lunes, 16 de julio de 2007

How To Eliminar sxs.exe y autorun.inf

How To Eliminar sxs.exe y autorun.inf

Infeccion.
Cuando se ejecuta Realiza las siguientes acciones:

1. Crea los siguientes ficheros con atributos de “sistema” y “oculto” para dificultar la detección por parte del usuario afectado:

* %System%\SVOHOST.exe - copia del gusano
* %System%\winscok.dll

Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

2. Añade una clave en el registro iniciarse junto al arranque de Windows:

“SoundMam” = “%System%\SVOHOST.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

3. Intenta desactivar productos antivirus y de seguridad tratando de detener los procesos asociados a esos productos o eliminando las claves de registro configuradas por ellos.

4. Inspecciona regularmente el sistema para detectar discos removibles en la unidad “D:”, para conectarse a ellos y descargar una copia del gusano con el nombre:

* D:\sxs.exe

5. También copia en el mismo lugar el fichero un fichero con instrucciones para iniciar el gusano:

* D:\autorun.inf

Intenta capturar las claves de acceso y nombre de usuario de la aplicación de mensajería QQ para enviarlas a un sitio web predeterminado usando su propio motor SMTP

Sistemas Operativos Afectados: Windows 98, Windows 95, Windows 2000, Windows XP, Windows Me, Windows NT, Windows Server 2003.

Eliminar el Gusano.

1. Desabilitar en restaurar sistema Disable System Restore (Windows Me/XP).
2. Actualizar el Antivirus.
3. Ejecutar un escaneo completo de Sistema.
4. Eliminar cualquiera de los valores agregados en el registro de windows.

Para Eliminarlo mas especificamente a continuacion se daran los siguientes pasos.
Leer lás siguientes Instrucciones.

1. Deshabilitar el restaurar Sistema (Windows Me/XP)
Si Tiene sistema operativo Windows Me /Xp se recomienda deshabilitar temporalmente la opcion de restaurar sistema.

2 Actualizar el Antivirus Instalado.

3. Inicie un escaneo completo del sistema (se recomienda hacerlo en modo Safe si el gusano no fue removido).

Si el antivirus no detecta el gusano siga las siguientes instrucciones para removerlo manualmente.

4. Borrar las claves del registro.
(Nota: Se recomienda hacer un Backup al registro de Windows antes de hacer cambios importantes en el sistema para evitar inestabilidad en el sistema Operativo.)
1. Clic Inicio > Ejecutar.
2. Digite regedit
3. Click OK.

Nota: En caso de que editor del registró falle o quizá fuera modificado por el gusano el siguiente script puede ayudar a habilitarlo. Cópielo y guárdelo con el bloc de notas con el siguiente Nombre “UnhookRegKey.inf" Sin las comillas.
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

4. Valla a la siguiente Ruta y borre las siguiente entradas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SoundMam" = "C:\WINDOWS\system32\svohost.exe"

5. Salir de editor de Registro.

Nota: Este es la ruta para la descarga de un ejecutable para remover el gusano lo encontré en un foro no lo he probado pero parece que sirve.
http://rapidshare.com/files/805522/MismaSXS.rar.html

6. A continuación también les tengo un script muy popular en Internet para remover este molesto Virus.
Este script si es el que me ha salvado Cuando en más de una ocasión se viene Oculto en la memoria USB desde la universidad. Incluso ya el equipo “pulguiado” donde no puedo abrir ninguna unidad de Almacenamiento Incluyendo Discos Duros y unidades extraíble como USB y discos Duros externos.
Ha sido de gran ayuda gracias a todos los que todos los días aportan algo al conocimiento ;-) de Todos. Cópielo y guárdelo con el bloc de notas con el siguiente Nombre “Eliminar_svohost.bat" Sin las comillas. Este script tiene para limpiar desde la Unidad C: hasta La unidad G: en caso de necesitar para más unidades de almacenamiento se debe de agregar el código para las unidades adicionales.
Nota: se recomienda hacerlo en modo Safe para mayor seguridad.

@echo off
Echo Utilidad para eliminar el troyano que se encuentra en la red
Echo Para mayor efectividad reinicia la maquina y presiona f8 para entrar en modo prueba de fallos
Echo (12/Octubre/2006)
echo Actualizado v 0.2
Echo Geraldo E. Sosa Sosa
Echo Licencia GNU
@pause
taskkill /f /im svohost.exe
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcac
cd
C:
attrib sxs.exe -a -h -s -r
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s -r
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s -r
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
F:
attrib -a -h -s -r sxs.exe
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s -r
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s -r
del /s /q /f autorun.inf
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SoundMam /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /f
reg add "hkey_local_machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\showall" /v checkedvalue /t REG_DWORD /d "00000001" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice" /v Start /t REG_DWORD /d "00000002" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /t REG_DWORD /d "00000002" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d "00000001" /f
regsvr32.exe -c c:\windows\system32\regwizc.dlle


jayrfer.blogspot.com

en 14:43

Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)