Carpetas Ocultas -opción dañada- virus sxs.exe

**Lordgraphic3** · 27/10/06, 16:59:34

Miren amigos.. estoy en la pc de mi trabajo y fui atacado por el virus sxs.exe ke ataka memorias usb... se esta difundiendo mucho por ahi. habran oido del svochost de otros temas del foro... pues es ese. ahora con la novedad que estoy casi 99% seguro ke me ha desactivado la opcion de "Opciones de Carpeta" y no hay forma de ver los archivos ocultos. y de esta forma no se puede eliminar el SVOCHOST ke esta en System32... ke hijo de...... maldito virus.

Bueno pues amigos... a ver si me hechan una mano y me dicen como recuperar esta opcion por lo pronto probaré las recomendaciones encontradas en otros temas del foro ... gracias. Aunke ninguna menciona esto del "opciones de carpeta" desactivado.

**Death Side** · 27/10/06, 17:05:20

xq no pruebas con el killbox... y tu escribes la direccion del archivo??

**Lordgraphic3** · 28/10/06, 12:17:20

Miren.. he hecho todo para limpiar la pc, y al parecer esta limpia. pero la opcion "Opcion de Carpeta" aun no esta visible en el menu herramientas. Sólo he podido acceder a tal opcion mediante iniciar a modo de prueba de fallos.

El virus aparentemente estaba en mi memoría USB y se activa al intentar abrir. (al parecer provoca ke el virus intente crear el SVOCHOST en el System32 y luego este kiere crear el SXS.exe en D: )

Pero cuando le paso el antivirus a mi USB no detecta nada malo. ni un virus ni nada. "parece limpio" luego intento abrirlo y nuevamente sale el atake del virus (detectado por nod32). paso el antivirus y nada... "limpio".

el problema se arreglo formateando mi USB... ¿Alguna Explicación de que es lo que ocurre? donde esta el virus? ¿en alguna área escondida de mi usb ke no es visible mediante carpetas?

**exabarria** · 30/10/06, 16:46:13

Originalmente publicado por Lordgraphic3

Miren.. he hecho todo para limpiar la pc, y al parecer esta limpia. pero la opcion "Opcion de Carpeta" aun no esta visible en el menu herramientas. Sólo he podido acceder a tal opcion mediante iniciar a modo de prueba de fallos.

El virus aparentemente estaba en mi memoría USB y se activa al intentar abrir. (al parecer provoca ke el virus intente crear el SVOCHOST en el System32 y luego este kiere crear el SXS.exe en D: )

Pero cuando le paso el antivirus a mi USB no detecta nada malo. ni un virus ni nada. "parece limpio" luego intento abrirlo y nuevamente sale el atake del virus (detectado por nod32). paso el antivirus y nada... "limpio".

el problema se arreglo formateando mi USB... ¿Alguna Explicación de que es lo que ocurre? donde esta el virus? ¿en alguna área escondida de mi usb ke no es visible mediante carpetas?

yo tenia el mismo problema cuando trataba de conectar el USB infectado al compu, y cuando le pasaba el antivirus no decia nada (yo ocupo el NOD32). lo que hice para sacarle el virus es conectarlo con el pc apagado e iniciar en modo a prueba de errores, despues buske y elimine los archivos "sxs.exe" y "autorun.inf" y le dije chao al virus sin perder los datos del USB

**MorfeoMayelillo** · 30/10/06, 17:57:06

Hola amigo:

Pues mira a mi tambien me deshabilito las opciones de carpeta y por consiguiente no podia ver los archivos ocultos y del sistema para borrar los archivos sxs.exe y autorun.inf de los discos duros de mi pc ademas de las memorias usb. No estoy seguro si este virus SVOHOST es el que hace esto al sistema operativo ya que yo tenia dos virus el SVOHOST y otro que se llama Brontok.AQ este ultimo lo elimine con NOD32 un antivirus que baje de internet.
Ahora respecto a eso que comentas de que te deshabilito "opciones de carpeta" lo que yo hice fue crear otro usuario para windows y con privilegios de administrador, y cuando inicie la otra sesion que habia creado en esta sesion si me mostraba la opcion de "Opciones de carpeta" del menu herramientas y procedi a activar "Ver archivos ocultos y del sistema" Hecho esto procedi a buscar los archivos sxs.exe y autorun.inf que se instalan en los discos duros que tengas en tu pc y en las memorias usb. y los borre. Y se acabo el problema con el virus. Lamentablemente como en la primera sesion que tenia como administrador no pude volver a habilitar la opcion de "Opciones de carpeta" ademas de que no me dejaba entrar a "regedit" lo que hice fue eliminar ese usuario y quedarme con el nuevo que habia creado y que si me permitia estas opciones, pero antes de ello respalde los documentos que tenia en el otro usuario. Y asi fue como elimine el virus.

aqui te dejo las instrucciones para quitarlo de tu pc:

El virus se comporta de la siguiente manera:

1.- Cuando un dispositivo de almacenamiento extraíble infectado es conectado a la computadora; se ejecuta el archivo sxs.exe gracias a un auto arranque que el mismo virus puso en el dispositivo infectado.
2.- El archivo sxs.exe instala el gusano SVOHOST.exe en C:\Windows\System32\SVOHOST.exe.
3.- El archivo sxs.exe copia el archivo winscok.dll en C:\Windows\System32\winscok.dll.
4.- El Archivo sxs.exe agrega la siguiente clave de registro para que el gusano SVOHOST.exe se auto ejecute cada vez que la computadora inicia:
"SoundMam" = "%System%\SVOHOST.exe"
a la subclave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.- Después intenta deshabilitar ciertos productos antivirus al terminar ciertos procesos, borrar algunas claves de registro y terminar ciertos servicios.

6.- Posteriormente monitorea la conexión de dispositivos de almacenamiento extraíbles para copiarse a si mismo en la ruta:
[Letra de la unidad]:\sxs.exe

8.- Crea las instrucciones necesarias para ejecutar el gusano cuando el dispositivo extraíble sea conectado en el archivo INF:
[Letra de la Unidad]:\autorun.inf

9.- Intenta registrar nombres de usuarios y contraseñas usados en mensajería instantánea y mandarlos por correo a ciertas paginas Web usando el protocolo SMTP.
Puede descargar ciertos archivos ejecutables de Internet.

Eliminar este virus es muy sencillo; simplemente hay que hacer lo siguiente:

1.- No usar contraseñas en mensajeria instantanea hasta que el gusano haya sido eliminado.
2.- Actualizar el software antivirus y realizar un escaneo completo.
3.- Si el gusano no fue encontrado, terminar el proceso SVOHOST.exe.
4.- Buscar el archivo SVOHOST.exe en C:\Windows\System32\ y eliminarlo.
5.- Buscar el archivo winscok.dll en C:\Windows\System32\ y eliminarlo.
6.- Eliminar la clave de registro:

"SoundMam" = "%System%\SVOHOST.exe"

En la subclave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Otra manera de eliminarlo es con una secuencia de comandos en consola para eliminar el virus:

Entra a la consola de Windows:

1.- Inicio
2.- Ejecutar
3.- CMD

Si tenes Windows XP Profesional o Windows 2000 Escribe esta linea y presiona enter:
taskkill /f /im svohost.exe

De lo contrario si tienes Windows XP Home Escribe esta linea y presiona enter:
tskill svohost.exe

Escribe cada linea y presiona enter:
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q %SystemRoot%\System32\SXS.EXE
DEL /F /Q %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q %SystemRoot%\SXS.EXE
DEL /F /Q %SystemRoot%\SVOHOST.EXE
DEL /F /Q %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q %SystemRoot%\System\SXS.EXE
DEL /F /Q %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcac

Ahora ahi que quitar el incio automatico del virus y los cambios de registro que hizo haciendo lo siguiente en la consola:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SoundMam /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /f

reg add "hkey_local_machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\showall" /v checkedvalue /t REG_DWORD /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice" /v Start /t REG_DWORD /d "00000002" /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /t REG_DWORD /d "00000002" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d "00000001" /f
regsvr32.exe -c c:\windows\system32\regwizc.dll

Todos esto es un proceso manual y tedioso, si quieres que esto sea automatico si tener que hacer todos estos pasos solo escribe a este correo solicitandome un programa que tengo que hace todo esto por ti: **EDITADO**

**Geraldososa** · 02/11/06, 18:29:51

MorfeoMayelillo:
Deberias citar la fuente de donde obtuviste el texto para tu post, por personas como tu que se atribuyen la investigación de otros es porque muchos no comparten su información hacia el bien de la comunidad.
Te lo digo en base a una semana más o menos de investigación en la creación de este batch y que di a conocer en mi blog.
Saludos
**EDITADO ENLACE**

**Hardrive** · 03/11/06, 07:49:27

Holas a todos

Chicos, para borrar el virus Pasobir hay una herramienta hace rato, el AntiSXS (solo que no la encuentro

ya que caduco el link), por lo cual cualquier persona pudo haber publicado el batch, ya qu ya hay uno hace tiempo, y pudo no ser el mismo que tu publicaste.

Para activar los archivos ocultos, puedes utilizar Reg Unlocker v1.1

Salu2

**Geraldososa** · 04/11/06, 13:08:41

Holas a todos

Chicos, para borrar el virus Pasobir hay una herramienta hace rato, el AntiSXS (solo que no la encuentro ya que caduco el link), por lo cual cualquier persona pudo haber publicado el batch, ya qu ya hay uno hace tiempo, y pudo no ser el mismo que tu publicaste.

Para activar los archivos ocultos, puedes utilizar Reg Unlocker v1.1

Salu2

Hardrive:
Mr google no encuentra esa herramienta AntiSXS, no se que link estas hablando

**EDITADO ENLACE**

**buentequila** · 09/11/06, 15:57:07

Hola, Saludos.

Mi Nombre es Luis Alberto Ovando Brito. Soy Licenciado en Sistemas Computacionales y me he estado dedicando contribuir al mundo de la computación e informatica con investigaciones y proyectos.

Entre mis ultimas investigaciones, realice un programa ejecutable de consola (CMD) para eliminar al W32.Pasobir basandome en lo publicado por Gerald E. Sosa Sosa.

El resultado de mi investigación, fue una nota en mi Blog con todo lo relacionado a este virus (mejor conocido como el SxS o SVOHOST, mal conocido por cierto ya que esos son los procesos involucrados no el nombre del virus).

En mi blog puse el resultado de mi investigación mas la parte que Gerald publico en su blog; ademas hice la correspondiente cita de donde tome las instrucciones para hacer el programa.

Lo que ahora me tiene escribiendo en este foro, es que hay una entrada hecha por un tal MorfeoMayelillo a quien creo le mande el programa.

Resulta que este individuo puso una copia de la información en mi blog atribuyendose los creditos o almenos eso parece ya que no citó las fuentes.

Ademas, dejo la parte donde aparece la petición del programa con mi correo. ni siquiera tuvo la molestia de poner otra dirección.

El resultado es que me llegan peticiones del programa que con mucho gusto les doy, pero me dicen Morfeo y ademas de que leyeron mi consejo en un foro cuando no es asi.

Yo jamas he publicado algo aqui, de hecho no acostumbro a leer foros en español; solamente entre y me di de alta a este foro para aclarar todo esto.

Por ahora ya no dare mas el programa por la dirección que aparece en la entrada de MorfeoMayelillo, tendran que entrar a mi Blog (donde esta la fuente original y la correspondiente cita a la pagina de Gerald) para que revisen mi perfil y vean otra direccion que ahi tengo y me pidan el programa por ese medio.

NO RESPONDERE NINGUN CORREO QUE LLEGUE POR **EDITADO** ya que esa dirección (que es la que originalmente habia yo dado para mandar el progama y que uso MORFEOMAYELILLO) no la utilizare mas para ese fin.

Aqui les doy el link de mi blog en donde podran leer mi articulo y podran ver la cita a lo hecho por Gerald (Incluido el link a su pagina).

**EDITADO ENLACE**

Por ultimo ahora estoy trabajando en resolver el problema que causa otro virus: EL W32/BRONTOK.

**rafitageo** · 22/11/06, 14:11:47

bueno tengo el mismo problema con el virus wincfgs.exe pense que lo habia eleminado con el kaspersky 6.0 y pense que se me habia quedado dañado el sistema, bueno la cosa era que cada vez que iniciaba me salia que no se habia podido cargar wincfgs.exe , limpie el registro con un programa que recomedaron aqui, y se soluciono ese problema, pero tengo algunos problemas adicionales como que no me aparece el icono de volumen ni la de extraccion segura de usb en la barra de inicio, cuando cargo el icono de volumen desde panel de control me aparecen los dos el del volumen y el de extraccion segura de usb, pero solo dura hasta que apago la pc, cuando prendo otra vez la pc de vuelta al inicio, tenia tambien los problemas de la carpeta oculta pero con el consejo de aqui, ya solucione eso, otra consulta bueno espero no ser tan molestoso, es normal que la disquetera quiera funcionar sola??? o es que estoy con virus aun?? bueno espero que me puedan ayudar, gracias

Carpetas Ocultas -opción dañada- virus sxs.exe

Herramientas

Carpetas Ocultas -opción dañada- virus sxs.exe

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Esto fue lo que yo hice para quitar el virus

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Re: Carpetas Ocultas -opción dañada- virus sxs.exe

Aclaracion Del Programa Que Elimina El Virus

Re: Carpetas Ocultas -opción dañada- virus sxs.exe