1. Symantec/

W32.Ramnit Removal Tool

Detectado:
19 de Enero de 2010
Actualizado:
12 de Marzo de 2015 7:37:18 AM
Tipo:
Removal Information
Esta herramienta está diseñada pra eliminar infecciones causadas por W32.Ramnithttp://http://www.symantec.com/security_response/writeup.jsp?docid=2010-011922-2056-99. Cómo descargar y ejecutar la herramienta para eliminar W32.Ramnit. Importante: Seleccione "Ejecutar como adminstrador" no completará la reparación. Debe iniciar sesión en la cuenta de administrador y el resto de los usuarios se debe finalizar sesión para que la herramienta funcione correctamente. Nota para administradores de red: Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Para mayor información, lea el artículo de la base de conocimientos de Microsoft: Problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000http://support.microsoft.com/kb/298924 Siga estos pasos para descargar y ejecutar la herramienta: Descargue FxRamnit.exehttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FxRamnit.exe, la cual puede trabajar tanto a 32 bits como a 64 bits.Guarde el archivo en una ubicación adecuada, como en el escritorio de Windows.Si está seguro de estar descargando esta herramienta del sitio web de Symantec Security Response, puede omitir este paso. Si no está seguro de donde descargó la herramienta o usted es un administrador de red y necesita autenticar los archivos antes de utilizarlos, siga los pasos de la sección ''La firma digital'' antes de continuar con el paso 4. Cierre todos los programas.Si utiliza Windows XP, desactive la Restauración del Sistema. Si desea instrucciones de cómo desactivar Restaurar sistema, lea su documentación de Windows.Haga doble clic en FxRamnit.exe para ejecutar la herramienta de eliminación Haga clic en "I Accept" para aceptar el acuerdo de licencia para el usuario final (EULA) y después para haga clic en “Start” para continuar la ejecución de la herramienta de eliminación.Una vez que a herramienta haya finalizado su ejecución, verá un mensaje solicitándole revisar el archivo con el registro de la limpieza (FxRamnit.log), para ver los resultados, el cual se encuentra en el mismo directorio que la herramienta. Ocasionalmente, puede ser que se le pida reiniciar el equipo para eliminar todas las instancias de Ramnit. Qué hace la herramienta de eliminación La herramienta hace lo siguiente Finaliza los procesos asociados con Ramnit Repara los archivos infectados Restablece las siguientes llaves de registro a los valores siguientes: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusDisableNotify" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UacDisableNotify" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify" = “0” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = “1” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DisableNotifications" = “0” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DoNotAllowExceptions" = “1” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = “1” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDefend\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DisableNotifications" = “0” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DoNotAllowExceptions" = “1” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = “1” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MpsSvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinDefend\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wscsvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DisableNotifications" = “0” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"DoNotAllowExceptions" = “1” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = “1” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = “2” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\"Start" = “2” Parámetros Los siguientes parámetros están orientados a los administradores de red: Muestra un mensaje de ayuda: /HELP, /H, /? Habilita el modo silencioso: /SILENT, /S Evite que el equipo reinicie si han habilitado el modo silencioso: /NOSILENTREBOOTCrea un archivo de registro donde registra las actividades de la herramienta de eliminación en [NOMBRE DE RUTA]: /LOG = [NOMBRE DE RUTA] De forma predefinida, este parámetro crea el archivo para registrar las actividades en la misma carpeta en que se ejecuta la herramienta.Analiza las unidades de red asignada (mapeadas): /MAPPED (Symantec no recomienda el uso de éste parámetro) Unidades asignadas o mapeadas Es importante considerar que el uso del parámetro /MAPPED no garantiza la eliminación total de W32.Ramnit en un equipo remoto que esté infectado. Ya que el análisis de unidades asignadas solamente analiza las carpetas asignadas, que pueden no incluir todas las carpetas del equipo remoto. Esto puede ocasionar detecciones omitidas. Si se encuentra un archivo infectado en la unidad mapeada, la reparación fallará si el archivo está siendo utilizado por otro programa del equipo remoto. En equipos con Windows Vista o Windows 7, analizar las unidades compartidas por red puede fallar si la cuenta de usuario utilizada para ejecutar la herramienta de eliminación no es una cuenta de administrador, incluso si es un miembro del grupo de administrador. En estos casos la unidad compartida aparecerá como desconectada después del análisis de la herramienta de eliminación. Por favor lea el siguiente artículo de la base de conocimientos de Microsoft para mayor información: Los programas no tienen acceso a algunas ubicaciones de red después de activar el Control de cuentas de usuario en Windows Vista o sistemas operativos más recienteshttp://support.microsoft.com/kb/937624 Recomendamos que ejecute la herramienta de eliminación en cada equipo. Firma digital Por motivos de seguridad, la herramienta está firmada digitalmente. Symantec recomienda que solo utilice copias de la herramienta de eliminación que se hayan descargado directamente del sitio Web de Symantec Security Response. Si no está seguro del archivo o es un administrador de red y necesita autenticar el archivo antes de distribuirlo, deberá autenticar la firma digital, siguiendo las siguientes instrucciones: Vaya a http://www.wmsoftware.com/free.htmhttp://www.wmsoftware.com/free.htm.Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó la herramienta. Nota: Muchos de los siguientes pasos deben ejecutarse desde la línea de comandos. Si guardó la herramienta de eliminación en el escritorio de Windows, mueva la herramienta al directorio raíz de la unidad C y guarde el archivo Chktrust.exe a esta ubicación también. El Paso 3 supone que tanto la herramienta de eliminación como Chktrust.exe se encuentran en el directorio raíz de la unidad C. Haga clic en Inicio y seleccione Ejecutar.Escriba el comando cmd y después haga clic en Aceptar. En la ventana de la línea de comandos, escriba lo siguiente, oprimiendo la tecla Intro al final de cada línea: cd\ chktrust -i FixTool.exe Deberá ver uno de los siguientes mensajes, dependiendo de su sistema operativo: Windows XP SP2: Aparecerá la ventana de la Utilidad de Validación de Confianza. Bajo el “Publisher”, haga clic en el vínculo Symantec Corporation y los detalles siguientes de la firma digital aparecerán. Verifique el contenido de los siguientes campos para asegurar que la herramienta sea auténtica: Name: Symantec Corporation Signing Time: 24th February 2015 Para todos los demás sistemas operativos: Aparecerá el siguiente mensaje: ¿Desea ejecutar este software? Name: Symantec Removal Tool Publisher: Symantec Corporation Nota:La fecha y la hora de la firma digital corresponde a la zona del pacífico. Está será ajustada a la zona horaria y opciones de configuración regional de su equipo. Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos. Si no aparece el cuadro de diálogo, puede ser que la herramienta no sea de Symantec. A menos que usted esté seguro que la herramienta de eliminación es legítima y que la descargó del sitio web legítimo de Symantec, no lo ejecute. Haga clic en Sí o Ejecutar para cerrar el cuadro de diálogo.Escriba exit y presione INTRO para cerrar la sesión en MS-DOS.Es posible también verificar que MD5 de la herramienta sea el siguiente: ADBB748C0AB3275B06686F4EC4500A99
Resumen
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube