Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias UBS y discos externos ¿cómo eliminarlo?

Recientemente mi computadora se infectó con un virus latoso llamado “sxs.exe” (W32.Pasobir), éste se copia y se ejecuta en unidades adicionales removibles o no removibles en nuestra computadora, ya sean disco duros, memorias USB, Memory Stick®, celulares, iPod®, PSP®, etc. Ya contaminada la PC, cada vez que conectemos una unidad externa se copiara automáticamente y así donde conectemos dicha unidad contaminará a otras PC y así se seguirá propagando…

Éste mentado virus es un troyano aunque de nivel 1 de riesgo, es molesto y puede capturar todo lo tecleado en nuestra computadora, desde contraseñas, direcciones de e-mail, etc. y enviarlas a un correo específico dentro del programa usando el motor SMTP de nuestra computadora.

Las “cualidades” de éste virus son:

- Bloquea el acceso a unidades externas

- Bloquea la ejecución e instalación de antivirus

- Se atribuye la opción de de “archivo oculto” y por lo tanto…

- Cambia las opciones de las carpetas y no permite ver los archivos ocultos

- Cambia opciones desde el Editor de Registro

- No permite la ejecución de Editor de Registro (regedit) desde menú ejecutar

Así que me di la tarea de buscarle solución llegando a lo siguiente:

1. Escribir en Menú Ejecutar: regedt32.exe (es el nombre ejecutable del editor)

2. Ir a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borrar la línea: “SoundMam” = “%System%\SVOHOST.exe”

3. Ir a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL borrar la entrada CheckedValue (en rojo) y crear una misma pero del tipo DWORD (azul) con valor 1

4. Verificar que la clave DefaultValue tenga valor 2 así como en la carpeta NOHIDDEN donde ahora las dos claves tienen valor 2

5. Para ver los archivos “protegidos” del sistema, en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden donde el valor de las mismas es 0

6. Abre el Administrador de tareas y dale terminar al proceso: SVOHOST.exe

7. Ahora podrás cambiar las propiedades de carpeta para ver archivos ocultos y de sistema. Hazlo.

8. Conecta tus memorias USB ó todo dispositivo externo que creas que esté infectado y Ejecuta Menú Buscar, localiza los archivos: sxs.exe, sxs.exe-xxxxxxx.pf, svohost.exe, wincok.dll y bórralos.

9. Sino aparecen búscalos:

10. Los Archivos svohost.exe, wincok.dll están en la carpeta: C:\WINDOWS\system32 (si no puedes ver las carpetas ocultas simplemente escribe la ruta en tu barra de direcciones de Windows)

11. Los archivos .pf se encuentra en la carpeta: C:\WINDOWS\Prefetch

12. Los archivos sxs.exe estarán en la raíz de tus unidades D:/ E:/ etc. así como un archivo Autorun

13. En dado caso de que no puedas bájate este Removal Tool de Symantec®: http://securityresponse.symantec.com/avcenter/FixPasbr.exe

Suerte!!!Aquí expongo algunas imagenes que te ayudarán a identificar:

Esta entrada fue posteada el día Miércoles, Noviembre 22nd, 2006 a las 1:35 en la categoría Programas y Utilidades.

62 Respuestas para “Virus “sxs.exe” (W32.Pasobir) en nuestras Memorias UBS y discos externos ¿cómo eliminarlo?”

1. LA100RRA Says: Noviembre 22nd, 2006 at 17:40

Buen dato perri…. err digo Mr. Konfleis.

No me he topado con el troyano en cuestión pero por si las dudas lo descargué y lo corrí.

Saludos.

2. Aoyama Says: Noviembre 27th, 2006 at 17:00

Gran hojuela, yo tambié luché contra esa cosa, aquí está el resultado por si les interesa a tus lectores… http://blog.aoyama.com.mx/?p=80

3. Cristhian Says: Diciembre 12th, 2006 at 13:59

Gracias Gracias esto me resulta de gran ayuda

4. Rodrigo Says: Diciembre 12th, 2006 at 19:40

Gracias!! me fue de gran utilidad porque tenía este virus y no lo sabía!

saludos!

5. VICTOR Says: Diciembre 12th, 2006 at 20:37

LA VERDAD ES QUE SI ESE VIRUS ES MUY ENFADOSO Y COMO MI COMPUTADORA NISIQUIERA TIENE INTERNET PARA ACTUALISARSE ME LA ISO UN DESASTRE SATA ME DIERON GANAS DE TIRARLA PERO GRACIAS A ESTO PUDE LIBRARME DE EL

6. VICTOR Says: Diciembre 12th, 2006 at 20:38

UNA COSA MAS ALGUIEN SAVE DE DONDE SALIO ESTE TONTO VIRUS YO PIENSO QUE FURON LOS ORIENTALES

7. Geek Peru Says: Diciembre 13th, 2006 at 12:15

El virus se puede eliminar , pero como se arregla la opccion de volver a ver archivos ocultos y de sistema , asi como la opccion de restaurar sistema ? por que el virus malogra eso y ya no hay forma de arreglarlo.

8. manuel carvajal Says: Diciembre 13th, 2006 at 21:59

gracias amigo se paso se me pego justo este trojan en los computadores de la universidad infectando el pendrive.

aer avast los identifico los borre pero no le crei y ademas los daños persistian, seguis tus paso y me resulto gracias.

una sola cosa ahora no aparece la opcion de reproduccion automatika del pendrive o de algunotro dispositivo extraible :/

chau

9. Jhonny Says: Diciembre 14th, 2006 at 8:58

De verdad pana que a eso es lo que yo llamo saber dar informacion, te felicito por tu participacion.

10. Iván Calderón Says: Diciembre 17th, 2006 at 21:24

Solo 4 virus se han saltado mi excelente antivirus (Pc-cillin el mejor, los demas son basura) y todos los he expulsado desde la consola de windows (lease inicio > ejecutar > cmd) ninguno ha podido conmigo…Sasser, rontokbro, KOfcpfwSvcs, y este…El sasser no me pudo ni reiniciar la computadora….y tambien virus locales de mi escuela como el test de inteligencia, folder.htt, etc

11. Jhonny Jauregui Says: Diciembre 18th, 2006 at 13:35

Pana, si te percatas bien tambien existe un archivo llamado sxs.dll, el problema es que no se en que influye con ese virus. Cualquier cosa me lo haces saber. En las carpetas que se encuentra ese archivo son:C:\windows\system32C:\windows\system32\dllcache

Saludos y sigue adelante !!!.

12. k_rloxamuel Says: Diciembre 19th, 2006 at 11:56

hey gracias lo voy a probar luego os avisare tio.

13. irving Says: Diciembre 20th, 2006 at 1:53

aplique en mi ordenador el Removal Tool de Symantec® y no solucione nada.. lo que pasa es que no me aparece la opcion de:la barra de menu: HERRAMIENTAS-OPCIONES DE CARPETAS… y tengo unos documentos ocultos que necesito.. pueden darme la solucion?????

14. Mr. Konfleis Says: Diciembre 20th, 2006 at 7:45

La solución está ahí mismo, sólo hay que leer con atención.

Ejecuta “regedit.exe” y realiza los pasos: 3, 4 y 5

15. william Says: Diciembre 20th, 2006 at 12:50

Muchas gracias por la solucion, me saco las patas del barro porque el antivirus lo elimina, mas no asi la incidencia del virus. Saludos.

16. terry2k6 Says: Diciembre 21st, 2006 at 19:34

ya elimine el virus, pero me kedo la opcion auto de una particion, ke puedo hacer para kitarla??? T_T

esto me sale

http://www.subir-fotos.com/uploads3/e4b82ad1b3.jpg

17. Alejo Says: Enero 2nd, 2007 at 19:25

Bellesa de pagina loco todos esos archivos adicionales que as nombrado los antivurus me los an detectado como sospechoso y he buscado y me dado cuenta que no son parte de WINDOWS, y he segido sin poder ver los files ocultos pero ahora voy a probar lo que dice eb esta pagina Gracias

18. jorge Says: Enero 4th, 2007 at 1:07

espero no vuelva el virus. gracias,

19. NN Says: Enero 6th, 2007 at 21:40

tengo el mismo problema hoy con un reproductor mp3, mi problema es que no sé qué puedo hacer si uso el DeepFreeze y reinicié la PC y pasé el Nod32 luego(eliminó el sxs.exe), además creo q desde antes tengo este virus, no puedo ver mis archivos ocultos ya desde hace mucho… alguna ayuda? alguien_nn@hotmail.com

20. Andresb Says: Enero 7th, 2007 at 10:44

Disculpen es winscok.dll o wincok.dll??

21. Mr. Konfleis Says: Enero 7th, 2007 at 23:32

NN, sino tienes conocimientos avanzados en computacion te recominedo ejecutar el Removal Tool que ahi pongo:http://securityresponse.symantec.com/avcenter/FixPasbr.exe

Para ver los archivos ocultos tienes que modificar el Registro, con los pasos 3, 4 y 5.

Andresb, el archivo es: wincok.dll

22. Mrs Jonh Says: Enero 8th, 2007 at 10:43

Tengo un virus similar que me duplica las carpetas existentes y al darle click a la carpeta duplicada me abre mis documentos, me bloqueo las opciones de carpetas, no me deja acceder al regedit, y me desactivo mi antivirus, y no me deja activarlo, que puedo hacer ayudenme porfavor.

23. joel Says: Enero 14th, 2007 at 14:44

hola, tengo problemas con el virus sxs.exe que ha infectado mi celular, mi antivirus me da la opcion de borralo directamente,, me aprace dos archivos como infectados “sxs.exe” ,,SI BORRO ESTOS ARCHIVOS SE DESAPARECE EL PROBLEMA O QUE CONSECUENCIAS TIENE BORARLOS..gracias por su ayuda. mi email joelyela@yahoo.com

24. mario Says: Enero 15th, 2007 at 15:33

gracias por publicar tu trabajo, me sirvio de muchos y tambien tenia ganas de tirar mi PC a la basura

25. ink Says: Enero 17th, 2007 at 20:16

Ola tengo el mismo problema de MRS JONH

BAJE EL PROGRAMA K NOMBRAN EL FixPasbr.exe Y NADA

EL VIRUS SIGUE Y NINGUN ANTIVIRUS LO DETECTA EL SPYBOT SI LO HACE LO CORRIGE PERO EL VIRUS VUELVE,..EN LAS CARPETAS NO ENCUENTRO NADA SVOHOST,.AUNKE EN LOS PROCESOS SI APARECE..ME PUEDEN AYUDAR MUCHAS GRACIAS

26. DAniel Says: Enero 18th, 2007 at 21:13

se puede contagiar mi psp de virus al conectarlo con el ordenador, hoy estuve en linea queriendo pasar musica y aparecio en la pantalla un virus, se le paso al psp? por favor si alguien sabe algo escribame

27. daniel Says: Enero 18th, 2007 at 21:18

tengo un problema estaba intentando pasar musica a mi psp conectado a la pc, por medio de usb, y aparecio un virus en la pantalla del la pc, se le transmitio al psp? como saberlo, alguien me puee ayudar! tuzosdelpachuca@hotmail.com

28. daniel Says: Enero 18th, 2007 at 21:23

hola

29. daniel Says: Enero 18th, 2007 at 21:30

jj

30. willynex Says: Enero 19th, 2007 at 21:29

muchas gracias por el aporte man, de hace tiempo estaba buscando solucion para ese problema y te felicito mil gracias.antes yo solo podia ver mis carpetas ocultas atravez del win rar pero ahora las puedo modificar gracias man.

31. Mr. Konfleis Says: Enero 27th, 2007 at 12:27

Todo dispositivo de almacenamiento se puede contagiar, como lo menciono en el inicio, conecten todos los que tienen y ejecuten el Removal Tool para asi poder borrar el virus de dichos dispositivos, para lo delas carpetas editen el registro en los pasos del 3 al 5

32. ORLANDO Says: Enero 27th, 2007 at 20:36

hola hermano, excelente tu trabajo, mira he seguido todos los pasos pero no puedo borrar el virus ni siquiera con la herramienta symantec

33. darkeasc Says: Febrero 2nd, 2007 at 14:22

hola muchas gracias por ayudar a arreglar este problema pero tengo un problema, al eliminar la clave CheckedValue y crear una nueva me sale un error que dice que no se puede crear esa clave porque ya existe. Espero me ayuden a resolver el problema.

34. MariaJose Says: Febrero 2nd, 2007 at 20:02

Muchas gracias brother, esto ya me teni a mal andar, si me das permiso voy a publicar tu acertada respuesta en un blog que recien lo he creado http://mjormy.blogspot.com, tranquilo que voy a citar la fuente, jaja.

35. jansplus Says: Febrero 5th, 2007 at 19:16

excelente material, me salvo la vida frente al ataque de este vicho

36. danner Says: Febrero 8th, 2007 at 17:52

gracias por tu ayuda viejito eres lo maximo por que ese virus ya me lo matava mi compu suerte en tus labores cotidianos.

37. checho Says: Febrero 9th, 2007 at 13:10

Compañero, creo q el virus lleva demaciado tiempo en mi pc, que no puedo acceder al editor desde el menu ejecutar, existe otra manera de ingresar a esa ruta???

38. DARKEASC Says: Febrero 9th, 2007 at 21:09

POR FAVOR NECESITO AYUDA, NO PUEDO ELIMINAR LA CLAVE CHECKEDVALUE Y CREAR UNA NUEVA. DESPUES DE ELIMINARLA , TRATO DE COPIAR UNA NUEVA Y ME DICE QUE YA EXISTE Y NO SE PUEDE REEMPLAZAR.

39. Champ Says: Febrero 11th, 2007 at 20:45

HOLA.. TAL PARECE QUE NADIE EN TODA LA WEB SE HA DADO CUENTA QUE TAMBIEN TE DESABILITA LA OPCION DE INTERNET EXPLORER DE: “AUTOCOMPLETAR” Y “GUARDAR CONTRASEÑAS”, ME IMAGINO QUE ESTO LO HACE PARA QUE TECLEES TUS CONTRASEÑAS MANUALMENTE Y COPIARLAS EN UN ARCHIVO.AUN NO HE PODIDO SOLUCIONAR ESTO, SI ALGUIEN SABE ALGO DE COMO SOLUCIONARLO, POR FAVOR. POSTEEN AQUI!!EN LA WEB LO LLAMAN “SPYWARE”, PERO CON TODO LO QUE HACE DEBERIA SER LLAMADO UN “VIRUS!!!”

40. Champ Says: Febrero 11th, 2007 at 20:47

PARA DARKEASC

TIENES QUE ELIMINAR LA QUE EXISTE PRIMERO YA QUE TIENE EL MISMO NOMBRE, Y DESPUES CREAS LA NUEVA QUE TE SUGIEREN AQUI.

41. Adicto Says: Febrero 13th, 2007 at 20:58

Muy bien lo del sxs.exe lo he sacado de mi pcpero hay otro troyano que es parecidoes el issas.exe y ese si que es malditosi alguien sabe como sacarlo…..

42. DARKEASC Says: Febrero 15th, 2007 at 16:56

Gracias Champ pero el problema es que lo eliminaba pero no podia crear otro, ya que se creaba automaticamente. Resolvi el problema eliminando unos archivos y otras entradas del registro que contenian informacion de SUPERVISE.EXE y DEATH.EXE

43. David Says: Febrero 17th, 2007 at 22:06

Uno de los antivirus para elimir este fastidioso virus es el “McAfee” (que por cierto es el mejor de todos) y el virus es Japones.

44. arnold Says: Febrero 20th, 2007 at 15:39

gracias por el consejo tienen una muy buena pagina para resolver ese tipo de problemas

45. El Agraciado Says: Marzo 3rd, 2007 at 23:45

De verdad ke me han salvado la vida….

Pero hay una cosilla, este mismo troyano te desabilita la posibilidad de restaurar el sistema.. Este trukito lo arregla…????

Lo probaré y comentaré luego…

46. PAXO PAXO Says: Marzo 4th, 2007 at 0:52

Muy buen dato mr.Konfleis segui los pasos y se soluciono todo muchas gracias. A y yo tenia el mcafee es el peor antivirus es malisimo y ocupa muchos recursos les recomiendo el NOD32.

47. darkeasc Says: Marzo 8th, 2007 at 1:06

Hola NECESITO AYUDA NUEVAMENTE AHORA SE ME PEGO ALGO LLAMADO “SYSTEM ALERT”. ME APARECE UN ICONO EN LA BANDEJA DEL SISTEMA QUE ME DICE A CADA RATO QUE TENGO ESPIAS Y QUE DEBO BAJAR UN PROGRAMA PARA ELLO. Y AL DAR CLICK O CLICK DERECHO SE ME ABRE UNA PAGINA PARA DESCARGAR DICHO PROGRAMA. SI ALGUIEN SABE COMO DESHACERME DE ESTO SE LO AGRADECERIA…

48. jesohar Says: Marzo 21st, 2007 at 13:04

Hola muy buen dato pero, no puedo ejecutar el regedit y el regedt32.exe.Aparece un mensajeel administrador ha deshabilitado la modificacion del registro

49. Mr. Konfleis Says: Marzo 26th, 2007 at 2:29

Para jesihar:

Tal vez estas con cuenta limitada y no de administrador, ó tal vez estés en tu trabajo y no tengas permisos para modificar.

50. Mr. Konfleis Says: Marzo 26th, 2007 at 2:30

Si de plano ya instalaron algun antivirus y no consiguen quitar esas alertas, les recomiendo respaldar su informacion, fuentes, correos de outlook, marcadores o favoritos etc. y darle una formateada a tu PC y activar el firewall

51. andre Says: Marzo 30th, 2007 at 9:18

tengo el siguiente inconveniente cuando abro la ventana de msn para conversar con alguien envia automaticamente varios links y se me cierran las ventanas e intentado ejecutar el regedt32.exe pero mi pc no lo permite que puedo hacer?

52. Mr. Konfleis Says: Abril 5th, 2007 at 11:13

Para algunos que tienes problemas con algunas aplicaciones o “ventanitas emergentes” les recomiendo bajar el norton 2007 (de prueba de 15 dias) y actualizarlo y denle una escaneada completa a su sistema para quitar toda infeccion o amenaza.

53. sofi Says: Mayo 15th, 2007 at 11:16

hola tengo el antivirus ad-aware se pero no puede kitar el virus tengo este problema.. y aora me reinicia la pc a cada rato, intente seguir todos los pasos explicados pero no pude encontrar los archivos mencionados, el unico k encontre y elimine fue el winscok.dll pero se volvio a poner el solito.. la vd no se mucho de compus y realmente estoy desesperada porke es muy molesto este virus aora le a dado por mandarme publicidad, con virus supongo y encuanto kise instalar Removal Tool de Symantec… me cierra el windos y reinicia la pc realmente necesito ayuda…alguien podra acerlo jeje grax

54. davaprogramers Says: Junio 28th, 2007 at 20:48

Hola, es cierto tambien hay creados los archivos sxs.dll ; sxs.dl y carpeta sxs en una actualizacion de windows $NTUninstallKB926255$ en el windows\i386, system32, microsoft works, dllcache, autocad 2006, coincidencia de nombre? o es parte del problema?

Saludos…

55. gaoj77 Says: Julio 8th, 2007 at 13:42

Mr Konfleis:

Se me ha enfermado mi viejo tarro trate de ver si tus recomendaciones servian para mi caso (maldito bicho SXS.EXE o mejor dicho W32.Pasobir) pero las soluciones que das son para Win XP… que pas en WIN 98 SE al ir al regedit (no regedit32) modifique todo lo que era similar pero no existe esta entrada: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHiddenal ir a Opciones de carpeta\Ver… tampoco estan visible las opciones de:-Mostrar todos los archivos-No mostrar archivos de sistema, etcde hecho desaparecieron, cualquier ayuda seria de vital importancia.Deantemano gracias

56. pixHuu Says: Noviembre 21st, 2007 at 19:34

am pus sho que te puedodecirno lo he leidotodo

am jejepeor nu manshessolo copiela informaciony vere que pasayo tengo uno diferenteperoamtienen el mismo mecanismoaver que pasay que mdasda vida solo hay una

pixHuu

cuidate mucho

57. Juan Manuel Libreros González Says: Noviembre 25th, 2007 at 12:23

Que puedo hacer si al conectarle una memoria USB a mi compu, ésta detecta que tiene virus.

Gracias de antemano

58. Mr. Konfleis Says: Noviembre 25th, 2007 at 12:59

Muy importante: NO le des clic normal (izquierdo) a tu icono de tu USB Drive, ya que muchos virus crean un autoexe que al darle al icono se autoejecuta el virus o programa malicioso, te recominedo darle clic derecho y abrir, NO ejecutar.

Te recomiendo tener un antivirus actualizado, en lo personal yo uso Norton®, si encuentras virus en tu USB Drive, verifica los archivos infectados, copia los que te sirvan y esten limpios y de preferencia formatea tu USB Drive.

Suerte

59. Reddragoon Says: Diciembre 4th, 2007 at 8:44

Buen Dia!!Mr. Konfleis, las opciones de restauracion que das son excelentes, pero mi problema es que entro a la maquina tanto como administrador asi como usuario de dominio con permisos de administrador y me preocupa el echo de que de ninguna forma me permite entrar al regedit ni a nada de administracion del sistema, pues cada ves que los ejecuto la ventana se cierra automaticamente y en algunso casos estando como administrador me dice que no tengo suficientes permisos, o que el archivo no se encuentra. ademas de los otros daños que aparecen, como que el icono de la USB se vuele una carpeta, y como datico extra en mi equipo el virus se camufla bajo el nombre de SKYPE con un icono como de acceso directo al MSDOS de 33 Kb de tamaño.gracias por tu posible ayuda

60. robert rivera Says: Diciembre 6th, 2007 at 2:30

me pasa lo mismi que al de arriba (Reddragoon)

aun y como administrador me impide hacer cambiosver carpetas ocultas y desaparecio la pestaña de restaurar sistemacomo tampoco me permite utilizar el administrador de tareas

61. Mr. Konfleis Says: Diciembre 6th, 2007 at 23:49

Abran una ventana de DOS

“Menu inicio > ejecutar” y escriban:

cmd

De ahí vayan a la ruta:

C:\WINDOWS\system32

y escriban: regedt32.exe

que es el nombre real de ejecutable del Regedit y hagan los cambios pertinentes.Suerte.

62. Reddragoon Says: Diciembre 7th, 2007 at 7:54

De ninguna forma permite realizar tareas de administracion incluidos los de ejecutar, osea que tampoco me deja entrar en modo consola. Por si alguien tiene idea. diganme si los archivo de WORD que infecta este virus son posibles de recuperar o si definitivamente se eliminan. gracias!!