Taringueros, tratando de ayudar a un compañero que habia sido infectado con este fucking virus 
encontre esto. Anteriormente habia probado con un programa que andaba por aca pero en este caso no habia funcionado, nose si a ustedes si.
Hay que hacerlo de forma manual, pero no es dificil, eso si hay que meterse en el Regedit de windows, por lo que les aconcejo en el caso de no estar muy seguros que hagan un backup de la registry.
Backup:
Archivo -> Exportar -> Todo -> Aceptar
WORM_SDBOT.FEL
Este virus llega a la red mediante el uso del popular mensajero de Internet MSN Messenger y presenta varios mensajes para incitar al usuario a abrir el archivo, por lo general con nombre IMG-0012.ZIP o similar.
Una vez infectado el sistema, el virus se reenvía a todos los contactos que aparecen como online en ese momento.
Así mismo, aparece en memoria como el proceso lsass.exe, pero su imagen (o archivo) se encuentra ubicado dentro de %WINDIR%\system (a diferencia del LSASS.EXE original de Microsoft que se encuentra normalmente ubicado dentro de %WINDIR%\system32).
Le recordamos que la variable %WINDIR% varía según el sistema operativo y la ubicación del mismo:
·Windows XP, normalmente C:\Windows
·Windows NT, normalmente C:\Winnt
Adicionalmente genera una rama de registro en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Con la siguiente entrada referenciando al ejecutable:
Windows Lsass Services = C:\Windows\System\lsass.exe *****BORRARLA****
Buscar el IMG-0012.ZIP y BORRARLO
Saludos!
encontre esto. Anteriormente habia probado con un programa que andaba por aca pero en este caso no habia funcionado, nose si a ustedes si.
Hay que hacerlo de forma manual, pero no es dificil, eso si hay que meterse en el Regedit de windows, por lo que les aconcejo en el caso de no estar muy seguros que hagan un backup de la registry.
Backup:
Archivo -> Exportar -> Todo -> Aceptar
WORM_SDBOT.FEL
Este virus llega a la red mediante el uso del popular mensajero de Internet MSN Messenger y presenta varios mensajes para incitar al usuario a abrir el archivo, por lo general con nombre IMG-0012.ZIP o similar.
Una vez infectado el sistema, el virus se reenvía a todos los contactos que aparecen como online en ese momento.
Así mismo, aparece en memoria como el proceso lsass.exe, pero su imagen (o archivo) se encuentra ubicado dentro de %WINDIR%\system (a diferencia del LSASS.EXE original de Microsoft que se encuentra normalmente ubicado dentro de %WINDIR%\system32).
Le recordamos que la variable %WINDIR% varía según el sistema operativo y la ubicación del mismo:
·Windows XP, normalmente C:\Windows
·Windows NT, normalmente C:\Winnt
Adicionalmente genera una rama de registro en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Con la siguiente entrada referenciando al ejecutable:
Windows Lsass Services = C:\Windows\System\lsass.exe *****BORRARLA****
Buscar el IMG-0012.ZIP y BORRARLO
Saludos!