jueves, octubre 30, 2008
Albert López
Bien, después de leer en gran cantidad de sitios, problemas con el virus sxs.exe también conocido como "Worm.W32/Pasobir" he decidido escribir un pequeño manual para eliminar este molesto virus. Como muchos sabrán este virus se propaga mediante dispositivos de disco extraible y es por eso que creará un archivo en este tipo de unidades llamado autorun.inf que sirve para autoejecutarse.
Pasemos a la limpieza del virus, aunque primero deberemos especificar que se han de hacer dos pasos:
1º Desinfección del virus del ordenador infectado.
2º Desinfección del virus de la unidad de disco extraible.
Preferentemente es mejor antes eliminar el virus de la unidad del disco extraible pero explicare antes los pasos para la desinfección del virus en el ordenador.
Primero de todo, hay que saber que las copias del virus realizadas en el ordenador estarán ocultas, para ello se debe saber como desocultar los archivos. Para ello ir a"Herramientas" de la pestaña de arriba de las carpetas que ya indicare mas adelante y clickar en "opciones de carpeta". Seguidamente iremos a la pestaña de ver y pondremos:
- Mostrar todos los archivos y carpetas ocultos.
- Deseleccionar el cuadradito mas abajo de "Ocultar archivos y carpetas del sistema.
Bien, una vez explicado esto, empezaremos en la eliminación del gusano. Para que tengais una visión extendida de los archivos que deberemos de eliminar aquí los expongo (doy como ejemplo que vuestro disco extraible sea la unidad "D:\":
Pasemos a la limpieza del virus, aunque primero deberemos especificar que se han de hacer dos pasos:
1º Desinfección del virus del ordenador infectado.
2º Desinfección del virus de la unidad de disco extraible.
Preferentemente es mejor antes eliminar el virus de la unidad del disco extraible pero explicare antes los pasos para la desinfección del virus en el ordenador.
Primero de todo, hay que saber que las copias del virus realizadas en el ordenador estarán ocultas, para ello se debe saber como desocultar los archivos. Para ello ir a"Herramientas" de la pestaña de arriba de las carpetas que ya indicare mas adelante y clickar en "opciones de carpeta". Seguidamente iremos a la pestaña de ver y pondremos:
- Mostrar todos los archivos y carpetas ocultos.
- Deseleccionar el cuadradito mas abajo de "Ocultar archivos y carpetas del sistema.
Bien, una vez explicado esto, empezaremos en la eliminación del gusano. Para que tengais una visión extendida de los archivos que deberemos de eliminar aquí los expongo (doy como ejemplo que vuestro disco extraible sea la unidad "D:\":
- C:\Windows\System32\SVOHOST.exe
- D:\sxs.exe
- D:\autorun.inf
Primero vamos a centrarnos en la eliminación del virus del ordenador, para ello simplemente se debe borrar el archivo SVOHOST.exe que está en la carpeta de system32, aunque si lo intentais directamente vereis un error diciendo que la aplicación esta siendo utilizada por windows. Para ello antes se debe finalizar el processo del archivo manualmente y es un paso muy sencillo.
Presionad CNTRL+ALT+Supr para abrir el administrador de tareas y seleccionais el processo SVOHOST y posteriormente "terminar proceso". Aquí adjunto un gráfico para que veais como hacerlo por si surgen dudas.
Bien, una vez hecho esto, ya podreis dirigiros a la carpeta de C:\windows\system32, habilitais lo de ver los archivos ocultos como se ha explicado anteriormente y buscais el archivo SVOHOST.exe y lo eliminais sin problemas.
Ahora, en la teoria ya se ha eliminado el virus del ordenador, aunque ya que lo eliminamos bien, vamos a borrar la clave que crea en el registro aunque este paso no es necesario. Para ello vamos a INICIO > EJECUTAR y escrivimos "regedit". Esto lo que hará será abrir el registro de windows que es donde están todas las claves del sistema, entre ellas, vereis que hay carpetas y subcarpetas pero no os asusteis. Hay una carpeta específica, que los programas que se inician con windows, guardan una clave y valor allí así que irémos a buscar esa carpeta ya que logicamente el virus creará una clave para iniciarse junto a windows.
Para ello seguiremos la siguiente ruta en las pestañas:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Bien una vez aquí, veremos el nombre, tipo y Datos de todas las aplicaciónes que se inician con windows. Deberiais ver una con nombre "soundman" que en Datos pone exactamente la ruta del archivo que se ha eliminado anteriormente. Simplemente click derecho sobre el nombre y eliminar. Finalmente con este paso, ya se ha desinfectado totalmente el ordenador.
Ahora vamos a realizar la desinfección del usb, el metodo mas sencillo es insertarlo sin abrirlo y formatearlo directamente, aunque és un metodo algo destructivo ya que se pierde la información que hay guardada. Para abrir la unidad de disco extraible hay que tener precaución, ya que si le diesemos doble click como hacemos normalmente el ordenador volverá a quedar infectado y se deberán de repetir todos los pasos anteriormente citados.
Para conseguir abrirla sin que se active el virus, en el icono de la unidad apretar click derecho del raton y poner "explorar". Ahora vereis el contenido de vuestro disco extraible sin haber ejecutado el virus. Si se fijan, seguro que el virus no aparece por ningún lado, ya que recordemos que deberia de haber un archivo llamado sxs.exe y uno autorun.inf. Seguro que ya se lo han imaginado y la respuesta es que estan ocultos, así que toca repetir lo explicado al principio y deshabilitar la ocultación de archivos del sistema y también habilitar el ver archivos y carpetas ocultos. Una vez dado este paso, deberían ver dos nuevos iconos con un tono algo opaco, esto es para poder diferenciar los que són ocultos y los que no.
Ahora directamente los eliminan con total normalidad y todo el sistema ya estara completamente desinfectado. Ahora queda un último paso, aunque el sistema esté desinfectado para limpiar las posibles huellas dejadas por el virus queda eliminar unos archivos temporales que se crean en C:\windows\Prefecth. Estos son los siguientes:
C:\windows\Prefecth\sxs-*****.pf
Donde ****** són números y carácteres al azar, eliminen todos los archivos de este tipo.
Espero que con este manual consigan eliminar el virus y recordarles que el killtrojan usb antivirus lo detecta y elimina en el acto.
Presionad CNTRL+ALT+Supr para abrir el administrador de tareas y seleccionais el processo SVOHOST y posteriormente "terminar proceso". Aquí adjunto un gráfico para que veais como hacerlo por si surgen dudas.
Bien, una vez hecho esto, ya podreis dirigiros a la carpeta de C:\windows\system32, habilitais lo de ver los archivos ocultos como se ha explicado anteriormente y buscais el archivo SVOHOST.exe y lo eliminais sin problemas.
Ahora, en la teoria ya se ha eliminado el virus del ordenador, aunque ya que lo eliminamos bien, vamos a borrar la clave que crea en el registro aunque este paso no es necesario. Para ello vamos a INICIO > EJECUTAR y escrivimos "regedit". Esto lo que hará será abrir el registro de windows que es donde están todas las claves del sistema, entre ellas, vereis que hay carpetas y subcarpetas pero no os asusteis. Hay una carpeta específica, que los programas que se inician con windows, guardan una clave y valor allí así que irémos a buscar esa carpeta ya que logicamente el virus creará una clave para iniciarse junto a windows.
Para ello seguiremos la siguiente ruta en las pestañas:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Bien una vez aquí, veremos el nombre, tipo y Datos de todas las aplicaciónes que se inician con windows. Deberiais ver una con nombre "soundman" que en Datos pone exactamente la ruta del archivo que se ha eliminado anteriormente. Simplemente click derecho sobre el nombre y eliminar. Finalmente con este paso, ya se ha desinfectado totalmente el ordenador.
Ahora vamos a realizar la desinfección del usb, el metodo mas sencillo es insertarlo sin abrirlo y formatearlo directamente, aunque és un metodo algo destructivo ya que se pierde la información que hay guardada. Para abrir la unidad de disco extraible hay que tener precaución, ya que si le diesemos doble click como hacemos normalmente el ordenador volverá a quedar infectado y se deberán de repetir todos los pasos anteriormente citados.
Para conseguir abrirla sin que se active el virus, en el icono de la unidad apretar click derecho del raton y poner "explorar". Ahora vereis el contenido de vuestro disco extraible sin haber ejecutado el virus. Si se fijan, seguro que el virus no aparece por ningún lado, ya que recordemos que deberia de haber un archivo llamado sxs.exe y uno autorun.inf. Seguro que ya se lo han imaginado y la respuesta es que estan ocultos, así que toca repetir lo explicado al principio y deshabilitar la ocultación de archivos del sistema y también habilitar el ver archivos y carpetas ocultos. Una vez dado este paso, deberían ver dos nuevos iconos con un tono algo opaco, esto es para poder diferenciar los que són ocultos y los que no.
Ahora directamente los eliminan con total normalidad y todo el sistema ya estara completamente desinfectado. Ahora queda un último paso, aunque el sistema esté desinfectado para limpiar las posibles huellas dejadas por el virus queda eliminar unos archivos temporales que se crean en C:\windows\Prefecth. Estos son los siguientes:
C:\windows\Prefecth\sxs-*****.pf
Donde ****** són números y carácteres al azar, eliminen todos los archivos de este tipo.
Espero que con este manual consigan eliminar el virus y recordarles que el killtrojan usb antivirus lo detecta y elimina en el acto.
Pueden descargar una copia del manual mejor explicado y arreglado en pdf desde aquí.
Posted in: 
0 comentarios:
Publicar un comentario