Cmo quitar RAMNIT

Junio 2014
RAMNIT es un virus de la familia de virut, sality y virtob. Este
virus infecta principalmente los archivos ejecutables y
archivos HTML (.exe, .dll, .html)
Cmo identificarlo
Cmo quitar Ramnit
Quitar con DR WEB LIVE CD
eScan Antivirus Toolkit
Formateo

Cmo identificarlo
Ramnit puede ser identificado en un informe de Zhpdiag por las lneas que agrega: R1 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
http=127.0.0.1:8888;https=127.0.0.1:8888;
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program
files\microsoft\desktoplayer.exe Por lo general esta infeccin puede ser detectada sin
problemas, como lo muestra el anlisis de abajo con Virus Total, pgina que permite analizar
archivos con varios antivirus:
File name:
mbr.exe
Submission date: 2010-11-19 12:47:02 (UTC)
Current status: queued (#8) queued (#6) analyzing finished
Result: 30/ 43 (69.8%)

AhnLab-V3 2010.11.19.00 2010.11.18 Win32/Ramnit
AntiVir 7.10.14.39 2010.11.19 W32/Ramnit.C
Antiy-AVL 2.0.3.7 2010.11.19 -
Avast 4.8.1351.0 2010.11.19 Win32:Ramnit-F
Avast5 5.0.594.0 2010.11.19 Win32:Ramnit-F
AVG 9.0.0.851 2010.11.19 Win32/Zbot.G
BitDefender 7.2 2010.11.19 Win32.Ramnit.H
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.19 W32.Ramnit-1
Command 5.2.11.5 2010.11.19 W32/Ramnit.D
Comodo 6771 2010.11.19 Packed.Win32.MUPX.Gen
DrWeb 5.0.2.03300 2010.11.19 -
Emsisoft 5.0.0.50 2010.11.19 Virus.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.18 -
eTrust-Vet 36.1.7986 2010.11.19 Win32/Ramnit.C
F-Prot 4.6.2.117 2010.11.19 W32/Ramnit.D
F-Secure 9.0.16160.0 2010.11.19 Win32.Ramnit.H
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.19 Win32.Ramnit.H
Ikarus T3.1.1.90.0 2010.11.19 Virus.Win32.Ramnit
Jiangmin 13.0.900 2010.11.19 Backdoor/IRCNite.wi
K7AntiVirus 9.68.3021 2010.11.18 Virus
Kaspersky 7.0.0.125 2010.11.19 Virus.Win32.Nimnul.a
McAfee 5.400.0.1158 2010.11.19 W32/NGVCK
McAfee-GW-Edition 2010.1C 2010.11.19 W32/NGVCK
Microsoft 1.6402 2010.11.19 Virus:Win32/Ramnit.I
NOD32 5633 2010.11.19 Win32/Ramnit.H
Norman 6.06.10 2010.11.19 -
nProtect 2010-11-19.02 2010.11.19 Win32.Ramnit.H
Panda 10.0.2.7 2010.11.18 W32/Cosmu.C
PCTools 7.0.3.5 2010.11.19 Malware.Ramnit
Prevx 3.0 2010.11.19 -
Rising 22.74.03.08 2010.11.19 -
Sophos 4.59.0 2010.11.19 W32/Ramnit-A
SUPERAntiSpyware 4.40.0.1006 2010.11.19 -
Symantec 20101.2.0.161 2010.11.19 W32.Ramnit.B!inf
TheHacker 6.7.0.1.086 2010.11.18 -
TrendMicro 9.120.0.1004 2010.11.19 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.19 -
VBA32 3.12.14.2 2010.11.18 -
VIPRE 7350 2010.11.19 Virus.Win32.Ramnit.b (v)
ViRobot 2010.11.19.4157 2010.11.19 -
VirusBuster 13.6.48.0 2010.11.18 Win32.Ramnit.Gen.2
Additional information

Cmo quitar Ramnit
La desinfeccin de un PC infectado con RAMNIT no es sencilla, y en ciertos casos, cuando el
virus se ha propagado considerablemente no habr ms remedio que formatear el disco. Si no,
algunos Live CD pueden desinfectar los ficheros infectados, por ejemplo, el Live CD DR WEB
puede quitar esta infeccin.
Quitar con DR WEB LIVE CD
Sigue estos pasos:
Descarga Dr Web CureIt en el Escritorio
Reinicia el PC en modo seguro
Haz doble clic en launch.exe para ejecutar el antivirus (en Windows Vista y 7 haz clic
derecho y selecciona "Ejecutar como administrador"). Luego haz clic en "Iniciar" para
iniciar un anlisis rpido del sistema
Si el programa encuentra archivos infectados, haz clic en el botn "Seleccionar todo",
luego haz clic en el botn "Curar
Cuando haya terminado el anlisis rpido, haz clic en el men "Opciones > Cambiar
configuraciones"; Haz clic en la pestaa "Chequear" y desmarca la casilla al lado de
"Anlisis heurstico" y dale clic a "Aceptar"
Regresa a la ventana principal y selecciona Escaneo completo.
Selecciona todos los discos
Haz clic en el botn verde situado a la derecha para que comience el escaneo. Si aparece
una publicidad cirrala
Si el programa detecta alguna infeccin, haz clic en Seleccionar todo, luego haz clic en
Curar.
Si es imposible eliminar la infeccin, haz clic en Mover.
Ahora en la ventana principal del programa, haz clic en el men "Archivo" y selecciona
"Grabar lista de informe"
Guarda el informe en el Escritorio. Ponle de nombre DrWeb.csv.
Postea el informe en el foro de Virus y seguridad
Cierra Dr.Web CureIt!
Reinicia el PC (necesariamente) ya que algunos archivos pueden ser desplazados o
reparados al reiniciar.

eScan Antivirus Toolkit
Etapa 1:
Descarga eScan Antivirus Toolkit en el Escritorio
Haz doble clic en el fichero mwav.exe descargado en el Escritorio; descomprime los
ficheros en la nueva carpeta sugerida (C:\Kaspersky). El programa se ejecutar, luego sal
de l.
Haz clic en el botn "Inicio > Equipo" (en Windows 7)
Haz doble clic sobre el disco que contiene el sistema operativo (usualmente C:\), haz
doble clic sobre la carpeta Kaspersky; luego haz doble clic sobre el archivo kavupd.exe.
Aparecer una ventana DOS, y la actualizacin se llevara a cabo en algunos minutos.
Una vez terminada la actualizacin, aparecer el mensaje "Press any key to continue";
presiona cualquier tecla para continuar. Durante la actualizacin se han creado dos
nuevas carpetas (C:\Bases y C:\Downloads).
Selecciona/Copia todos los ficheros presentes en la carpeta C:\Downloads, luego pgalos
en la carpeta C:\Kaspersky. Acepta la solicitud de reemplazar los ficheros existentes.
Etapa 2:
No ejecutes el anlisis inmediatamente!
Reinicia el PC
Presiona inmediatamente la tecla F8 (F5 en algunos PC) varias veces para entrar en modo
seguro
En el men de opciones avanzadas, selecciona "Modo seguro"
Inicia sesin
Etapa 3:
Para ejecutar eScan Antivirus Toolkit, ubica el fichero mwavscan.com que se encuentra en
la carpeta C:\Kaspersky.
Haz doble clic en mwavscan.com; la interfaz de eScan aparecer
Selecciona las siguientes opciones en "Scan Options": Memory, Registry, Startup Folders,
System Folders, Services.
Marca la casilla "Drive", lo que da acceso a una nueva casilla "Drive" (botn Redondo)
justo debajo; Marca este botn "Drive" y aparecer una nueva ventana de dialogo a la
derecha. Haz clic en la pequea flecha de esta ventana y selecciona la letra de tu disco
duro (usualmente C:\).
Debajo, comprueba que est seleccionado "Scan All Files" y no "Program Files".
Haz clic en "Scan Clean" y espera mientras la herramienta analiza el disco duro (esto
puede tomar tiempo). Cuando el anlisis haya terminado aparecer "Scan Completed".
Aun no salgas!
Abre un nuevo archivo con el bloc de notas (Inicio > Todos los programas > Accesorios >
Bloc de notas), luego copia y pega todo el contenido de la ventana Virus Log Information
en el archivo de texto, luego gurdalo. eScan tambin genera un reporte completo en la
carpeta C:\Kaspersky (llamado mwav.log), pero pesa mucho para postearlo en el foro
Cierra el programa.
Reinicia el PC en modo normal
Pega el reporte en tu post en el foro de Virus y seguridad

Formateo
Formatear un disco duro consiste en borrar todo su contenido: archivos y carpetas y sistema
operativo. Esta es una operacin irreversible, es decir que una vez que el disco haya sido
formateado, no se podrn restaurar los datos. Es importante tener una copia del sistema
operativo actual para poder reinstalarlo luego de realizar el formateo. No se debe salvaguardar
ningn fichero ejecutable, ningn fichero comprimido (.zip, .rar), ningn fichero .scr, DLL ni
HTML, si no se corre el riego de volver a encontrar ficheros infectados. No olvides que un solo
fichero infectado puede infectar el resto de ficheros en el PC. Para saber cmo formatear el
disco duro, ver [ este articulo]
Este documento intitulado Cmo quitar RAMNIT de Kioskea (es.kioskea.net) esta puesto a diposicin bajo la
licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta
nota sea visible.