Como desinfectar RavmonE
El dia de hoy se me infecto Akiko Taniko, pero eso no es problema porque la maquina de escritorio de mi trabajo tiene un buen antivirus; ademas nada que no se pueda arreglar desde mi buen ubuntu. El gusano en cuestion se llama RavmonE.
Este gusano con caracterÃsticas de caballo de Troya que abre un acceso por puerta trasera, puede propagarse copiándose a dispositivos de almacenamiento masivo, incluyendo discos duros externos, cámaras digitales, teléfonos celulares, memorias USB, etc.
Cuando el gusano se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\RavMon.exe, c:\windows\RavMonLog
La carpeta “c:\windows” puede variar de acuerdo al sistema operativo instalado (”c:\winnt” en NT, “c:\windows”, en 9x, Me, XP, etc.).
También agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run RavAV = “c:\windows\RavMon.exe”
Utiliza el comando NETSH de Windows, para intentar eludir el firewall integrado de Windows XP agregando una excepción a un puerto TCP al azar (el parámetro “firewall” solo funciona en SP2): c:\windows\system32\cmd.exe /c netsh firewall add portopening TCP [puerto] NortonAV
El troyano intenta enviar información del equipo infectado a un usuario remoto, realizando una conexión a uno de los siguientes sitios de Internet: http: // natrocket .9966 .org:5288/, http: // natrocket .kmip .net:5288/, http: // natrocket .kmip .net:5288/, http: // scipaper .kmip .net:80/
El gusano examina todas las unidades de disco mapeadas, fijas y removibles (esto incluye los dispositivos de almacenamiento masivo mencionados antes, que adquieren una letra de unidad al ser conectados a Windows), y crea los siguientes archivos en el directorio raÃz de cada una de ellas: autorun.inf, msvcr71.dll, ravmone.exe
RavmonR.exe: Es el archivo que es ejecutado por el archivo Autorun.inf que el mismo gusano genera al infectar el dispositivo.
AUTORUN.INF: Contiene la información para ejecutar el archivo RAVMONE.EXE cada vez que el usuario intenta acceder al raÃz de una de las unidades mapeadas, o se autoejecutan cuando una unidad removible es insertada.
MSVCR71.DLL: Es una biblioteca de Microsoft Visual Studio, necesaria para el funcionamiento del gusano.
El contenido de AUTORUN.INF suele ser el siguiente:
[AutoRun] open=RavMonE.exe e shellexecute=RavMonE.exe e shell\Auto\command=RavMonE.exe e shell=Auto
El archivo RAVMONE.EXE en ocasiones puede ser RAVMON.EXE.
Desinfectando
Este procedimiento debe ser aplicado a todas las unidades de almacenamiento portatil que haya conectado a su computadora antes de detectar la infección, osea: cámaras digitales, teléfonos móviles, discos duros removibles, memorias flash y USB, etc. Evite que las el gusano se autoejecute al insertar el dispositivo en el equipo utilizado: En mi caso Kaspersky me detecto el virus intentando ejecutarse y le di eliminar el archivo RAVMONE.exe. Si no confias mucho en tu antivirus, te recomiendo remuevas los archivos desde ubuntu, alguna distro de Linux o deplano desde “Solo simbolo de sistema” XD
Desinfectar con el antivirus
Primero se debe actualizar el antivirus
1. Reiniciar Windows en modo a prueba de fallos.
2. Ejecutar el Antivirus y escanear los dispositivos sospechoso.
3. Si el antivirus detecta algun archivo que no pudo desinfectar y/o eliminar, apuntelo en un papel o en el bloc de notas XD
4. Borre todos los archivos detectados como infectados.
5. Si hay alguno que el antivirus no pudo borrar, borrelos manualmente: Localicelos desde el Explorador de Windows y borre los archivos detectados y que el antivirus no pudo borrar; para borrarlos oprima la tecla shift+del/supr para que no se queden en la papelera de reciclaje.
Editar el registro
algunas de las ramas en el registro aquà mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo “+” hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
3. Haga clic en la carpeta “Run” y en el panel de la derecha, bajo la columna “Datos”, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del Ãtem “Antivirus”.
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E .
4. Pulse Shift y la tecla SUPR para borrarlos sin que pasen por la papelera.
5. Vaya al Panel de control, Opciones de Internet, General
6. En Archivos temporales de Internet Haga clic en “Eliminar archivos”
7. Marque la opción “Eliminar todo el contenido sin conexión”
8. Haga clic en Aceptar.
If you enjoyed this post, please consider to leave a comment or subscribe to the feed and get future articles delivered to your feed reader.
Comments
Comentario por jorgelig Asegurate de iniciar a modo a prueba de fallos para que no te pase eso 
Salu2
Comentario por robinson no puedo borralos de niguna forma ni siquiera manual me sale acceso denegado alluda
porfavor
Comentario por mike ola yo tenia el mismo, si lo kieres eliminar manualmente primero k nada kambiale el nombre, el mio estaba localizado en c:/windows/ despues reinicia, y despues presiona ctrl alt supr y elimina el proceso ravmone, despues dirigete hacia donde esta el archivo y eliminalo totalmente no enviarlo a la papelera (es decir preciona shift suprimir) yo te recomendaria k te descargaras el avg antivirus ese lo elimina rapido.
***NOTA*** si tienes ipod, esa es la causa asegurate de k una vez desinfectada tu computadora formatees la memoria del ipod ya k si lo conectas de nuevo se infectara tu computadora 
suerte
primero que todo gracias por lo que estas haciendo,
mi consulta, este virus me bloqueo las opciones de carpeta ya que no puedo acceder a ellas para que muestre los archivos ocultos. y segundo no me deja ejecutar el regedit ya que m e sale bloqueado por administrador y yo lo soy… ¿que tengo que hacer?
gracias…
tampoco puedo ejecutar el hijackthis ni el killbox por si era la solucion se me reinicia el pc..