Isass.exe Imposile de Remover

Estado
Cerrado para nuevas respuestas

ElGuapoBen

Nuevo Miembro
Miembro
#1
Tengo una Computadora Ensamblada la acabo de comprar el motherboard es un PC-Chip modelo 925D tengo un Celeron de 1.7 y 256 Memoria ram el disco duro es seagate barracuda st340015a.

le instale Windows XP Pro y las utilerias necesarias y no había problemas me conectaba a internet a travez de el modem es un smart link 56K por descuidado no actualize el Win XP ni tenia el Norton Cargado entonces me aparecio el clasico mensage de AUTORTY no se que, y que va a cerrar Windows , unas semanas antes esto les había pasado a unas vecinas en la pagina de microsoft viene como borrar al virus así que sigui los pasos y listo desaparecio el virus.

Asi que me imagine que era practicamente lo mismo, pero o sorpresa, desde que me aparecio el letrero de AUTORITY computadora no puedo accesar internet, si me conecto a mi proveedor pero cuando le pongo www.yahoo.com me dice que no existe esta dirección y se pone a buscar www.www.yahoo.com.com.edu y luego cambia de dirección , hasta aquí ok pense.. tengo el virus lo remuevo ....

Por cierto cuando le pongo la Ctrl + Alt + DEL y me muestra la barra de tareas esta el Isass.exe.

ok no lo pude eliminar así que lo mas comun fue formatear he instalar otra vez XP , Para mi sorpresa seguia apareciendo el Isass.exe en las Tareas y no me podia conectar a internet, así que como la maquína venia con un CD de Lindows (Version de Linux) Decidi instalar esta Version con el fin de Destruir todo vestigio de datos ocultos. cuando vuelo a Instalar XP , Sigue El Isass.exe CArgado , no instalo nada solo Windows XP y cuando Termina de instalar me fijo en los procesos y ahi esta el Isass.exe.

Decidi Instalar Windows 98 Second Edition y me Funciona ok me conecto a internet, Procesador de Palabras Hoja de Calculo Todo ok...

Asi que Baje la utileria de Seagate para Formatear el disco Por si las Fly´s.

lo formate y ademas viene que le pongas ceros a todo el disco para borrar toda la información lo hice y volví a instalar WinXP y el mismo resultado solamente termino de instalar WinXP pongo los Procesos y ahi esta Issas.exe y obviamente no tengo acceso a internet

Vuelvo a instalar Win98 y todo bien...

La mera verdad no se , si alguien tiene idea que tengo HELPMEEEEEE:::::.........

Gracias
 

jbex

El que peca y reza empata
Administrador
#2
Hola ElGuapoBen, el servicio que ves Isass.exe es la Shell de LSA (Local Security Authority) o lo que es igual es el proceso que se encarga mecanismo de seguridad en Windows y su paht es: C:\WINDOWS\system32\lsass.exe y claro es normal que lo encuentres.

Asi que Baje la utileria de Seagate para Formatear el disco Por si las Fly´s.

lo formate y ademas viene que le pongas ceros a todo el disco para borrar toda la información lo hice y volví a instalar WinXP y el mismo resultado solamente termino de instalar WinXP pongo los Procesos y ahi esta Issas.exe y obviamente no tengo acceso a internet
El por que no tienes acceso a Internet, es otro cantar, has instalado los drivers de tu moden? Has configurado tu conexión? Metido el número al que te debes de conectar tu user y pass, etc. O solamente viste el Isass.exe y…

Acuérdate antes de configurar y conectar a Internet el parchearte contra el Blaster y Sasser

Un saludo, jbex.
 

Techy

Nuevo Miembro
Miembro
#3
En mi opinión es el Sasser ya que este gusano se aprovecha de la vulnerabilidad LSASS Buffer Overrun.

http://www.microsoft.com/technet/security/...n/ms04-011.mspx

Cuando el gusano se ejecuta se copia a si mismo en:

%windows%\lsasss.exe

Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

Además modifica la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"napatch.exe"="%windows%\lsasss.exe"

También intentará eliminar las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ssgrate.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsys.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Drvddll_exe"

Seguidamente crea un mutex llamado "SkynetNotice" el cual permite que sólo una instancia del gusano se ejecute en memoria.

El gusano crea 128 hilos (threads) para escanear direcciones IP aleatorias por el puerto TCP 445.

Luego de encontrar una PC vulnerable y realizar la conexión, el gusano crea un shell remoto en el puerto TCP 1022. Luego la PC a infectar abre un servicio FTP en el puerto TCP 1023, de esta manera se realiza la descarga del gusano en la PC. El nombre del archivo descargado consta de 4 a 5 digitos seguido por "_upload.exe" (Ejemplo: 45345_upload.exe) y se copia en la ruta %system%.

Nota: %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además el gusano utiliza una API de Windows llamada "AbortSystemShutdown" para intentar detener el proceso de apagado o reiniciado de la computadora atacada, el gusano llama a esta API una vez por segundo durante las dos primeras horas de ejecutado el gusano, para luego mostrar el siguiente mensaje:

- Your computer is affected by the MS04-011 vulnerability
- It can be that dangerous computer viruses similar the Blaster worm infect your computer
- Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
- This is an message from the SkyNet Team for malicious activity prevention

Seguidamente el gusano provoca un error en el archivo LSASS.EXE, lo cual origina que la PC se reinicie luego de esta falla.

Imagen Perdida/Rota

Este gusano puede ejecutarse en Sistemas Operativos Windows 95/98/Me pero no los infecta; el gusano intentará infectar sistemas vulnerables (NT/2000/XP) que puedan conectarse desde estos equipos.

Puede ser esa la causa; pero como dice mi bien amigo Jbex, descarta todas las probabilidades de la conexión de internet. :oops:

Apenas termines de instalar bájate los parches que también te han dado.

saludos!! :rolleyes:
 

alnitak

Ex-Admin
Miembro
#4
Como ha explicado Jbex, lsass.exe no es el gusano Sasser sino un archivo de sistema de Windows y es indispensable para su funcionamiento. Si se bloquea a través de un firewall o si se borra ya Windows dejará de funcionar bien y probablemente no se podrá ni conectar a la red.

Que el gusano Sasser aproveche de un bug para malograrlo ya es otro cantar, por eso es indispensable una vez instalado Xp y antes de conectarse pór primera vez aplicar el parche para el blaster ya que por ejemplo para mi rango de Ip no tarda ni 2 minutos en infectar una maquína no parcheada que se conecte a la red por primera vez y después el parche del sasser que es mucho menos contagioso pero igual da su problemas.

Ese mensaje que te salia se puede deber a cualquiera de los 2, Blaster o Sasser y si no tenias instalado el parche para el blaster es mucho mas probable que se debiera a este ya que es mucho mas rápido a la hora de infectar a una maquína no parcheada.

Quiero también aclarar que ni el blaster ni el sasser son imunes al fomateo ya que solo actuan a nivel de sistema, un formateo o hasta la simple reinstalacion del sistema los remueve por completo.
 

ElGuapoBen

Nuevo Miembro
Miembro
#5
gracias a todos por su valiosa ayuda :D

El error aunque increible que paresca estaba en la configuración de mi ISP debia de poner el correo saliente y el entrante si no hacia esto no funcionaba, y en Win98 esto no le afecta (Esto es creo yo , solo para este proveedor de servicios)

Les agradezco a todos su valiosa ayuda ya que gracias a sus consejos pude llegar a la solucion :D :D :D :D
 

dragonwarrior

Nuevo Miembro
Miembro
#6
A mi lo que me paso fue que el Windows 98 no me pescaba la targeta de vídeo y cuando ponia mis documentos se pegaba o cuando apretaba en cualquier carpeta y lo que ise fue instalas el Windows 2000 server y lo deje junto al 98 porque no tengo ningún draivers y del 98 saque todas mis cosas pero mientras todo iva vien cuando chatiava por messenger me salio una pantalla pequeña que decía (SE ESTA APAGANDO EL SISTEMA. GUARDE TODO TRABAJO EN CURSO Y CIERRE LA SESION. SE PERDERA CUALQUIER CAMBIO QUE NO HAYA SIDO GUARDADO. EL APAGADO HA SIDO INICIADO POR NT TIEMPO RESTANTE 60 59 58... asta llegar a 0. y abajo decía EL PROCESO DE SISTEMA ´´C:/WINNT/SYSTEM32/ISASS.ESE´´ HA FINALIZADO INESPERADAMENTE CON EL CODIGO.

y ese mensaje me sigio saliendo siempre que ocupo mi pese por un rato y realmente no se que hacer ¿?¿?¿? QUE ME RECOMIENDAN?
 

alnitak

Ex-Admin
Miembro
#8
Tu problema en realidad se debe Sasser nada mas, ya que el mensaje de error en C:/WINNT/SYSTEM32/LSASS.EXE le corresponde al Sasser, el del blaster sale en el C:/WINNT/SYSTEM32/svchost.exe ademas el Blaster normalmente no apaga al Windows 2000 sino unicamente al XP.

Está claro todavia que si no has instalado el parche pa el blaster existen buenas probabilidades que estés infectado y deberás removerlo y aplicar el parche correspondiente ya que por mas que no te apague el sistema igual te provoca varios problemas y pone tu conexión mas lenta.
 

dragonwarrior

Nuevo Miembro
Miembro
#9
Cuando intente instalar los perches para mi Windows 2000 me sale esto:

EL PROGRAMA DE INSTALACIÓN HA DETECTADO QUE LA VERCION DE SERVICE PACK INSTALADA EN EL SISTEMA ES INFERIOR A LA NESESARIA PARA APLICAR A ESTA REVISION.

COMO MINIMO , DEBE TENBER SERVICE PARK 2 INSTALADO

YA CHAU8 ME SALIO EL ERRROR Y SEME BA A APAGAR EL PC
 
F

Fandor

Guest
#10
Tengo una Computadora Ensamblada la acabo de comprar el motherboard es un PC-Chip modelo 925D tengo un Celeron de 1.7 y 256 Memoria ram el disco duro es seagate barracuda st340015a.

le instale Windows XP Pro y las utilerias necesarias y no había problemas me conectaba a internet a travez de el modem es un smart link 56K por descuidado no actualize el Win XP ni tenia el Norton Cargado entonces me aparecio el clasico mensage de AUTORTY no se que, y que va a cerrar Windows , unas semanas antes esto les había pasado a unas vecinas en la pagina de microsoft viene  como borrar al virus así que sigui los pasos y listo desaparecio el virus.

Asi que me imagine que era practicamente lo mismo, pero o sorpresa, desde que me aparecio el letrero de AUTORITY computadora no puedo accesar internet, si me conecto a mi proveedor pero cuando le pongo www.yahoo.com me dice que no existe esta dirección y se pone a buscar www.www.yahoo.com.com.edu y luego cambia de dirección , hasta aquí ok pense.. tengo el virus lo remuevo ....

Por cierto cuando le pongo la Ctrl + Alt + DEL y me muestra la barra de tareas esta el Isass.exe.

ok no lo pude eliminar así que lo mas comun fue formatear he instalar otra vez XP , Para mi sorpresa seguia apareciendo el Isass.exe en las Tareas y no me podia conectar a internet, así que como la maquína venia con un CD de Lindows (Version de Linux) Decidi instalar esta Version con el fin de Destruir todo vestigio de datos ocultos. cuando vuelo a Instalar XP , Sigue El Isass.exe CArgado , no instalo nada solo Windows XP y cuando Termina de instalar me fijo en los procesos y ahi esta el Isass.exe.

Decidi Instalar Windows 98 Second Edition y me Funciona ok me conecto a internet, Procesador de Palabras Hoja de Calculo Todo ok...

Asi que Baje la utileria de Seagate para Formatear el disco Por si las Fly´s.

lo formate y ademas viene que le pongas ceros a todo el disco para borrar toda la información lo hice y volví a instalar WinXP y el mismo resultado solamente termino de instalar WinXP pongo los Procesos y ahi esta Issas.exe y obviamente no tengo acceso a internet

Vuelvo a instalar Win98 y todo bien...

La mera verdad no se , si alguien tiene idea que tengo HELPMEEEEEE:::::.........

Gracias
Hola..acabo de registrarme....

y tengo una solucion para remover sasser.exe con las caracteristicas que tu PC presenta:

Visita la siguiente dirección y descarga la utileria Elisassa....

http://www.zonavirus.com/Detalle_Noticia.asp?noticia=467

despues, apaga la PC....y vuelve a encender en Modo Prueba de Fallos: Presionando la tecla F8.. en varias ocasiones y selecciona Modo a Prueba de Fallos.

Cuando el sistema ya se incio en Prueba de Fallos: ve a la opción Ayuda y Soporte Tecnico......y busca "Restaurar Sistema"...enseguida busca la opción "Configuracion Restaurar Sistema" y desactiva la casilla correspondiente. Y presiona en "Siguiente" para concluir.....y cierra esta pantalla....

Ahora busca el archivo que descargaste (Elisassa) y correlo....te preguntará y te dirá que no tienes la actualizacion correspondiente....presiona aceptar y se iniciara la repación.....

Despuésde esto.....apaga el equipo...y vuelve a encender en Modo Normal....y busca el Parche de Actualizacion en :

http://www.microsoft.com/downloads/details...&displaylang=es (es= si tu versión es en Español y en si la versión de Windows 2000 es en Ingles)

Para activar Restaurar sistema repite los pasos para desactivar pero en Modo Normal....y desactiva la casilla correspondiente...

Listo....
 
M

malena

Guest
#11
:confused: Hola..mi problema con el issas .exe es que no se como eliminarlo si nisiquiera a prueba de fallos abre XP.

que puedo hacer?

saludos ygracias con lo que me puedan ayudar
 

alnitak

Ex-Admin
Miembro
#12
Hola malena

El nombre no es isass sino lsass con l de locura y no es un virus por lo tanto no lo puedes eliminar.

Si te sale el mensaje que tu sistema se apagará en 60 segundo por un problema en el lsass.exe significa que estás infectada por el virus sasser y deberás remover este virus con tu antivirus o con uno de los muchos removers que puedes descargar desde la red, después instalar el parche correspondiente segun tu sistema operativo.

Si no te sale el mensaje de apagar el sisterma entonces no tienes nada de que preocuparte, lsass.exe es un proceso del sistema y es perfectamente normal que lo veas en el administrador de tareas, ni sueñes con eliminar ese archivo o tu sistema dejará de funcionar.

Mas información sobre el Sasser: http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A

Tipo: Gusano de Internet

Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A, WORM_SASSER.A

Fecha: 1/may/04

Plataforma: Windows NT, 2000, XP, 2003

Tamaño: 15,872 bytes (PECompact)

Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:\win.log

c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe

c:\windows\system32\12383_up.exe

c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

avserve = avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.

El apagado ha sido iniciado por NT AUTORITHY\SYSTEM

Tiempo restante para el apagado: xx:xx:xx

Mensaje

El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0
Windows debe reiniciar ahora.


El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

Reparación manual

Instalar parches para la vulnerabilidad LSASS (MS04-011) antes de cualquier otra acción a tomar para la limpieza del gusano.

Debido a que los equipos infectados se reinician constantemente cada 60 segundos, las tareas de limpieza, incluida la descarga de antivirus, herramientas y parches de Microsoft, pueden verse dificultadas.

Uno de lo trucos para evitar esto, consiste en atrasar la hora del sistema. Para ello, cuando aparezca la ventana que indica que el sistema será reiniciado por un error, haga doble clic sobre el reloj que aparece en la parte inferior del escritorio de Windows, y atrase la hora en la pantalla de configuración que se despliega (una o dos horas es suficiente). Recuerde volver a actualizar el reloj, una vez que su equipo esté libre del gusano.</span>

Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Antivirus

1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos

3. Borre los archivos detectados como infectados

Herramientas específicas de limpieza

Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

McAfee AVERT Stinger http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32) http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\win.log

c:\windows\avserve.exe

c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe

c:\windows\system32\12383_up.exe

c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

avserve

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
 
Estado
Cerrado para nuevas respuestas
Arriba Pie