Sv Community El Salvador
Soporte y Tecnología => OS => Window$ => Mensaje iniciado por: leossric en enero 20, 2007, 10:12:30 am
-
Pues tengo un problema, probablemente un virus, pues queria consulta si a alguien le paso:
No puedo ver las carpetas ocultas en windows xp, puse el cheque en mostrar todos los archivos, pero siempre lo desactiva el maldito windows, y las carpetas que oculto no puedo verlas aunk la informacion sigue alli.
si a alguien le paso y me diga alguna solucion se lo agradeciaria,
:sur:
-
Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias UBS y discos externos ¿cómo eliminarlo?
Noviembre 22, 2006 on 1:35 am | En General |
Recientemente mi computadora se infectó con un virus latoso llamado “sxs.exe” (W32.Pasobir), éste se copia y se ejecuta en unidades adicionales removibles o no removibles en nuestra computadora, ya sean disco duros, memorias USB, Memory Stick®, celulares, iPod®, PSP®, etc. Ya contaminada la PC, cada vez que conectemos una unidad externa se copiara automáticamente y así donde conectemos dicha unidad contaminará a otras PC y así se seguirá propagando…
Éste mentado virus es un troyano aunque de nivel 1 de riesgo, es molesto y puede capturar todo lo tecleado en nuestra computadora, desde contraseñas, direcciones de e-mail, etc. y enviarlas a un correo específico dentro del programa usando el motor SMTP de nuestra computadora.
Las “cualidades” de éste virus son:
- Bloquea el acceso a unidades externas
- Bloquea la ejecución e instalación de antivirus
- Se atribuye la opción de de “archivo oculto” y por lo tanto…
- Cambia las opciones de las carpetas y no permite ver los archivos ocultos
- Cambia opciones desde el Editor de Registro
- No permite la ejecución de Editor de Registro (regedit) desde menú ejecutar
Así que me di la tarea de buscarle solución llegando a lo siguiente:
1. Escribir en Menú Ejecutar: regedt32.exe (es el nombre ejecutable del editor)
2. Ir a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borrar la línea: “SoundMam” = “%System%\SVOHOST.exe”
3. Ir a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL borrar la entrada CheckedValue (en rojo) y crear una misma pero del tipo DWORD (azul) con valor 1
4. Verificar que la clave DefaultValue tenga valor 2 así como en la carpeta NOHIDDEN donde ahora las dos claves tienen valor 2
5. Para ver los archivos “protegidos” del sistema, en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden donde el valor de las mismas es 0
6. Abre el Administrador de tareas y dale terminar al proceso: SVOHOST.exe
7. Ahora podrás cambiar las propiedades de carpeta para ver archivos ocultos y de sistema. Hazlo.
8. Conecta tus memorias USB ó todo dispositivo externo que creas que esté infectado y Ejecuta Menú Buscar, localiza los archivos: sxs.exe, sxs.exe-xxxxxxx.pf, svohost.exe, wincok.dll y bórralos.
9. Sino aparecen búscalos:
10. Los Archivos svohost.exe, wincok.dll están en la carpeta: C:\WINDOWS\system32 (si no puedes ver las carpetas ocultas simplemente escribe la ruta en tu barra de direcciones de Windows)
11. Los archivos .pf se encuentra en la carpeta: C:\WINDOWS\Prefetch
12. Los archivos sxs.exe estarán en la raíz de tus unidades D:/ E:/ etc. así como un archivo Autorun
13. En dado caso de que no puedas bájate este Removal Tool de Symantec®: http://securityresponse.symantec.com/avcenter/FixPasbr.exe
COMO IDENTIFICARLO
-
Otra
-
Otras mas
-
http://www.mrkonfleis.com/blog/?p=4 http://blog.aoyama.com.mx/?p=80
Como eliminarlo
Eliminación del virus
* Desconectamos el cable de la red o nos desconectamos de la red inálambrica
* Reiniciamos nuestro sistema y entramos al modo seguro (presionando F8 antes de que aparezca el logo de windows)
* Desactivamos la restauración del sistema, para ello, abrimos seleccionamos con el botón derecho del ratón Mi PC y elegimos Propiedades, nos cambiamos a la pestaña Restaurar Sistema y activamos la casilla Desactivar Restaurar Sistema
* De ser posible, eliminemos los puntos de restauración anteriores (opcional), para ello, Inicio, Todos los programas, Accesorios, Herramientas del sistema, Liberador de espacio en disco. Dejamos que haga los cálculos necesarios, en cuanto tengamos la ventana de dialogo a la vista, nos pasamos a la sección Más opciones y presionamos el botón Liberar en la opción Restaurar sistema y presionamos Si, cuando nos los pregunte
* Ahora corremos las siguientes herramientas: FixPasobr Si el virus se ha identificado como Pasobir o Pasovir, Mismasxs si se identifico con cualquiera de los otros nombres, está herramienta elimina casí todas las variantes, incluso es recomendable pasarla aún después de usar la herramienta de symantec ya que restaura los daños que hace el virus a nuestro sistema.
* Reinciamos y antes de conectarnos a la red, instalemos un buen antivirus, yo recomiendo el AVG, es rápido, ligero, seguro y se actualiza con mucha regularidad
-
Dichoso virus, me hizo quebrarme la cabeza para eliminarlo! hubiese existido este tema hace una semana, Gracias leossric por la solucion ojala le sea útil a varios :thumbsup:
-
gracias buen howto, con razon no se veia en los archivos ocultos
-
Graxias
Buen dato amigo pero no solo ese archivo o ese virus jode eso pos yo tube un problema muy parecido q las carpetas de mi musica se ocultaron por comp,leto y no encontre solucion con ese dato. lamentablemente le tube q dar en la nuca y perdi la informacion q tenia oculta por mi hermnana x_x
-
pues fijate q “sxs.exe” tambien si ya lo tenes lo muy probable es q haya afectado el automontaje de las memorias USB, es decir q cuando las conectas no te las abre, y tenes q abrirlas manualmente, si sucediera eso cambiar algunos datos del regedit lo arreglara........ pero no recuerdo muy bien ahorita............
-
pues fijate q “sxs.exe” tambien si ya lo tenes lo muy probable es q haya afectado el automontaje de las memorias USB, es decir q cuando las conectas no te las abre, y tenes q abrirlas manualmente, si sucediera eso cambiar algunos datos del regedit lo arreglara........ pero no recuerdo muy bien ahorita............
pues tambien me paso eso que no me los abre automaticamente,... si me ayudaras a resolverlo te agradeceria mucho
-
ahi esta la cura :thumbsup:
solo corres la aplicacion y te elimina ese troyano y ya podes ver las carpetas ocultas ;)
-
pues fijate q “sxs.exe” tambien si ya lo tenes lo muy probable es q haya afectado el automontaje de las memorias USB, es decir q cuando las conectas no te las abre, y tenes q abrirlas manualmente, si sucediera eso cambiar algunos datos del regedit lo arreglara........ pero no recuerdo muy bien ahorita............
pues tambien me paso eso que no me los abre automaticamente,... si me ayudaras a resolverlo te agradeceria mucho
pues fijate q es bien sencillo solo es de cambiarle un valor en el regedit pero no recuerdo cual es........ si me das chance te averiguo.......
-
va mira lo q hace el gusano es esto te cambia:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"="189"
q lo original es ""NoDriveTypeAutoRun"="145"" en decimal o
q lo original es ""NoDriveTypeAutoRun"="0x91"" en hexadecimal
cambia esos valores para q active la reproduccion automatica de tu memoria.
aqui hay mas info por si te interesa:
sobre lo q afecta el gusano:
http://www.hacksoft.com.pe/virus/w32_detnat_e.htm
definiciones de NoDriveTypeAutoRun y sus valores
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true
desahabilitar el NoDriveTypeAutoRun
http://support.microsoft.com/kb/895108/es
-
Lo probare cuando llegue a mi casa, thanks bro.
-
Si tenes WindowsUE ese es el problema esa opcion ellos se la han cambiado para que no puedan usar tus carpetas ocultas, el valor que cambias es la respuesta segun lo escribio Antonio
-
yo he visto otro que usa esos archivos sxs es el brontok y el QQrob por aca andan rondando en algunas maquintas... :dumb: con un Sdat de mcafee se pueden limpiar desde la consola y queda bien o con el disco de emergencia de kaspersky que pusieron por ahi en un post
ya los porbe y de las dos maneras los puedo limpiar despues solo queda hacer los cambios en el registro
-
hey gracias man por ese aporte a mi me pasa exactamente lo mismo ahora pruebo eso :thumbsup: