Cuando hablamos de virus y troyanos que se reproducen o se activan por USB, pueden ser miles, y con sus variantes respectivas, hay uno en particular que esta dando lata y tiene diferentes nombres , pasobir sxs.exe SVOHOST, primero, antes de poner en práctica cualquier consejo que aqui te demos, identifica la amenaza, este troyano en particular puede ser eliminado de forma manual, aunque no debes ignorar que ya hay herramientas especificas.
El comportamiento de este tipo de virus es interesante
Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.
La estructura típica de un archivo autorun.inf
[Autorun] Open=Nombre.extension Label=Etiqueta_Unidad icon=nombreicono.ico
En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:
ntdeiect.com n1detect.com n?deiect.com nide?ect.com uxde?ect.com
2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:
C:\WINDOWS\System32\amvo.exe C:\WINDOWS\System32\avpo.exe C:\WINDOWS\System32\amvo0.dll C:\WINDOWS\System32\amvo1.dll C:\WINDOWS\System32\avpo0.dll C:\WINDOWS\System32\avpo1.dll
Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
amva=amvo.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
avpa=avpo.exe4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Hidden=dword:00000002
Otra variante, también cambia el valor ..
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword
Esta entrada por defecto es una entrada tipo DWORD, y el virus la elimina y crea una de nombre identico, de tipo alfanumerica, lo que debes de hacer, es eliminarla, y crear una tipo DWORD con valor 1.
Si aún así tienes problemas para ver los archivos ocultos, puedes arrancar en modo seguro (F8 en el arranque de windows), usar la consola de recuperación, o alguna distribución de live linux para acceder al sistema de archivos y ver esos archivos ocultos y de sistema. No elimines nada si no sabes bien lo que estas borrando.
Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminación de forma manual si se desea.
Esto es lo que se debe hacer en la Unidad C:
1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la línea de comandos:
taskkill /f /im amvo.exe taskkill /f /im avpo.exe
2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:
attrib -s -h -r C:\autorun.inf attrib -s -h -r C:\ntdeiect.com attrib -s -h -r C:\n1detect.com attrib -s -h -r C:\n?deiect.com attrib -s -h -r C:\nideiect.com attrib -s -h -r C:\nide?ect.com attrib -s -h -r C:\uxde?ect.com
3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:
del C:\autorun.inf /f /q /a del C:\ntdeiect.com /f /q /a del C:\n1detect.com /f /q /a del C:\n1deiect.com /f /q /a del C:\nide?ect.com /f /q /a del C:\uxde?ect.com /f /q /a
4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32:
attrib -s -h -r c:\windows\system32\amvo.exe attrib -s -h -r c:\windows\system32\avpo.exe attrib -s -h -r c:\windows\system32\amvo0.dll attrib -s -h -r c:\windows\system32\amvo1.dll attrib -s -h -r c:\windows\system32\avpo0.dll attrib -s -h -r c:\windows\system32\avpo1.dll
5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:
del /f c:\windows\system32\amvo.exe del /f c:\windows\system32\avpo.exe del /f c:\windows\system32\amvo0.dll del /f c:\windows\system32\amvo1.dll del /f c:\windows\system32\avpo0.dll del /f c:\windows\system32\avpo1.dll
6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema, desde la línea de comandos:
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f
7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f
8. Repetir los pasos 1-7 en todas las unidades.
9. Reiniciar el computador.
Como verás el proceso de la eliminación de este virus es posible de forma manual pero como habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea de comandos a.k.a. CMD.EXE.
De todos modos si deseas hacerlo del modo fácil. Puedes bajar el script, y si quieres también puedes modificar el archivo puesto que el virus y los nombres que usa pueden variar, para editar y hacer modificaciones solo dale click derecho al archivo y modificar. Debes tener especial cuidado si vas a hacer modificaciones al archivo, y te recomiendo que solamente hagas modificaciones si sabes lo que estás haciendo.
svohost y winscok.dll. Otra variante del gusano
Atención, no confundir con svchost y winsock.dll que sí son archivos del sistema y no deben ser eliminados!!
Eliminar este virus es muy sencillo; simplemente hay que hacer lo siguiente:
1.- No usar contraseñas en mensajeria instantanea hasta que el gusano haya sido eliminado.
2.- Actualizar el software antivirus y realizar un escaneo completo.
3.- Si el gusano no fue encontrado, terminar el proceso SVOHOST.exe.
4.- Buscar el archivo SVOHOST.exe en C:\Windows\System32\ y eliminarlo.
5.- Buscar el archivo winscok.dll en C:\Windows\System32\ y eliminarlo.
6.- Eliminar la clave de registro:
«SoundMam» = «%System%\SVOHOST.exe»
En la subclave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Otra manera de eliminarlo es con una secuencia de comandos en consola para eliminar el virus:
Entra a la consola de Windows: Inicio >> Ejecutar >> cmd
Si tenes Windows XP Profesional o Windows 2000 Escribe esta linea y presiona enter:
taskkill /f /im svohost.exe
De lo contrario si tienes Windows XP Home Escribe esta linea y presiona enter:
taskill svohost.exe
Escribe cada linea y presiona enter:
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL DEL /F /Q %SystemRoot%\System32\SXS.EXE DEL /F /Q %SystemRoot%\System32\SVOHOST.EXE DEL /F /Q %SystemRoot%\System32\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL DEL /F /Q %SystemRoot%\SXS.EXE DEL /F /Q %SystemRoot%\SVOHOST.EXE DEL /F /Q %SystemRoot%\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL DEL /F /Q %SystemRoot%\System\SXS.EXE DEL /F /Q %SystemRoot%\System\SVOHOST.EXE DEL /F /Q %SystemRoot%\System\WINSCOK.DLL ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE ATTRIB -R -H -S -A %SystemRoot%\System32\dllcac
Ahora quitamos el incio automatico del virus y los cambios de registro que hizo haciendo lo siguiente en la consola:
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SoundMam /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /f reg add "hkey_local_machine\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Advanced\Folder\Hidden\showal l" /v checkedvalue /t REG_DWORD /d "00000001" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\srservice" /v Start /t REG_DWORD /d "00000002" /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\wscsvc" /v Start /t REG_DWORD /d "00000002" /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d "00000001" /f regsvr32.exe -c c:\windows\system32\regwizc.dll
Como evitar estos virus?
Un truco para evitar estos virus es crear en el directorio raiz de nuestros dispositivos una carpeta llamada autorun.inf y hacerla oculta y de sistema.
