Una solución para eliminar el Virus s2dsxdshd.exe

El problema…

Aún estoy pensando cómo se infectó mi equipo, hace unos dos días estuve conectando a mi computador varias memorias USB que provenian de diferentes fuentes, supongo que una de ellas fué la causa.   La cuestión es que empezó a aparecer un mensaje desagradable cada 5 minutos, mejor veánlo por ustedes mismos:

error-hoy

Dejé el computador por una media hora y al regresar encontré unos 10 mensajes como el de la imágen.  Que estrés!!

Lo primero que hice fué averiguar donde se encontraba el archivo s2dsxdshd.exe mencionado en la caja de diálogo anterior.   Según la búsqueda de windows encontré lo siguiente:

virus-s2dsxdshdDecidí probar renombrando los archivos s2dsxdshd.exe, les cambié la extención por otras letras, pero con sorpresa descubrí que inmediatamente después de esto  el archivo se replicaba.  Luego lo eliminé, volví a renombrar y en cada uno de los intentos el archivo se duplicaba una y otra vez además le colocaba el ícono de aplicaciones conocidas como por ejemplo postgreSQL.

Busque en Google soluciones y encontré muy pocas, probé algunas pero ninguna funcionó.

Las pistas

* Decidí iniciar el computador con un liveCD que tengo de ubuntu borré desde este sistema operativo los archivos que presenté anteriormente y noté que después de reiniciar el computador aparecía un mensaje de instalación:

sshot-1Me pareció curioso que mencionara a la papelera de reciclaje…  La cuestión fué que el virus regresó!!!!  Así que a seguir buscando soluciones.

* Otra pista para la  obtuve de este link: http://virusinfo.info/showthread.php?t=38985 el problema es que el idioma no lo entiendí para nada o traten de leer lo siguiente….

pagina

Ja ja.. Lograrón leerlo? Si fué así,  muy bien, los felicito por ser políglotas..  Bueno, la cuestión es que en esta página vi un reporte bastante particular:

sshot-2El reporte en inglés menciona a la misma carpeta que encontré cuando reinicié el computador…

La solución….

La conclusión que saqué es que se debian borrar los archivos ejecutables mencionados en el reporte anterior, junto con los que se replicaron insistentemente, así que tome mi liveCD de linux y empecé a borrar los siguientes archivos: r00t.exe, r00t.exe

sshot-3 y todos los archivos llamados  s2dsxdshd.exe que encontré en las carpetas de C:\WINDOWS  y C:\Documents and Settings\Administrador  sshot-4

Mi equipo ya lleva unas 6 horas de trabajo y el mensaje de error no ha vuelto a aparecer.  Entonces,  si no me engaño el virus fué eliminado. Así que  puedo decir que Linux le dió la mano a Windows… ja ja ja.

Ya he apagado el computador por un tiempo, lo he vuelto a encender y el virus no volvió…. así que problema resuelto!

Mi conclusión…

Se deben eliminar los archivos:

  • r00t.exe, alojado en la carpeta c:\RECYCLER\k-1-3542-4232123213-7676767-8888886
  • s2dsxdshd.exe, que se puede encontrar en las carpetas C:\WINDOWS y C:\Documents and Settings\Administrador (Por lo menos en mi equipo)
  • sin embargo les recomiendo buscar si existen más copias de esos archivos en otras ubicaciones.

La mejor forma de eliminarlos  es arrancar el computador con un liveCD para evitar que se cargue en memoria el virus o con un disco de arranque que le permita leer y escribir en particiones NTFS para poder realizar el procedimiento sugerido.  Prueben la solución y me comentan como les fué.

Finalmente les cuento….

Debido a que encontré pocas respuestas en internet y para todos los que tienen el mismo problema que tuve decidí publicar este Post, así que espero les sea de utilidad.   Si alguien conoce una solución más apropiada, más efectiva,  más rápida, desea dejar alguna sugerencia, las gracias o su experiencia con este problema la puede compartir mediante los comentarios de este post para que otros usuarios se puedan beneficiar de sus experiencias.   Pero sobre todo si mi solución les sirvió me gustaría que hicieran un comentario al respecto… no puedo negar que es motivante…

23 comentarios

  1. Hola,

    Ante todo muchas gracias por la información. Me pasó prácticamente lo mismo que a tí con los usb, los errores, borrando archivos, buscando en internet cómo se solucionaba… Y nada, no encontré nada.

    De repente encontré tu página, seguí los pasos y pude eliminarlo. Muchas gracias por tomarte tiempo en postear esto, seguro que nos ayuda a mucha gente.

    Gracias!

    • Hola Hector. Pues te comento que me alegro que mi solución haya sido de utilidad, esa ha sido mi principal intención. Que bueno que comentes, ojalá todos los visitantes lo hicieran…. Feliz día!

  2. Hola

    Definitivamente el procedimiento que señalas aqui es el unico realmente efectivo para erradicar ese virus, desde hace dos dias la actualizacion del nod32 ecuentra el gusano culpable de causar la aparicion del s2dsxdshd.exe y lo elimina, pero desde que exista el root.exe escondido en la carpeta RECYCLER, siempre volvera a aparecer el s2dsxdshd.exe. Este procedimiento descrito tambien lo aplique para erradicar el virus EXE[1].exe que esta relacionado con la alerta de virus http://zxvsnerverdies.is-the-boss/EXP.exe del nod32 y fue todo un exito.

    Gracias por compartir este conocimiento con las personas y felicitaciones

    Gracias!

    • Que Bueno Diego, me parece excelente que hayas podido eliminar el virus y aún mejor que digas que este es el único realmente efectivo.

      Gracias por los comentarios, eso motiva a seguir escribiendo posts de ayuda… y de todo lo que se me ocurra…!

  3. Gracias…por fin pude desacerme de ese molesto virus…la causa: un USB infectado…..saludos desde Mazatlán Sinaloa México

  4. Que Bien! Saludos desde Colombia!

  5. Muy buena esa aclaratoria para eliminar este virus😀 felicitaciones por hacer el post y dedicar tu tiempo para ayudar a los demas q sufrimos de ataques masivos de Virus inmortales xD.. gracias suerte a todos

    rotten, venezuela!

  6. yo tengo winXP y no logro borrar el maldito virus alguna recomendacion

  7. oye tengo ese problema, pero no encuentro la carpeta recycler, debe ser en lynux, por win no se puede?

  8. Hola Christian. Arranca tu equipo con un Disco de Inicio evitando que se cargue en memoria el Virus, luego si intenta eliminarlo. En mi caso como les comenté lo hice con un LiveCD de ubuntu, pero si tienes otro tipo de Disco de Arranque que te permita explorar archivos y carpetas, además de borrorarlos lo puedes conseguir, por ejemplo el Hiren Boot CD.
    Así mismo si es el caso, haz una búsqueda para saber en que otras ubicaciones se encuentra escondido el virus para eliminarlo definitivamente….

  9. Hola Leonardo. Pues te cuento que yo intenté borrarlo desde Windows infuctuosamente, razón por la cual lo hice con el LiveCD de Ubuntu. Desde entonces no ha vuelto a molestar mi PC lo cual significa que el virus fué destruido. Baja el CD de ubuntu y busca la carpeta que mencioné, en la ruta indicada(Papelera) y luego si elimínalo. Si no te aparece en ese lugar, haz una búsqueda de los archivos s2dsxdshd.exe y r00t.exe. Cuando los encuentres los borras y listo!
    Si no has usado ubuntu, no te afanes, realmente intuiras en donde buscar las opciones debido a su facilidad de uso.

  10. Hola a todos… el dato fue interesante y muy util… pero si tienes que hacerlo remotamente y sin posiblidad de LiveCD las cosas no son tan fáciles.

    El virus tuve que removerlo sin posibilidad del LiveCD así que seguí más o menos las indicaciones iniciales para ubicar el condenado virus. informo use el Escritorio Remoto para asistir este caso.

    Efectivamente hay que borrar todas las carpetas que se encuentren dentro de RECYCLER en todas las particiones de disco duro.

    Desactivar la característica de Restaurar el sitema de todas las unidades.

    Borrar de \windows\prefetch los archivos indicados arriba (s4dsh+.exe y de pronto el sd2*.exe).

    Buscar unas carpetas en la raiz del disco de arranque (C: por ejemplo) que aparecen ocultas y del sistema con los nombres SYSTEM y otra con un nombre que pareciera del sistema operativo. Dentro de ellas hay una carpeta similar al nombre que tienen las papeleras de reciclaje y un unico archivo SYS.EXE o X0R.EXE. Desde la raiz es necesario quitarle todos los permisos y dejarlas inaccesibles para cualquier usuario incluido los administradores (grupo y usuarios), así quedarán bloqueadas para poder reiniciar el equipo.

    Reinicia el PC y tan pronto ingreses al sistema busca nuevamente las carpetas bloqueadas, ahora es necesario asignarles como propietario al administrador del sistema, y las borras de inmediato (Shift+del). Busca en el \windows\prefetch que no aparezcan los archivos indicados arriba (s4dsh+.exe y de pronto el sd2*.exe).

    Espero esto ayude otro tanto en la solucion de este virus

  11. Se me olvidaba…

    en el directorio \windows\prefetch tambien aparecen el X0R.exe.hash.pf y el SYS.exe.hash.exe… también tienen que se eliminados si los ven.

  12. Bueno,,, yo acabo de tener esta mala experiencia con un portátil mini (uno de estos famosos netbooks) de un amigo, y la verdad se vuelve tortuoso el caso… porque estas porquerías de aparatos minimalistas no tienen unidad lectora óptica (CD o DVD), luego la única manera de meterle muela es con una USB que estemos dispuestos a formatear. En este caso mi salvavidas fue una lectora externa con una flash, y lo fundamental para incluir allí fueron las herramientas del Hiren’s Boot CD 9.5, en particular el KillBox.
    Según el viacrucis vivido en este experimento, puedo aportar las siguientes conclusiones / características:

    1- El endemoniado bicho se aloja en carpetas que crea en la raiz de todos los discos ya sean fijos o extraíbles. Estas carpetas son camufladas con nombres que generen inseguridad si se piensa en borrarlas, ocultándolas y/o asignándoles atributos de sistema, además de asignar iconos para imitar la papelera de reciclaje (primera cosa sospechosa ya que los extraíbles no manejan papelera, pero allí les encontrarán).

    2- Una vez allí, crea el respectivo archivo autorun.inf en la raiz, que hará que se invoque al exe alojado en el paso anterior.

    3- Al parecer el bicho lleva en su interior un rootkit que lo hace invisible ante las herramientas que nos muestran los procesos en memoria, de manera que aun cuando el “X0R.exe” esté subido en la memoria no lo podamos ver para interrumpirlo.

    Pasos seguidos con aparente éxito:

    1) Editar las políticas de grupo y desactivar la reproducción automática en todas las unidades. Afortunadamente el loco que reformateó la máquina (y aun me pregunto cómo le hizo sin tener CD-ROM) le puso un XP Pro.

    2) Desde la flash previamente alistada para el sacrificio en una máquina limpia, copiar y ejecutar el KillBox. Lo indicado sería pedir al programa que elimine el autorun.inf, y luego el exe escondido, pero es muy probable que no alcancemos a verlo, por lo que habrá que intentar actuar sobre la carpeta completa (la que imita la papelera). Además hay que marcar la opción “Delete on Reboot”, pues mientras el rootkit (el bicho) se encuentra cargado el programa no podrá ni siquiera verlo. Aunque es posible que a la primera parezca no haber resultados, no se desesperen (aunque no niego que fue difícil) y repitan el procedimiento. Si mal no estoy tuve que repetirlo un par de veces, luego de lo cual pude hacer que KillBox viera al maldito X0R.exe y marcarlo para su eliminación (siempre con reinicio de por medio).

    3) Si el proceso fue exitoso ya no habrá problema alguno para eliminar la carpeta impostora, tengan cuidado porque puede haber más. Por lo menos en este caso, ubicadas en la raiz de una memoria que venía para la misma revisión (la que posiblemente transmitió el virus), encontré seis carpetas con el mismo esquema: CONFIG, driver, Recycle, RECYCLER, RESTORE y SYSTEM. A todas las envié a la m…

    4) Asumiendo el éxito, en ese momento pude revisar la memoria infectada, así como la de “sacrificio”. Dado que la reproducción automática estaba desactivada, el ingenuo windows no tomó en cuenta el autorun.inf de la raíz de la memoria. Así que paso seguido eliminé DEFINITIVAMENTE (Shift + Supr) una a una las carpetas impostoras mencionadas en el numeral anterior, sin caer en la tentación de intentar explorarlas (cada una tiene dentro un archivo desktop.ini con información de una clase incluida en el registro, y la verdad no me llamó la atención correr el riesgo de perder lo ya hecho).

    5) Si no quieren correr el riesgo de conservar a la mascota, lo mejor es revisar si el KillBox dejó backup del bicho en “C:\!KillBox”.

    Bueno el caso fue algo extremo pero creo que no está de más tenerlo en cuenta… suerte para todos.

    FER

  13. Ah un detalle adicional… ahora que el caso quedó controlado he pasado a examen una “muestra” (la que quedó en mi memoria de sacrificio). NOD32 identificó al bicho como Win32/AutoRun.KS.

    Saludos

  14. Bueno compáñeros de foro abierto esta es la solucion al problema definitivamente.

    examinando los comentarios que han hecho ustedes en efecto todo funciona.

    se necesita:
    nod32 con actualizacion reciente.
    ComboFix.exe y el siguiente scrip
    en el cual describo todas las variantes que tiene el pinch… virus he de decirles que este escrip ha sido modificado mas de 9 veces ya que el virus es poliformico y crea distintos nombres en los archivos de RECYCLER.
    el scrip tiene que ser guardado con el nombre de CFScript.txt una ves hecho esto lo unico que tiene que hacer es arastrar el CFScript.txt a el icono de ComboFix.exe el cual tiene que se de la ultima vercion y simplemente dar que si a todas las preguntas que nos haga el combofix.

    File::
    C:\z8g5q3d3n2s9.exe
    c:\windows\system32\drivers\SCtri.exe
    (Aqui va la ruta completa del usuario donde inicia senion)C:\Documents and Settings\?????????\zsdshd.exe
    \sxdsdshd.exe
    \sdsxdshd.exe
    \sxdxshd.exe
    \kjods.exe
    \Exxrxedr.exe
    \sdsdshd.exe
    \Exredr.exe
    \Exxxplorer.exe
    \sdsdsd.exe
    \xcdshd.exe
    \xcdshd.exe
    \xdshd.exe
    \x6cdshd.exe
    \xcdshd.exe
    \xdshd.exe
    \xrdshd.exe
    \kshd.exe
    \vdshd.exe
    \fdsfgdg.exe
    \setupdc.exe
    C:\Documents and Settings\Administrador\fdsfgdg.exe
    C:\Documents and Settings\Administrador\setupdc.exe
    C:\Documents and Settings\Administrador\kshd.exe
    C:\Documents and Settings\Administrador\vdshd.exe
    C:\Documents and Settings\Administrador\zsdshd.exe
    C:\Documents and Settings\Administrador\sxdsdshd.exe
    C:\Documents and Settings\Administrador\sdsxdshd.exe
    C:\Documents and Settings\Administrador\sxdxshd.exe
    C:\Documents and Settings\Administrador\kjods.exe
    C:\Documents and Settings\Administrador\Exxrxedr.exe
    C:\Documents and Settings\Administrador\sdsdshd.exe
    C:\Documents and Settings\Administrador\Exredr.exe
    C:\Documents and Settings\Administrador\Exxxplorer.exe
    C:\Documents and Settings\Administrador\sdsdsd.exe
    C:\Documents and Settings\Administrador\xcdshd.exe
    C:\Documents and Settings\Administrador\xcdshd.exe
    C:\Documents and Settings\Administrador\xdshd.exe
    C:\Documents and Settings\Administrador\x6cdshd.exe
    C:\Documents and Settings\Administrador\xcdshd.exe
    C:\Documents and Settings\Administrador\xdshd.exe
    C:\Documents and Settings\Administrador\xrdshd.exe
    C:\Documents and Settings\Administrador\kshd.exe
    C:\WINDOWS\x6cdshd.exe
    C:\WINDOWS\xcdshd.exe
    C:\WINDOWS\xdshd.exe
    C:\WINDOWS\xrdshd.exe
    C:\x4j8n9a6p9t.exe
    c:\Recycle\\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
    c:\recycle\D-0-060-0000000000-1111111-2222222\FiX.exe
    c:\recycler\k-1-3542-4232123213-7676767-8888886\ root.exe
    C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root
    C:\recycle\D-0-060-0000000000-1111111-2222222\FiX.exe
    E:\recycler\k-1-3542-4232123213-7676767-8888886\ root.exe
    E:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root
    E:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
    E:\RECYCLER\k-1-3542-4232123213-7676767-8888886\
    E:\RECYCLER\S-1-6-21-2438476501-1644491937-601003331-1213
    F:\RECYCLER\S-1-5-21-1459366402-731128284-879972363-1123
    D:\recycler\k-1-3542-4232123213-7676767-8888886\ root.exe
    D:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root
    D:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
    D:\RECYCLER\k-1-3542-4232123213-7676767-8888886\
    D:\RECYCLER\S-1-6-21-2438476501-1644491937-601003331-1213
    G:\recycler\k-1-3542-4232123213-7676767-8888886\ root.exe
    G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root
    G:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
    G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\
    G:\RECYCLER\S-1-6-21-2438476501-1644491937-601003331-1213
    G:\RECYCLER\S-1-5-21-1459366402-731128284-879972363-1123
    F:\RECYCLER\S-1-5-21-1459366402-731128284-879972363-1123
    F:\RECYCLER\

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ad88a66-f353-11db-bcae-dc6d75ad0be8}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2fe844f-79d8-11dd-81c3-af86fda96dae}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-24CX1C987132}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-34CX1C987132}]

  15. Hola, lei tu solucion y parece excelente, solo que yo hice algo mas corto y realmente funciona igual.
    El problema es que ese root.exe (una vez instalado en tu pc) lo puedes encontrar en:
    C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\
    junto a un Desktop.ini

    Para eliminarlo puedes hacerte un batch que lo borre asi:

    cd\
    cd RECYCLER
    cd k-1-3542-4232123213-7676767-8888886
    attrib -r -h -s root.exe
    del root.exe
    attrib -r -h -s desktop.ini
    del desktop.ini

    guardas esto como CleanerRoot.bat

    ponlo en el C y reinicia tu pc a prueba de fallos, y listo

    NOTA: Tiene que ser a prueva de fallos porque sino no te dara permisos para eliminar el archivo.

    Espero te sirva

  16. Buenas Tardes; lo que pasa es q me salio este virus de c:\RECYCLER\k-1-3542-4232123213-7676767-8888886 pero no lo puedo quitar porque el equipo no me deja abrir ningun vinculo, ni siquiera me aparece la Barra de Inicio, en ese caso me toca formatearlo o existe otra alternativa?
    Gracias,

  17. Que tal…
    Muchachos he hecho algo mucho más fácil que todas las cosas que he encontrado para eliminar el virus y parece que

    funcionó, cabe aclarar que no se me hubiera ocurrido eliminarlo de esa manera si no me hubiera encontrado con este

    post.
    Procedimiento:
    – Abrir el programa winrar e ir hasta disco local c
    – Entrar a la carpeta de recycler (en mi caso por ser windows vista se llama RESTORE)
    – Eliminar la carpeta que si no estoy mal se llama “s2dsxdshd.exe” o “k-1-3542-4232123213-7676767-8888886” algo

    así; lo cierto es que dentro de esa carpeta está el tal “Ogard.exe”
    – Y listo.
    Siempre que iniciaba sistema me aparecía un cuadro de propiedades del archivo Ogard.exe, así que siempre lo cerraba

    en la X roja sin presionar ningún otro botón del cuadro; pero desde que hice esto ya no volvió a aparecer más.

  18. Hola tengo una duda.. yo tenia este virus, solo me aparecia al principio la ventana de configuracion personalizada c:RECYCLER\K-1-3… y otra ventana que decia q se cerraba el explorer.exe y aveces ya no podia realizar ninguna accion mas que apagar mi equipo. y buscando en internet encontre una estratejia para eliminarlo desde una consola de comandos(cmd.exe) pero accidentalmente elimine:
    k-1-3542-4232123213-7676767-8888886 (c:\RECYCLER\ del k-1-3542-4232123213-7676767-8888886)
    y no se si esta era una parte fundamntal del sistema ya que segun lo que e visto solo se tenian que eliminara los componentes que estaban dentro de ella, al parecer ya no ha aparecido la ventana de configuracion personalizada c:RECYCLER\K-1-3…
    Y no se si todavia tenga este virus, agradeceria sus respuestas.

    Saludos!!!

  19. Hola tengo un problema
    tengo un pendejo virus en la red pero no se como eliminarlo
    lo mejor de todo esque el me muestra una ruta donde supuestamente se encuentra el archivo pero la carpeta no existe o no se ve como lo elimino
    les agradesco si me pueden colaborar

  20. Hola muy buen post lo lei todo en esta madrugada, probe varios pasos que indican pero todos en sesion normal con cuenta de administrador, use total commander, que es un programa de administracion de archivos algo asi como el explorador de windows (windows+E) lo hice siguiendo algo de lo que comentaron de abrir el winrar y dar con el famoso virus numeral….. en fin dentro de /BACKUP/RESTORE.EXE/Realtek.exe ese era mi cruz, que para uds fue el root.exe o r00t.exe….. al final tenia muchos de estos como el system volumen restore, el backup, el restore, me dejaban las carpetas ocultas y sin poder cambiarlas de ocultas a visibles, que molestia el maldito virus, la verdad no se si el ESS 4 lo detecta, ya que se infecto mi antivirus en un ciber que le di a la encargada para imprimir unos archivos al parecer no corrio antivirus y le dio doble click defrente a la unidad… (yo siempre le hago click derecho explorar por seguridad al autorun.exe) de todos modos recomiendo el unlocker, que me ayudo a desbloquear los archivos en sesion normal, el spybot search & destroy, el autorun eater y el ninja, tengo aun dos memorias flash infectadas yo se que lo estan pero me da pavor conectarlas al PC puesto que se puede volver a infectar… que hago algun mata virus del mal ….. ??? alguno que detecte a este inmortal trojano multiplicador…. como lo odio… es mas bravo y jodid oque otros que andan por ahi gracias por el post… saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: