Eliminar sxs.exe y autorun.inf
El Verdadero nombre de este virus es Worm.W32/Pasobir el cual es un gusano porque se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores. Su variante más conocida es WIN32/PSW.QQPASS.JF y el gusano en mención afecta especialmente a las famosas Memorias USB.
Solución Manual :
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- %System%\SVOHOST.exe – copia del gusano
- %System%\winscok.dll
- D:\sxs.exe
- D:\autorun.inf
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña ‘Procesos’ haga clic derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
"SoundMam" = "%System%\SVOHOST.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.Solución Vía Batch :
Estuve investigando y a pesar de que se cuenta con ayuda en español de como eliminar el virus manualmente, no corrige el daño causado en el sistema operativo, como por ejemplo el poder Ver los Archivos Ocultos del Sistema y el autorun de las memorias USB.
Para ello he creado la siguiente rutina el cual debes copiar en el Bloc de Notas y guardar con el nombre de “eliminarsxs.CMD” (guardalo con comillas).
@echo off Echo Utilidad para eliminar el troyano que se encuentra en la red Echo Para mayor efectividad reinicia la maquina y presiona f8 para entrar en modo prueba de fallos Echo (12/Octubre/2006) echo Actualizado v 0.2 Echo Geraldo E. Sosa Sosa Echo Licencia GNU @pause taskkill /f /im svohost.exe ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\dllcac cd G: attrib sxs.exe -a -h -s -r del /s /q /f sxs.exe attrib autorun.inf -a -h -s -r F: attrib -a -h -s -r sxs.exe del /s /q /f sxs.exe attrib autorun.inf -a -h -s -r del /s /q /f autorun.inf c: attrib sxs.exe -a -h -s -r del /s /q /f sxs.exe attrib autorun.inf -a -h -s -r del /s /q /f autorun.inf D: attrib sxs.exe -a -h -s -r del /s /q /f sxs.exe attrib autorun.inf -a -h -s -r del /s /q /f autorun.inf E: attrib sxs.exe -a -h -s -r del /s /q /f sxs.exe attrib autorun.inf -a -h -s -r del /s /q /f autorun.inf del /s /q /f autorun.inf reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SoundMam /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /f reg add "hkey_local_machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\showall" /v checkedvalue /t REG_DWORD /d "00000001" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice" /v Start /t REG_DWORD /d "00000002" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /t REG_DWORD /d "00000002" /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d "00000001" /f regsvr32.exe -c c:\windows\system32\regwizc.dll
Si estas en Windows 98 reemplaza %systemroot% por %system%
Actualización:
Si tienen Windows XP Home reemplacen esta linea :
taskkill /f /im svohost.exe
por
tskill svohost.exe
una super pregunta ya intente lo de borrar el autorun de mi usb pero me niega el acceso k hago???
bueno espero puedan ayudarme muchisisimas gracias
Ja… yo no le he borrado nada… esta como me lo pasaste men… ahh y se guarda como restarurar.inf visiten http://www.mihuejutla.tk
oe we nomas te falto poner las fuentes de donde lo sacastes ¬.¬ neta que me lleve varios dias en terminar ese trabajo y luego sin ganar ningun credito
siempre le pongo mi firma pero como siempre, donde lo e visto publicado siempre le borran los creditos y la firma T.T
ke mal pedo
saludos.
tengo un computador y se ha infectado con autorun.inf, y no puedo controlarlo, agradezco informacion para poder hacerlo
Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.
scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.
svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.
svshost.exe Lo instala el virus Worm.P2P.Spybot.gen
Espero que a alguien le sirva la info
PARA ELIMINAR EL AUTORUN EN LAS MEMORIAS USB, HAGAN UNA COPIA DE LOS ARCHIVOS DE LA USB Y LUEGO FORMATEARLA. LISTO ELIMINADO EL AUTORUN
Si desactivó la restauración del sistema, recuerde volver a activarla.
: como lo ago………
gracias por su informacion
La localización del gusano en la memoria usb está en:
D:\sxs.exe
D:\autorun.inf
(Suponiendo que D: es la unidad de tu memoria.)
Para eliminar el gusano de tu memoria USB haz lo siguiente:
1. Vete al menú inicio, luego en ejecutar y escribe “cmd” para abrir la consola.
2. Dentro de la consola de comandos escribe “d:”, suponiendo que “d:” es la unidad de tu memoria.
3. Una vez estando en “d:” teclea lo siguiente en la consola, presionando “Enter” por cada línea.
attrib sxs.exe -a -h -s -r
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
Con esto eliminas todo rastro del gusano solamente de tu memoria USB, recuerden que en su PC o cualquier ordenador donde hayas conectado tu memoria, también puede estar infectado.
Para eliminarlo de tu PC, puedes descargarte el siguiente fichero batch y ejecutarlo.
http://www.panchosoft.com/archivos/eliminarsxs.cmd
(Hagan click derecho y denle en “Guardar destino como..”(IE) ó “Guardar enlace como..” Firefox. n.n)
En realidad, ese fichero también sirve para quitar el gusano de tu memoria USB, sólo que quice poner los comandos para conocimiento general y para que sepan como defenderse en caso de que haya otro nuevo gusano de este tipo en algún futuro, cosa que tiene 100% de probabilidades.
En fin, pueden encontrar información más detallada en las siguientes direcciones:
http://www.elangelux.com.ar/2006/10/13/eliminando-el-gusano-sxsexe.html
http://www.g2project.com/blog/articulo/396/eliminar-sxsexe-y-autoruninf/
obtenido de : http://www.panchosoft.com/blog/2006/11/19/eliminando-el-gusano-sxs-el-que-se-propaga-por-las-memorias-usb.html
‘_’
Espero que les sirva de algo…
En todo caso si no lo reconoce tal vez es porque tu maquina no esta infectada con ese virus o lo que sea y por eso no lo reconoce…
…de casualidad te dice algo de no found!…yo creo que dice que no lo encontró, y si no lo encontro es por que no esta…
amigo no funciona en flash no le reconose a ese .exe de pronto no es otro modo
Para borrar los autorun.inf yo utilizo Killbox pueden buscarlo en papá google, es facil, aah tambien se pueden eliminar sxs.exe y algunos archivos que no se dejan borrar… suerte
hola amigos del foro tengo esta inquietud: tengo una usb kingston infectada con el g2p3s.exe y el autorun.inf, lo que hace que la memoria no se deja grabar ni formatear, yo tengo una computadora con sistema operativo mac y alli tampoco se deja grabar ni formatear, como puedo eliminar esos virus en mi pc mac.
checa los comentarios amigo…. ahi te dicen todo….
pero al final me pregunta q con q codificacion la guardo q le pongo. y aprovechando, porfas no sabes como puedo ver mis archivos ocultos, ya que no a parece la opcion de Opciones de Carpeta en el panel de Ctrl. creo q se debio a un virus y en el Explorer menu herramientas opciones de carpeta le doy la opcion de q muestre todo. y nada de nada. de antemano muchas Gracias por tu ayuda
Mira hermano eso lo tienes que hacer manualmente…
[Version]
Signature = “$CHICAGO$”
[DefaultInstall]
AddReg=Agregar
DelReg=Borrar
[Agregar]
HKCU,”Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”,Hidden,0×00010001,”1″
HKCU,”Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”,HideFileExt,0×00010001,”0″
HKCU,”Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”,SuperHidden,0×00010001,”1″
HKCU,”Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”,ShowSuperHidden,0×00010001,”1″
HKLM,”SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL”,CheckedValue,0×00010001,”1″
HKLM,”SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN”,CheckedValue,0×00010001,”2″
[Borrar]
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,NoRun
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,NoDrives
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\System”,DisableRegistryTools
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\System”,DisableTaskMgr
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\System”,DisableCMD
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\System”,NoDispCPL
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\System”,NoAdminPage
HKCU,”Software\Microsoft\WindowsNT\CurrentVersion\Policies\System”,DisableRegistryTools
HKCU,”Software\Microsoft\WindowsNT\CurrentVersion\Policies\System”,DisableTaskMgr
HKCU,”Software\Microsoft\WindowsNT\CurrentVersion\Policies\System”,NoDispCPL
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”,Disabled
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”,Norealmode
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,DisallowRun
HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,RestrictRun
HKLM,”Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,NoFolderOptions
HKLM,”SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore”,DisableSR
HKLM,”SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,DisableRegistryTools
HKLM,”SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,DisableTaskMgr
HKLM,”SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,NoDispCPL
Lo primero que tienes que hacer es copiar desde (version) hasta DispCPL y guardarlo con bloc de notas con el nombre de restaurar… que conseguimos con esto bueno cuando lo guardas al bloc de notas con el nombre de restaurar automaticamente se convierte a otro formato una vez guardado lo copias y lo pasas a la memoria le das click derecho y le das instalar para que aparezcan los archivos ocultos y buscas el archivo que detecta el antivirus y lo eliminas… sale man un gusto haberte podido ayudar hasta pronto…vecan9
mira flaco esta muy bueno todo pero me podrias pasar un programa para poder eleminar el autorun q tengo rn mi USB creo q hay uno es .. mismo sxs pero nu lo encuentro me preguntava si lo tenias?? o si me podrias ayudar con mi problema…
desde ya muchas gracias. io matush
Deberias citar la fuente original de donde copiaste este articulo:
http://www.g2project.com/blog/articulo/396/eliminar-sxsexe-y-autoruninf/
Con citar la fuente no se pierde nada.
Saludos
Oie esmeralada ese virus existe o solo me estas tomando el pelo…??? pero bno si esque existe intenta con el avast o kaspersky
esta padre tu comentario pero nome funciono como puedo eliminar el virus mexica exe
mira me parece muy interesante tu bloc…!! yo tengo un problema con mi makina
lo ke pasa es ke desde hace unos dias las imagenes ke aparecen en el monitor comienzan a moverse de una manera muy estraña… “se contraen” etc.. y ps me puse a investigar y me encontre con algunos foros donde mensionaban el mismo problema pero la mayoria de estos se devia a la instalacion de drivers incorrectos, pero ese no es mi problema.. mi bronca recae solo en los movimientos de las imagenes de mi monitor porke no he instalado ningun driver ultimamente… a ke krees ke se deba el problema ???
De antemano muchas gracias
perdon…arriba me equivoque, no es “mcd” sino “cmd” (sin las comillas),.
ah y si el Disco infectado es una Memoria USB es lo mismo.
inicio
ejecutar
escribir: cmd
escribir: F: (o la unidad que corresponda a la Memoria USB)
escribir: cd \
escribir: Attrib -h -s autorun.inf
exit
ir al disco infectado (Memoria USB), buscar el archivo Auntorun.inf y eliminarlo manualmente (Ctrl + Alt + Supr), Extraer la USB (con seguridad)
Conectar nuevamente el USB y listo…Ya Abre Normalmente.
para borrar el autorun.inf, que hace que el Disco C: no abra directamente.
inicio
ejecutar
escribir mcd
escribir cd \
escribir Attrib -h -s autorun.inf
exit
voy al disco infectado, busco el archivo Auntorun.inf y lo elimino manualmente,
Reiniciar el sistema y listo, el Disco C: Abre normal
No hay comentario
kmo borro las entradas en regedit
kmo elimino las entradas en regedit
oye que padre esta chido eso deve de servir mucho gracias cuate nos vemos
ojo primero tienes que entrar a regedit y eliminar las entradas, y lo de guardar aqui esta Para ello he creado la siguiente rutina el cual debes copiar en el Bloc de Notas y guardar con el nombre de “eliminarsxs.CMD” (guardalo con comillas). ps lo guardas donde tengas el virus… y los autorum… esto es mas para memorias usb que es lo que da mas lata
y en ke ubicacion lo guardo? :S