¿Cómo puedo remover rttevjmgloi.exe?

Hola que tal a todos! Bievenidos una vez mas a mi blog.

Quiero compartirles una pequeña experiencia de lo que me acaba de pasar. Se trata de un programita ejecutable llamado rttevjmgloi.exe.  No sé si ustedes lo han visto o encontrado en sus PCs .

rttevjmgloi  exe

El caso es que es un tipo de trojan que se está dispersando por la web, varias computadoras que no tengan su antivirus actualizados se infectarán.

Es muy molesto y muy atrevido este virus, porque al ejecutarse bloquea básicamente todo el sistema. Te dá una pantalla pretendiendo que es un servicio legal y esas cosas.

Te pide que les pagues dinero para remover su cosa.

Bueno, pues hace unas cuantas horas que me infecté yo mismo (no tengo el antivirus activado error mío) y no me dejó hacer casi nada. Observé que el Administrador de tareas tambien se había desabilitado y basicamente me dejó afuera si poder trabajar.

¿Como removerlo?

Todavía no estoy seguro si ha sido removido por completo, voy a pasar un antivirus en mi PC pero sí fuí capaz de eliminar el archivo rttevjmgloi.exe.

El cual aparecía en las carpetas   C:\ProgramData\rttevjmgloi.exe 

Ademas de otros lugares.

 

La mejor información la encontré aquí: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan%3AWin32%2FLyposit.B&ThreatID=-2147296814

 

Pueden leer y ver lo que pasa. Removiendo los archivos y las entradas en el Registro de Windows fué que logré mi PC funcionara otra vez. (En este momento estoy escribiendo con ella misma).

Lean bien los cambios y cosas que ejecuta el programa maligno y eliminenlas manuales. Las del Registro y la de activar el Administrador de tareas.

It creates the following registry key so that its copy automatically runs when Windows starts:

In subkey: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Sets value: “Shell
With data: “explorer.exe, %ALLUSERSPROFILE%\Application Data\<malware file name>

It creates the following registry key as part of its installation process:

In subkey: HKCU\Software\Microsoft
Sets value: “AutoRun
With data: “%ALLUSERSPROFILE%\Application Data\<malware file name>

It then forces your computer to restart so that it automatically runs.

Esa es la que tenemos que eliminar  la de Shell.

Para el Task Manager (admin de tareas)

Trojan:Win32/Lyposit.B prevents you from accessing Task Manager by modifying the following registry entry:

In subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Sets value: “DisableTaskMgr
With data: “1

 

Ese hay que cambiarlo a “‘0”.

 

It creates the following registry key so that its copy automatically runs when Windows starts:

In subkey: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Sets value: “Shell
With data: “explorer.exe, %ALLUSERSPROFILE%\Application Data\<malware file name>

It creates the following registry key as part of its installation process:

In subkey: HKCU\Software\Microsoft
Sets value: “AutoRun
With data: “%ALLUSERSPROFILE%\Application Data\<malware file name>

It then forces your computer to restart so that it automatically runs.

 

Basicamente hay que ver los cambios que el programa hizo y volverlos a como estaban. Eliminar los malos que mencionamos. Todo esto lo haces en MODO SAFE porque en el normal no te dejará.

Bueno pues espero sirva de algo mis solución. La verdad que fué frustrante no poder trabajar por dos horas. Pensaba que reinstalaría el sistema operativo pues ya casi es momento de hacerlo de todos modos. Pero a lo mejor me tomo otra semana mas. 😀

Saludos y que estén bien. Y aléjense de sitios sospechosos. Además de tener su  Windows (sistema operativo ) Actualizado.