Blaster.Worm. En caso de que
se elimine el gusano, el programa mostrará los siguientes resultados:
· El número total de archivos analizados.
· El número de archivos eliminados.
· El número de procesos víricos terminados.
· El número de entradas de registro reparadas.

La firma digital

FixBlast.exe está firmado digitalmente. Symantec recomienda utilizar
únicamente copias de FixBlast.exe descargadas directamente del sitio de
descargas de Symantec Security Response. Para comprobar la autenticidad de
la firma digital, siga estos pasos:
1. Acceda a http://www.wmsoftware.com/free.htm.
2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la
que guardó FixBlast.exe por ejemplo, C:\Descargas.
3. Según el sistema operativo que ejecute, realice una de las siguientes
acciones:
· Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en
MS-DOS.
· Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en
Accesorios y seleccione MS-DOS.
4. Cambie a la carpeta donde almacenó los archivos FixBlast.exe y
Chktrust.exe y, entonces, escriba:

chktrust -i FixBlast.exe

Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los
siguientes comandos:

cd\
cd descargas
chktrust -i FixBlast.exe

Presione la tecla INTRO después de cada comando. Si la firma digital es
válida, aparecerá lo siguiente:

Se pide su aprobación para instalar y ejecutar "W32.Blaster.Worm Removal
Tool" firmada el 8/11/2003 a las 7:14 PM y distribuida por Symantec
Corporation.

NOTAS:
· La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a
su zona horaria, siempre que el equipo no esté configurado según la zona
horaria del Pacífico.
· Si está utilizando el horario de verano, la hora que aparecerá será
exactamente una hora menos.
· Si no se muestra este cuadro de diálogo, existen dos causas posibles:
· La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que
esté seguro de que la herramienta es legítima y que la haya descargado del
verdadero sitio Web de Symantec.
· La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el
sistema operativo ha sido configurado con anterioridad para que confíe
siempre en el contenido de Symantec. Si desea obtener información sobre
cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte
el documento "How to restore the Publisher Authenticity confirmation
dialog box." (este recurso se encuentre en idioma inglés).
5. Haga clic en Sí para cerrar el cuadro de diálogo.
6. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de
MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la
función Restaurar sistema. Esta función, que se encuentra habilitada de
forma predeterminada, la emplea Windows ME/XP para restaurar los archivos
de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo
de Troya infecta un equipo, es posible que dicho virus, gusano o caballo
de Troya se haya guardado en la copia de seguridad efectuada por Restaurar
sistema. De forma predeterminada, Windows no permite que los programas
externos modifiquen la función Restaurar sistema. Como resultado, existe
la posibilidad de que se restaure involuntariamente un archivo infectado,
o bien que una exploración en línea detecte la amenaza en dicha ubicación.
Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema,
consulte la documentación de Windows o uno de los siguientes artículos:
· Cómo deshabilitar y habilitar Restaurar sistema en Windows Me.
· Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

Si desea obtener más información y un método alternativo para desactivar
la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot
Clean Infected Files in the _Restore Folder (Q263455). de la base de
conocimientos de Microsoft.

Cómo ejecutar la herramienta desde un disquete
1. Introduzca el disquete que contiene el archivo FixBlast.exe en la
unidad de disquetes.
2. Haga clic en Inicio y seleccione Ejecutar.
3. Escriba la siguiente cadena y haga clic en Aceptar.

a:\FixBlast.exe

NOTAS:
· No inserte ningún espacio en el comando, a:\FixBlast.exe.
· Si utiliza Windows Me y la función Restaurar sistema permanece activada,
aparecerá un mensaje de advertencia. Puede escoger entre ejecutar la
herramienta de eliminación con la función Restaurar sistema activada o
cerrar la herramienta.
4. Haga clic en Start para que se inicie el proceso y deje que se ejecute
la herramienta.
5. Si está utilizando Windows Me, active otra vez Restaurar sistema.