Ayuda Con El Gusano Blaster!!!!!!

HOLA
POR FAVOR TENGO ESTE GUSANO EN MI PC Y NO ME DEJA ELIMINARLO... AGRADECERE ME INDIQUEN COMO TENGO QUE HACER PARA SACARME ESTE BICHO DE ENCIMA QUE NECESITO MI PC LIMPIA..
GRACIAS Y SALUDOS

Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como "Desbordamiento de búfer en RPC DCOM ". Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado. Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.
Detalles
Vulnerabilidad Windows en "RPC DCOM " Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario. Más información sobre este vulnerabilidad en el Boletín de Seguridad de Microsoft MS03-26 Método de propagación El gusano está constamente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x,y,z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descarge el fichero msblast.exe en el directorio de sistema de Windows. NOTAS: 1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32. 2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado. Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano). Ataque de denegación de servicio distribuido · En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31. · El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes. · En la versión actual del gusano, enviará paquetes de 40 bytes cada 20 milisegundos al puerto 80 de "windowsupdate.com". Efectos en el sistema infectado. En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre: Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperadaEsto ocurrirá continuamente hasta que sea limpiada la infección. El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE). Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones. Claves añadidas al registro El gusano añade alguna de las siguientes claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W indows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! billOtros detalles · El gusano utiliza los puertos TCP 135, 4444 y el UDP 69. · Está empaquetado con UPX. · El gusano contiene el siguiente texto dentro de su código: · I just want to say LOVE YOU SAN!!· billy gates why do you make this possible ? Stop making money and fix your software!!· Ha sido programado en ensamblador.
Tambien hay mutaciones como "teekids", "Pennis32" o "billy", si están en registro borrarlos también.

Eliminación manual del virus · Instrucciones preliminares (solo para usuarios de Windows XP) Para estos usuarios, es preciso deshabilitar la "Restauración del sistema" de Windows XP. Para ello: 1. Sitúese en el Escritorio de Windows y pulse con el botón derecho del ratón sobre el icono Mi PC. 2. Seleccione la opción Propiedades. 3. Seleccione la ficha -pestaña- Restaurar sistema. 4. Marque la casilla Desactivar Restarurar Sistema en todas las unidades, pulsando sobre ella. 5. Pulse el botón Aceptar. 6. Se solicita confirmación para reiniciar el ordenador. Conteste afirmativamente. No volveremos a habilitar la Restauración del sistema hasta que no se haya finalizado completamente con la eliminación del virus. · Aplicar parche Es quizás la parte más delicada del proceso de eliminación. El objetivo de este paso es instalar en nueso sistema operativo el parche que repara la vulnerabilidad MS03-26. Para ello, diríjase a Boletín de Seguridad de Microsoft en www.microsoft.es y busque la actualización MS03-26 y ahí 1) descargue el parche, 2) instálelo en el sistema. Recuerde que mientras no tenga instalado completamente este parche su ordenador podrá ser infectado. Puede suceder que no "dé tiempo" a descargar el parche, porque el sistema operativo se cierra. Si esto sucede tiene varias opciones: 1. Inténtelo de nuevo: el parche es pequeño y no debería tardar mucho en descargarse2. Si aún así no es posible la descarga, las opciones son: 1. Descargar ese parche desde otro ordenador no infectado, copiarlo a disquete o CD e instalarlo en nuestro ordenador. 2. Habilitar un cortafuegos para impedir que el virus entre (por el puerto 135). Para ello le recomendamos siga las siguientes instrucciones: § Quite físicamente el acceso a Internet (desenchufe el cable de red o de acceso telefónico) § Abra el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccione las pestaña "Procesos" § Pinche dos veces (con el botón izquierdo) sobre "Nombre de imagen". § En la lista que aparece, seleccione el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso". Responda que "Sí" a la pregunta que hará el sistema. § Pulse en el botón "Inicio" -> Panel de control -> Conexiones de red § Pulse con el botón derecho sobre la conexión a internet que use habitualmente. Selecciones "Propiedades" § Seleccione Protocolo de Internet (TCP/IP). Pulse en "Propiedades" § Pulse "Avanzadas" § Pulse en filtrado TCP/IP, y a continuación en propiedades § Seleccione "Permitir filtrado TCP/IP". § En la columna de puertos TCP agregue el puerto 135 y deshabilítelo. § Pulse en aceptar las veces que sea necesario. El sistema solicitará ser reiniciado. Respóndale que sí. § Para más seguridad, repita el paso de terminar proceso (CTRL + SHIFT + ESCAPE, pinchar en "nombre imagen", pinchar en "MSBLAST.EXE" -> "Terminar Proceso" -> "Sí". § Vuelva a enchufar la conexión a Internet. Asegúrese de que puede ya acceder a alguna página web que conozca. Ahora hemos conseguido preparar el sistema para poder descargar el parche. Hágalo, descargue el parche, ejecútelo y a continuación reinicie el sistema.· Borrar el virus definitivamente Como seguridad, repita el paso de matar el proceso MSBLAST (es decir: CTRL + SHIFT + ESCAPE, pinchar en "nombre imagen", pinchar en "MSBLAST.EXE" -> "Terminar Proceso" -> "Sí"). Si tiene antivirus, asegúrese de que está actualizado y fuércele a relizar un escaneo completo del sistema.Si no tiene antivirus, recomendamos que se descargue y ejecute una de las siguientes herramientas: o System Cleaner de Trend Micro o Blaster Removal Tool de Symantec o Herramienta de Computer Associates o PQRemove de Panda Software · Fin de la eliminación Su ordendador ya debería de estar limpio y protegido contra este virus. En caso de no ser así, esto puede ser porque: o Por alguna razón no ha instalado el parche de Microsoft. Asegúrse de que lo haya hecho, o intente instalarlo (recuerde que es el de 32 bits, que no basta con bajárselo y guardarlo en algún sitio, hay que abrirlo/ejecutarlo) o Si el parche está instalado correctamente vuelva a pasar la herramienta que se descargó de Internet para realizar la limpieza (o bájese una herramienta alternativa e inténtelo de nuevo). Finalazdo el proceso de eliminación, recuerde, en Windows XP es conveniente volver a habilitar "Restauración del sistema" (para ello sigua los mismos pasos que se dieron para deshabilitarlo).

ESPECTACULAR EXPLICACION!!!

MUCHAS GRACIAS.. voy a probarlo y luego te comento.
Gracias de vuelta por tus conocimientos.

Saludos

HOLA
NEO...REALMENTE muy bueno lo tuyo.
Probe lo que me indicaste y resulto todo muy bien.
Te agradezco nuevamente.
Un abrazo