Nombre: Sasser (Variantes A,B,C)
Peligrosidad:Muy Alta
Propagación: Epidemia
Tipo: Gusano
Efectos: Provoca el reinicio del ordenador.
Infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha: 01/05/2004

Puedes empezar por desactivarlo desde Inicio > Ejecutar y escribes: Shutdown -a

Sasser es un gusano que se propaga a través de Internet, utilizando una vulnerabilidad de los sistemas operativos Microsoft. Provoca el reinicio del ordenador de forma automática. Si su ordenador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad desde la página de Microsoft. http://www.microsoft.com/spain/seguridad/boletines/200404_windows.asp




1.- Cómo saber si estoy infectado:

1.- Si existe una lentitud anómala en los equipos.
2.- Reinicios mostrando, una pantalla.
3.- Si existe el fichero Avserve2.exe
Buscarlo Inicio/ Buscar /”Avserve”
4.- Si existe tarea “xxxx_up.exe”
Buscar en el administrador de tareas:
Pulsar Ctrl.+ Alt + Supr / Ver “Procesos”
Localizar un nombre de proceso que consista en 4 ó 5 números seguido de up.exe (ejemplo: 536289_up.exe)


2.- Cómo detener el proceso infeccioso:

1.- Pulsar Ctrl.+ Alt + Supr / Ver “Procesos”
2.- Ordenar los procesos por nombre.
3.- Localizar el proceso “avserve2.exe”
4.- Seleccionarlo y Pulsar “terminar proceso”
5.- Localizar un proceso de 4 ó 5 números seguido de up.exe (ejemplo: 536289_up.exe)
6.- Seleccionarlo y Pulsar “terminar proceso”


3.- Cómo quitar el virus manualmente:

1.- Reiniciar el sistema en aprueba de fallos (pulsar F8)
2.- En Inicio/Buscar archivos/”Avserve”
3.- Borrar fichero “Avserve2.exe”
4.- Editar el registro del sistema: Inicio/Ejecutar/”Regedit”
5.- Buscar “avserve”: Edición/Buscar/“avserve”
6.- Borrar las claves que aparezcan en esa búsqueda.
7.- Reiniciar el sistema en modo normal.

Fuente: Panda

Hola me gustaria q me ayudaran por q estoy DESESPERADO!!!!!, para abreviar un poco la historia hace unos dias habri un blog cuando el Avast me envio el mensaje de peligro, trate de cerrar la pestaña pero no me dejo hasta despues, cuando por fin la cerre me aperecio el mensaje rojo de q estaba infectado por un virus HTML:IFRAME-INF, trate de meter el antibichos pero siempre se queda al 3% y por lo general en algun archivo PDF, investigue algo sobre este virus y entiendo q ataca a los PDF y q de alguna forma se encripta en los index de las paginas.
Revise mis blogs y estan limpios -en cuanto pude cerrAR la pagina reinicie mi equipo- ya los revise con antivirus en linea, pero en mi equipo el avast q generalmente no suele tardarse mas de 2 horas en un escaneo ahora lleva mas de 3 y no se le ve fin, ya lo desinstale y reinstale y nada, pase el malware-antispiware y se tardo 1 hora y 45 min y no me detecto nada.
Quiero saber si mi maquina podria estar infectada y como esta esto de q reside en los index ya q segun se se mueve por FTP.

- Realiza un análisis con algún antivirus online (Panda, Eset, etc).

- Realiza una limpieza de los ficheros temporales y del registro del sistema ([Sólo Usuarios Registrados con Cuenta Activada pueden ver el Link. ]).

- Desactiva y borra todos los puntos de restauración para luego pasar un antivirus y al acabar volver a activar la restauración del sistema y crear un punto de restauración.

Lo q hice fue eliminar todos los archivos PDF q bloqueaban al avast ya q lo dejaban pasmado -se trababa en un archivo hasta por 4 horas- despues de esto el avast pudo terminar por fin un escaneo -en 1 hora y 10 min- todo en modo a prueba de fallo, ahora voy a meter Ccleaner a ver si asi queda, pero de todos modos agradesco tu ayuda man es la segunda ves q me hechas la mano.
Tambien voy a crear el punto de restauracion por q segun se este virus es bastante castrocito.
Por cierto me podrian decir cuales son los sintomas mas comunes de la infeccion de este virus? a mi en lo particular por q el avast me mando la notificacion pero no volvio a salir, pero revisando el reporte del escudo WEB me decia q habia eliminado un malware y q el HTMLIframe no habia sido eliminado por estar en uso -cuando no me dejo cerrar el explorador- aparte de q el avast no habia terminado ni 1 solo escaneo hasta q elimine los archivos PDF.

- Los síntomas del virus no los se a ciencia cierta, puede que se ralentice el pc, que se intenten abrir conexiones a internet, etc. Aquí te dejo un [Sólo Usuarios Registrados con Cuenta Activada pueden ver el Link. ] con resultados de la búsqueda de ese virus.

- Lo mejor es pasar varios antivirus online y cambiar las claves de acceso ftp a tus webs.

Mis contraseñas las cambie ese mismo dia desde mi consola de juegos, e estado vigilando mis sitios y los e escaneado con varios antivirus y me dicen q estan limpios -no he entrado al hosting desde la infeccion- pero al revisar las estadisticas en mi consola me botan una cantidad ENORME de visitas desde una direccion en google q esta oculta, revise dicho link con unmaskparasites.com y un antivirus y me dieron q el sitio actualmente esta “limpio” pero q a estado infectando varios sitios desde hace 3 meses, lo q me llamo la atencion fue q todas fueron con dominio CC el cual es un dominio del virus IFRAME, ahora no se si esta basura ya se metio a mi web o estoy siendo atacado desde fuera, con el antivirus online encontre 10 archivos infectados y 23 vulnerables como cookies espia aun cuando los registros los limpie con Ccleaner.

- La IP de la cual tienes muchas visitas puede ser un Robot de algún buscador o un robot de algún virus en busca de posibles accesos a la web.

- Si esa IP no corresponde a ningún robot de buscadores conocidos o es de alguno que no te interesa que este recorriendo tu web puedes bloquearlo mediante el .htaccess o en su defecto indicar al admin del servidor que bloquee el acceso a esa IP.

Como lo veo mon se me hace que es lo segundo, hasta que se infecto mi maquina con el Iframe mi taza de visistas era de un promedio de 200 a 300 con alguna variantes, de pronto de un tiempo para aca la tasa disminuyo de manera considerable, en mis estadisticas marca un desenso en las palabras de relacion a mi blog por lo que no le di importancia.
El punto empeso que cuando mi visitas habian sido constantes entre las mencionadas cifras de pronto llegue hasta las 600 en un dia, de las cuales casi 400 eran de este sitio -de hecho son 2 direcciones IP- las cuales vienen de Google, el problema es que no se me hace una direccion conocida de buesquedanormal de google ya que su estructura es diferente la cual expongo:

http://www.google.com/reviews/polls/display/-2602209800381370937/blogger_template/run_app?txtclr=%23ffffff&lnkclr=%23cccccc&chrtclr= %23cccccc&font=normal+normal+16px+verdana%2c+genev a%2c+sans-serif&hideq=true&purl=http%3a%2f%2fnombre de mi blog.blogspot.com%2f

Me bota el hecho de que cuando abro el link solo me aparecia el Frame del lado derecho de mi blog y nada mas.. ademas de que de este link he recibido mas de 400 visitas desde el domingo, y del otro con una estructura parecida he recibido casi 300, ahi momentos en que me llegan hasta 5 o 6 visitas por hora de estos sitios.
Gracias a tus consejos y a estudiar un poco de ciberterrorismo -malditos hijos de &%)(&&%##!"=(- logre sacarle 10 virus a mi maquina y 4 spyware, estube revisando mi blog ya desde mi computadora -obviamente tomando mis precausiones- y aun me siguen llegando visitas de estos links, como veras no creeo que sea muy normal recibir tantas visitas de este robot.. pero de todos modos pedire un bloqueo por si las dudas.

- Aja. Ya contarás a ver como evoluciona todo.