Download Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias

Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias
UBS y discos externos ¿cómo eliminarlo?
Recientemente mi computadora se infectó con un virus latoso llamado “sxs.exe”
(W32.Pasobir), éste se copia y se ejecuta en unidades adicionales removibles o no
removibles en nuestra computadora, ya sean disco duros, memorias USB, Memory
Stick®, celulares, iPod®, PSP®, etc. Ya contaminada la PC, cada vez que conectemos
una unidad externa se copiara automáticamente y así donde conectemos dicha unidad
contaminará a otras PC y así se seguirá propagando…
Éste mentado virus es un troyano aunque de nivel 1 de riesgo, es molesto y puede
capturar todo lo tecleado en nuestra computadora, desde contraseñas, direcciones de email, etc. y enviarlas a un correo específico dentro del programa usando el motor SMTP
de nuestra computadora.
Las “cualidades” de éste virus son:
- Bloquea el acceso a unidades externas
- Bloquea la ejecución e instalación de antivirus
- Se atribuye la opción de de “archivo oculto” y por lo tanto…
- Cambia las opciones de las carpetas y no permite ver los archivos ocultos
- Cambia opciones desde el Editor de Registro
- No permite la ejecución de Editor de Registro (regedit) desde menú ejecutar
Así que me di la tarea de buscarle solución llegando a lo siguiente:
1. Escribir en Menú Ejecutar: regedt32.exe (es el nombre ejecutable del editor)
2. Ir a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run y borrar la línea: “SoundMam” = “%System%\SVOHOST.exe”
3. Ir a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Explorer\Advanced\Folder\Hidden\SHOWALL borrar la entrada
CheckedValue (en rojo) y crear una misma pero del tipo DWORD (azul) con
valor 1
4. Verificar que la clave DefaultValue tenga valor 2 así como en la carpeta
NOHIDDEN donde ahora las dos claves tienen valor 2
5. Para ver los archivos “protegidos” del sistema, en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Explorer\Advanced\Folder\SuperHidden donde el valor de las mismas
es 0
6. Abre el Administrador de tareas y dale terminar al proceso: SVOHOST.exe
7. Ahora podrás cambiar las propiedades de carpeta para ver archivos ocultos y de
sistema. Hazlo.
8. Conecta tus memorias USB ó todo dispositivo externo que creas que esté
infectado y Ejecuta Menú Buscar, localiza los archivos: sxs.exe, sxs.exexxxxxxx.pf, svohost.exe, wincok.dll y bórralos.
9. Sino aparecen búscalos:
10. Los Archivos svohost.exe, wincok.dll están en la carpeta:
C:\WINDOWS\system32 (si no puedes ver las carpetas ocultas simplemente
escribe la ruta en tu barra de direcciones de Windows)
11. Los archivos .pf se encuentra en la carpeta: C:\WINDOWS\Prefetch
12. Los archivos sxs.exe estarán en la raíz de tus unidades D:/ E:/ etc. así como un
archivo Autorun
13. En dado caso de que no puedas bájate este Removal Tool de Symantec®:
http://securityresponse.symantec.com/avcenter/FixPasbr.exe
Suerte!!!
Aquí expongo algunas imagenes que te ayudarán a identificar:
Esta entrada fue posteada el día Miércoles, Noviembre 22nd, 2006 a las 1:35 en la categoría
y Utilidades.
Programas
62 Respuestas para “Virus “sxs.exe” (W32.Pasobir) en nuestras
Memorias UBS y discos externos ¿cómo eliminarlo?”
1.
LA100RRA Says:
Noviembre 22nd, 2006 at 17:40
Buen dato perri…. err digo Mr. Konfleis.
No me he topado con el troyano en cuestión pero por si las dudas lo descargué y
lo corrí.
Saludos.
2.
Aoyama Says:
Noviembre 27th, 2006 at 17:00
Gran hojuela, yo tambié luché contra esa cosa, aquí está el resultado por si les
interesa a tus lectores… http://blog.aoyama.com.mx/?p=80
3.
Cristhian Says:
Diciembre 12th, 2006 at 13:59
Gracias Gracias esto me resulta de gran ayuda
4.
Rodrigo Says:
Diciembre 12th, 2006 at 19:40
Gracias!! me fue de gran utilidad porque tenía este virus y no lo sabía!
saludos!
5.
VICTOR Says:
Diciembre 12th, 2006 at 20:37
LA VERDAD ES QUE SI ESE VIRUS ES MUY ENFADOSO Y COMO MI
COMPUTADORA NISIQUIERA TIENE INTERNET PARA
ACTUALISARSE ME LA ISO UN DESASTRE SATA ME DIERON GANAS
DE TIRARLA PERO GRACIAS A ESTO PUDE LIBRARME DE EL
6.
VICTOR Says:
Diciembre 12th, 2006 at 20:38
UNA COSA MAS ALGUIEN SAVE DE DONDE SALIO ESTE TONTO
VIRUS YO PIENSO QUE FURON LOS ORIENTALES
7.
Geek Peru Says:
Diciembre 13th, 2006 at 12:15
El virus se puede eliminar , pero como se arregla la opccion de volver a ver
archivos ocultos y de sistema , asi como la opccion de restaurar sistema ? por
que el virus malogra eso y ya no hay forma de arreglarlo.
8.
manuel carvajal Says:
Diciembre 13th, 2006 at 21:59
gracias amigo se paso se me pego justo este trojan en los computadores de la
universidad infectando el pendrive.
aer avast los identifico los borre pero no le crei y ademas los daños persistian,
seguis tus paso y me resulto gracias.
una sola cosa ahora no aparece la opcion de reproduccion automatika del
pendrive o de algunotro dispositivo extraible :/
chau
9.
Jhonny Says:
Diciembre 14th, 2006 at 8:58
De verdad pana que a eso es lo que yo llamo saber dar informacion, te felicito
por tu participacion.
10.
Iván Calderón Says:
Diciembre 17th, 2006 at 21:24
Solo 4 virus se han saltado mi excelente antivirus (Pc-cillin el mejor, los demas
son basura) y todos los he expulsado desde la consola de windows (lease inicio
> ejecutar > cmd) ninguno ha podido conmigo…
Sasser, rontokbro, KOfcpfwSvcs, y este…
El sasser no me pudo ni reiniciar la computadora….
y tambien virus locales de mi escuela como el test de inteligencia, folder.htt, etc
11.
Jhonny Jauregui Says:
Diciembre 18th, 2006 at 13:35
Pana, si te percatas bien tambien existe un archivo llamado sxs.dll, el problema
es que no se en que influye con ese virus. Cualquier cosa me lo haces saber. En
las carpetas que se encuentra ese archivo son:
C:\windows\system32
C:\windows\system32\dllcache
Saludos y sigue adelante !!!.
12.
k_rloxamuel Says:
Diciembre 19th, 2006 at 11:56
hey gracias lo voy a probar luego os avisare tio.
13.
irving Says:
Diciembre 20th, 2006 at 1:53
aplique en mi ordenador el Removal Tool de Symantec® y no solucione nada..
lo que pasa es que no me aparece la opcion de:
la barra de menu: HERRAMIENTAS-OPCIONES DE CARPETAS… y tengo
unos documentos ocultos que necesito.. pueden darme la solucion?????
14.
Mr. Konfleis Says:
Diciembre 20th, 2006 at 7:45
La solución está ahí mismo, sólo hay que leer con atención.
Ejecuta “regedit.exe” y realiza los pasos: 3, 4 y 5
15.
william Says:
Diciembre 20th, 2006 at 12:50
Muchas gracias por la solucion, me saco las patas del barro porque el antivirus
lo elimina, mas no asi la incidencia del virus. Saludos.
16.
terry2k6 Says:
Diciembre 21st, 2006 at 19:34
ya elimine el virus, pero me kedo la opcion auto de una particion, ke puedo
hacer para kitarla??? T_T
esto me sale
http://www.subir-fotos.com/uploads3/e4b82ad1b3.jpg
17.
Alejo Says:
Enero 2nd, 2007 at 19:25
Bellesa de pagina loco todos esos archivos adicionales que as nombrado los
antivurus me los an detectado como sospechoso y he buscado y me dado cuenta
que no son parte de WINDOWS, y he segido sin poder ver los files ocultos pero
ahora voy a probar lo que dice eb esta pagina Gracias
18.
jorge Says:
Enero 4th, 2007 at 1:07
espero no vuelva el virus. gracias,
19.
NN Says:
Enero 6th, 2007 at 21:40
tengo el mismo problema hoy con un reproductor mp3, mi problema es que no
sé qué puedo hacer si uso el DeepFreeze y reinicié la PC y pasé el Nod32
luego(eliminó el sxs.exe), además creo q desde antes tengo este virus, no puedo
ver mis archivos ocultos ya desde hace mucho… alguna ayuda?
[email protected]
20.
Andresb Says:
Enero 7th, 2007 at 10:44
Disculpen es winscok.dll o wincok.dll??
21.
Mr. Konfleis Says:
Enero 7th, 2007 at 23:32
NN, sino tienes conocimientos avanzados en computacion te recominedo
ejecutar el Removal Tool que ahi pongo:
http://securityresponse.symantec.com/avcenter/FixPasbr.exe
Para ver los archivos ocultos tienes que modificar el Registro, con los pasos 3, 4
y 5.
Andresb, el archivo es: wincok.dll
22.
Mrs Jonh Says:
Enero 8th, 2007 at 10:43
Tengo un virus similar que me duplica las carpetas existentes y al darle click a la
carpeta duplicada me abre mis documentos, me bloqueo las opciones de
carpetas, no me deja acceder al regedit, y me desactivo mi antivirus, y no me
deja activarlo, que puedo hacer ayudenme porfavor.
23.
joel Says:
Enero 14th, 2007 at 14:44
hola, tengo problemas con el virus sxs.exe que ha infectado mi celular, mi
antivirus me da la opcion de borralo directamente,, me aprace dos archivos
como infectados “sxs.exe” ,,SI BORRO ESTOS ARCHIVOS SE
DESAPARECE EL PROBLEMA O QUE CONSECUENCIAS TIENE
BORARLOS..
gracias por su ayuda. mi email [email protected]
24.
mario Says:
Enero 15th, 2007 at 15:33
gracias por publicar tu trabajo, me sirvio de muchos y tambien tenia ganas de
tirar mi PC a la basura
25.
ink Says:
Enero 17th, 2007 at 20:16
Ola tengo el mismo problema de MRS JONH
BAJE EL PROGRAMA K NOMBRAN EL FixPasbr.exe Y NADA
EL VIRUS SIGUE Y NINGUN ANTIVIRUS LO DETECTA EL SPYBOT SI
LO HACE LO CORRIGE PERO EL VIRUS VUELVE,..EN LAS CARPETAS
NO ENCUENTRO NADA SVOHOST,.AUNKE EN LOS PROCESOS SI
APARECE..ME PUEDEN AYUDAR MUCHAS GRACIAS
26.
DAniel Says:
Enero 18th, 2007 at 21:13
se puede contagiar mi psp de virus al conectarlo con el ordenador, hoy estuve en
linea queriendo pasar musica y aparecio en la pantalla un virus, se le paso al
psp? por favor si alguien sabe algo escribame
27.
daniel Says:
Enero 18th, 2007 at 21:18
tengo un problema estaba intentando pasar musica a mi psp conectado a la pc,
por medio de usb, y aparecio un virus en la pantalla del la pc, se le transmitio al
psp? como saberlo, alguien me puee ayudar! [email protected]
28.
daniel Says:
Enero 18th, 2007 at 21:23
hola
29.
daniel Says:
Enero 18th, 2007 at 21:30
jj
30.
willynex Says:
Enero 19th, 2007 at 21:29
muchas gracias por el aporte man, de hace tiempo estaba buscando solucion para
ese problema y te felicito mil gracias.
antes yo solo podia ver mis carpetas ocultas atravez del win rar pero ahora las
puedo modificar gracias man.
31.
Mr. Konfleis Says:
Enero 27th, 2007 at 12:27
Todo dispositivo de almacenamiento se puede contagiar, como lo menciono en
el inicio, conecten todos los que tienen y ejecuten el Removal Tool para asi
poder borrar el virus de dichos dispositivos, para lo delas carpetas editen el
registro en los pasos del 3 al 5
32.
ORLANDO Says:
Enero 27th, 2007 at 20:36
hola hermano, excelente tu trabajo, mira he seguido todos los pasos pero no
puedo borrar el virus ni siquiera con la herramienta symantec
33.
darkeasc Says:
Febrero 2nd, 2007 at 14:22
hola muchas gracias por ayudar a arreglar este problema pero tengo un
problema, al eliminar la clave CheckedValue y crear una nueva me sale un error
que dice que no se puede crear esa clave porque ya existe. Espero me ayuden a
resolver el problema.
34.
MariaJose Says:
Febrero 2nd, 2007 at 20:02
Muchas gracias brother, esto ya me teni a mal andar, si me das permiso voy a
publicar tu acertada respuesta en un blog que recien lo he creado
http://mjormy.blogspot.com, tranquilo que voy a citar la fuente, jaja.
35.
jansplus Says:
Febrero 5th, 2007 at 19:16
excelente material, me salvo la vida frente al ataque de este vicho
36.
danner Says:
Febrero 8th, 2007 at 17:52
gracias por tu ayuda viejito eres lo maximo por que ese virus ya me lo matava
mi compu suerte en tus labores cotidianos.
37.
checho Says:
Febrero 9th, 2007 at 13:10
Compañero, creo q el virus lleva demaciado tiempo en mi pc, que no puedo
acceder al editor desde el menu ejecutar, existe otra manera de ingresar a esa
ruta???
38.
DARKEASC Says:
Febrero 9th, 2007 at 21:09
POR FAVOR NECESITO AYUDA, NO PUEDO ELIMINAR LA CLAVE
CHECKEDVALUE Y CREAR UNA NUEVA. DESPUES DE ELIMINARLA ,
TRATO DE COPIAR UNA NUEVA Y ME DICE QUE YA EXISTE Y NO SE
PUEDE REEMPLAZAR.
39.
Champ Says:
Febrero 11th, 2007 at 20:45
HOLA.. TAL PARECE QUE NADIE EN TODA LA WEB SE HA DADO
CUENTA QUE TAMBIEN TE DESABILITA LA OPCION DE INTERNET
EXPLORER DE: “AUTOCOMPLETAR” Y “GUARDAR CONTRASEÑAS”,
ME IMAGINO QUE ESTO LO HACE PARA QUE TECLEES TUS
CONTRASEÑAS MANUALMENTE Y COPIARLAS EN UN ARCHIVO.
AUN NO HE PODIDO SOLUCIONAR ESTO, SI ALGUIEN SABE ALGO DE
COMO SOLUCIONARLO, POR FAVOR. POSTEEN AQUI!!
EN LA WEB LO LLAMAN “SPYWARE”, PERO CON TODO LO QUE
HACE DEBERIA SER LLAMADO UN “VIRUS!!!”
40.
Champ Says:
Febrero 11th, 2007 at 20:47
PARA DARKEASC
TIENES QUE ELIMINAR LA QUE EXISTE PRIMERO YA QUE TIENE EL
MISMO NOMBRE, Y DESPUES CREAS LA NUEVA QUE TE SUGIEREN
AQUI.
41.
Adicto Says:
Febrero 13th, 2007 at 20:58
Muy bien lo del sxs.exe lo he sacado de mi pc
pero hay otro troyano que es parecido
es el issas.exe y ese si que es maldito
si alguien sabe como sacarlo…..
42.
DARKEASC Says:
Febrero 15th, 2007 at 16:56
Gracias Champ pero el problema es que lo eliminaba pero no podia crear otro,
ya que se creaba automaticamente. Resolvi el problema eliminando unos
archivos y otras entradas del registro que contenian informacion de
SUPERVISE.EXE y DEATH.EXE
43.
David Says:
Febrero 17th, 2007 at 22:06
Uno de los antivirus para elimir este fastidioso virus es el “McAfee” (que por
cierto es el mejor de todos) y el virus es Japones.
44.
arnold Says:
Febrero 20th, 2007 at 15:39
gracias por el consejo tienen una muy buena pagina para resolver ese tipo de
problemas
45.
El Agraciado Says:
Marzo 3rd, 2007 at 23:45
De verdad ke me han salvado la vida….
Pero hay una cosilla, este mismo troyano te desabilita la posibilidad de restaurar
el sistema.. Este trukito lo arregla…????
Lo probaré y comentaré luego…
46.
PAXO PAXO Says:
Marzo 4th, 2007 at 0:52
Muy buen dato mr.Konfleis segui los pasos y se soluciono todo muchas gracias.
A y yo tenia el mcafee es el peor antivirus es malisimo y ocupa muchos recursos
les recomiendo el NOD32.
47.
darkeasc Says:
Marzo 8th, 2007 at 1:06
Hola NECESITO AYUDA NUEVAMENTE AHORA SE ME PEGO ALGO
LLAMADO “SYSTEM ALERT”. ME APARECE UN ICONO EN LA
BANDEJA DEL SISTEMA QUE ME DICE A CADA RATO QUE TENGO
ESPIAS Y QUE DEBO BAJAR UN PROGRAMA PARA ELLO. Y AL DAR
CLICK O CLICK DERECHO SE ME ABRE UNA PAGINA PARA
DESCARGAR DICHO PROGRAMA. SI ALGUIEN SABE COMO
DESHACERME DE ESTO SE LO AGRADECERIA…
48.
jesohar Says:
Marzo 21st, 2007 at 13:04
Hola muy buen dato pero, no puedo ejecutar el regedit y el regedt32.exe.
Aparece un mensaje
el administrador ha deshabilitado la modificacion del registro
49.
Mr. Konfleis Says:
Marzo 26th, 2007 at 2:29
Para jesihar:
Tal vez estas con cuenta limitada y no de administrador, ó tal vez estés en tu
trabajo y no tengas permisos para modificar.
50.
Mr. Konfleis Says:
Marzo 26th, 2007 at 2:30
Si de plano ya instalaron algun antivirus y no consiguen quitar esas alertas, les
recomiendo respaldar su informacion, fuentes, correos de outlook, marcadores o
favoritos etc. y darle una formateada a tu PC y activar el firewall
51.
andre Says:
Marzo 30th, 2007 at 9:18
tengo el siguiente inconveniente cuando abro la ventana de msn para conversar
con alguien envia automaticamente varios links y se me cierran las ventanas e
intentado ejecutar el regedt32.exe pero mi pc no lo permite que puedo hacer?
52.
Mr. Konfleis Says:
Abril 5th, 2007 at 11:13
Para algunos que tienes problemas con algunas aplicaciones o “ventanitas
emergentes” les recomiendo bajar el norton 2007 (de prueba de 15 dias) y
actualizarlo y denle una escaneada completa a su sistema para quitar toda
infeccion o amenaza.
53.
sofi Says:
Mayo 15th, 2007 at 11:16
hola tengo el antivirus ad-aware se pero no puede kitar el virus tengo este
problema.. y aora me reinicia la pc a cada rato, intente seguir todos los pasos
explicados pero no pude encontrar los archivos mencionados, el unico k
encontre y elimine fue el winscok.dll pero se volvio a poner el solito.. la vd no
se mucho de compus y realmente estoy desesperada porke es muy molesto este
virus aora le a dado por mandarme publicidad, con virus supongo y encuanto
kise instalar Removal Tool de Symantec… me cierra el windos y reinicia la pc
realmente necesito ayuda…alguien podra acerlo jeje grax
54.
davaprogramers Says:
Junio 28th, 2007 at 20:48
Hola, es cierto tambien hay creados los archivos sxs.dll ; sxs.dl y carpeta sxs en
una actualizacion de windows $NTUninstallKB926255$ en el windows\i386,
system32, microsoft works, dllcache, autocad 2006, coincidencia de nombre? o
es parte del problema?
Saludos…
55.
gaoj77 Says:
Julio 8th, 2007 at 13:42
Mr Konfleis:
Se me ha enfermado mi viejo tarro trate de ver si tus recomendaciones servian
para mi caso (maldito bicho SXS.EXE o mejor dicho W32.Pasobir) pero las
soluciones que das son para Win XP… que pas en WIN 98 SE al ir al regedit (no
regedit32) modifique todo lo que era similar pero no existe esta entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\SuperHidden
al ir a Opciones de carpeta\Ver… tampoco estan visible las opciones de:
-Mostrar todos los archivos
-No mostrar archivos de sistema, etc
de hecho desaparecieron, cualquier ayuda seria de vital importancia.
Deantemano gracias
56.
pixHuu Says:
Noviembre 21st, 2007 at 19:34
am pus sho que te puedo
decir
no lo he leido
todo
am jeje
peor nu manshes
solo copie
la informacion
y vere que pasa
yo tengo uno diferente
pero
am
tienen el mismo mecanismo
aver que pasa
y que mdas
da vida solo hay una
pixHuu
cuidate mucho
57.
Juan Manuel Libreros González Says:
Noviembre 25th, 2007 at 12:23
Que puedo hacer si al conectarle una memoria USB a mi compu, ésta detecta
que tiene virus.
Gracias de antemano
58.
Mr. Konfleis Says:
Noviembre 25th, 2007 at 12:59
Muy importante: NO le des clic normal (izquierdo) a tu icono de tu USB Drive,
ya que muchos virus crean un autoexe que al darle al icono se autoejecuta el
virus o programa malicioso, te recominedo darle clic derecho y abrir, NO
ejecutar.
Te recomiendo tener un antivirus actualizado, en lo personal yo uso Norton®, si
encuentras virus en tu USB Drive, verifica los archivos infectados, copia los que
te sirvan y esten limpios y de preferencia formatea tu USB Drive.
Suerte
59.
Reddragoon Says:
Diciembre 4th, 2007 at 8:44
Buen Dia!!
Mr. Konfleis, las opciones de restauracion que das son excelentes, pero mi
problema es que entro a la maquina tanto como administrador asi como usuario
de dominio con permisos de administrador y me preocupa el echo de que de
ninguna forma me permite entrar al regedit ni a nada de administracion del
sistema, pues cada ves que los ejecuto la ventana se cierra automaticamente y en
algunso casos estando como administrador me dice que no tengo suficientes
permisos, o que el archivo no se encuentra. ademas de los otros daños que
aparecen, como que el icono de la USB se vuele una carpeta, y como datico
extra en mi equipo el virus se camufla bajo el nombre de SKYPE con un icono
como de acceso directo al MSDOS de 33 Kb de tamaño.
gracias por tu posible ayuda
60.
robert rivera Says:
Diciembre 6th, 2007 at 2:30
me pasa lo mismi que al de arriba (Reddragoon)
aun y como administrador me impide hacer cambios
ver carpetas ocultas y desaparecio la pestaña de restaurar sistema
como tampoco me permite utilizar el administrador de tareas
61.
Mr. Konfleis Says:
Diciembre 6th, 2007 at 23:49
Abran una ventana de DOS
“Menu inicio > ejecutar” y escriban:
cmd
De ahí vayan a la ruta:
C:\WINDOWS\system32
y escriban: regedt32.exe
que es el nombre real de ejecutable del Regedit y hagan los cambios pertinentes.
Suerte.
62.
Reddragoon Says:
Diciembre 7th, 2007 at 7:54
De ninguna forma permite realizar tareas de administracion incluidos los de
ejecutar, osea que tampoco me deja entrar en modo consola. Por si alguien tiene
idea. diganme si los archivo de WORD que infecta este virus son posibles de
recuperar o si definitivamente se eliminan. gracias!!