Desinstalar RAV Endpoint Protection / VPN by RAV y corregir Stub.exe (SONAR.AM.C!g19) en Windows

¿No puedes desinstalar RAV Endpoint Protection o VPN by RAV y Norton te alerta de Stub.exe (SONAR.AM.C!g19)? Esta guía te explica por qué ocurre, cómo cortar la persistencia que lo regenera y el procedimiento exacto —paso a paso— para eliminarlo con seguridad en Windows 10/11.

Índice

Resumen del problema

Al intentar quitar RAV Endpoint Protection o VPN by RAV, Norton detecta una amenaza heurística SONAR.AM.C!g19 vinculada a Stub.exe alojado en %LOCALAPPDATA%\Temp. Malwarebytes pudo haber detectado inicialmente un PUP (como PUP.Optional.DotSetupIo) y lo puso en cuarentena, pero el intento de desinstalar RAV falla y Stub.exe vuelve a aparecer. El motivo suele ser persistencia (servicios, tareas programadas y entradas de inicio) que recrean el stub cuando el sistema arranca o cuando intentas desinstalar.

Qué está pasando realmente

Stub.exe suele actuar como instalador/actualizador temporal propio de instaladores “bundle” o de software potencialmente no deseado (PUP). Borrarlo a mano del directorio temporal apenas resuelve el síntoma: alguna tarea programada, servicio o entrada de inicio lo va a regenerar en cuanto reinicies o ejecutes el desinstalador. La clave es eliminar primero esa persistencia y recién después desinstalar RAV/VPN by RAV.

Síntoma	Qué significa	Acción inmediata
Norton alerta `SONAR.AM.C!g19` sobre `Stub.exe`	Detección por comportamiento de un ejecutable temporal que se crea de nuevo	Arrancar en Modo seguro y cortar tareas/servicios que lo crean
Malwarebytes encontró PUP.Optional.DotSetupIo	Hubo un bundler/instalador que añadió software adicional	Ejecutar limpieza adicional para PUP (AdwCleaner, revisión de navegadores)
La desinstalación de RAV falla o se cuelga	El desinstalador es “rehabilitado” por su updater o por un MSI repair	Neutralizar persistencia, luego desinstalar en Modo seguro

Ruta rápida si tienes prisa

Crea un punto de restauración y copia tus datos sensibles.
Reinicia en Modo seguro sin red.
En msconfig → oculta servicios de Microsoft → deshabilita el resto; en Inicio deshabilita todo lo sospechoso.
Elimina/ deshabilita tareas programadas vinculadas a RAV/Reason/Updater.
Limpia %TEMP% y C:\Windows\Temp; si Stub.exe está bloqueado, renómbralo.
Desinstala RAV Endpoint Protection y VPN by RAV desde appwiz.cpl.
Pasa análisis completos (Norton, Malwarebytes bajo demanda, AdwCleaner) y ejecuta SFC/DISM.
Reinicia en arranque limpio 24–48 h; verifica que no reaparecen artefactos.

Procedimiento recomendado (orden exacto)

Prepara el entorno

Punto de restauración: abre Protección del sistema → Crear. Si no está activa, habilítala en la unidad del sistema.
Evita conflictos entre antivirus: deja Norton como protección residente; usa Malwarebytes solo como escáner bajo demanda (desactiva su protección en tiempo real si la tuviera).
Descarga previa de herramientas on-demand (si las necesitas), ya que luego trabajaremos sin red.

Arranca en Modo seguro con la red desactivada

El Modo seguro evita que muchos servicios de terceros arranquen. Si puedes, desconecta la red/Wi‑Fi para cortar la reaparición de componentes descargados.

Vía Configuración: Configuración → Sistema → Recuperación → Inicio avanzado → Reiniciar ahora → Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar → F4 (Modo seguro).
Vía msconfig: Win + R → msconfig → pestaña Arranque → marca Arranque a prueba de errores → Mínimo → Aceptar → Reiniciar.

Limpia la persistencia antes de desinstalar

Servicios y elementos de inicio

Abre msconfig, ve a Servicios, marca Ocultar todos los servicios de Microsoft, y luego Deshabilitar todo (toma nota de lo que deshabilitas).
En la pestaña Inicio pulsa Abrir el Administrador de tareas y deshabilita cualquier entrada sospechosa (RAV, Reason, ReasonLabs, VPN by RAV, Updater, Agent, etc.).
Opcionalmente revisa en services.msc si hay servicios con nombres como:
- RAV Endpoint Service, Reason Security Service, RAV Update Service, RAV VPN Service.
Si los ves, establece Tipo de inicio en Deshabilitado y Detener.

Tareas programadas

Abre Programador de tareas → Biblioteca del Programador de tareas y revisa carpetas y tareas que contengan RAV, Reason, ReasonLabs, VPN, Update, Stub, Install, Agent. Deshabilítalas o elimínalas.

:: Listado rápido desde CMD (Modo seguro)
schtasks /Query /FO LIST | findstr /I "RAV Reason VPN Update Stub Install Agent"

Carpetas temporales

Vacía el contenido de las temporales del usuario y del sistema. Si Stub.exe está en uso, renómbralo primero y elimínalo tras reiniciar.

:: Ejecuta en CMD como administrador
del /f /s /q "%TEMP%\."
del /f /s /q "C:\Windows\Temp\."

Entradas en el Registro (opcional avanzado)

Solo si te sientes cómodo con el Editor del Registro (regedit). Revisa estas claves por entradas anómalas relacionadas con RAV/Reason (haz copia de seguridad de la clave antes de tocar nada):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Desinstala desde Programas y características

Con la persistencia neutralizada, procede a desinstalar:

Win + R → appwiz.cpl.
Desinstala RAV Endpoint Protection y VPN by RAV (si aparecen como entradas separadas, quita ambas).
Si la desinstalación estándar falla:
- Reintenta en Modo seguro.
- Explora las rutas de instalación (p. ej., C:\Program Files\ o C:\Program Files (x86)\) para localizar un desinstalador (unins*.exe o uninstall.exe) y ejecútalo como administrador.
- Como alternativa avanzada, usa un desinstalador de terceros reputado en modo forzado únicamente para limpiar restos tras el desinstalador oficial.

Método	Ventajas	Cuándo usarlo	Notas
appwiz.cpl	Usa el desinstalador oficial	Primer intento siempre	Requiere neutralizar persistencia antes
Uninstall.exe	Acceso directo al desinstalador	Cuando la entrada de Panel falla	Ejecuta como admin
Desinstalador de terceros	Limpieza de restos y registros	Si el oficial falla o deja huellas	Evita herramientas agresivas/desconocidas
Winget/PowerShell	Automatizable	Usuarios avanzados	No todos los paquetes están en winget

Analiza y repara el sistema

Antimalware bajo demanda:
- Ejecuta un análisis completo con Norton.
- Ejecuta Malwarebytes como escáner on-demand (sin residente).
- Usa AdwCleaner para PUP/adware residuales.
- Opcional y muy eficaz: Microsoft Defender Offline (escaneo sin conexión) para erradicar persistencias ocultas.
Integridad de Windows: cmd /c "sfc /scannow" DISM /Online /Cleanup-Image /CheckHealth DISM /Online /Cleanup-Image /ScanHealth DISM /Online /Cleanup-Image /RestoreHealth

Reinicio en arranque limpio

Arranca normalmente pero mantén el arranque limpio (lo que deshabilitaste en msconfig) durante 24–48 horas para vigilar reapariciones. Si todo va bien, vuelve a habilitar gradualmente solo lo legítimo.

Comprobación y limpieza final

Carpetas residuales:
- C:\Program Files\ y C:\Program Files (x86)\ → elimina carpetas RAV/Reason/VPN by RAV si han quedado vacías o con restos inertes.
- C:\ProgramData\, %LOCALAPPDATA% y %APPDATA% → borra subcarpetas relacionadas.
Navegadores: quita extensiones desconocidas, restaura página de inicio y buscador, y resetea si ves cambios indeseados.
Red/Proxy: en Opciones de Internet → Configuración de LAN, desmarca proxys no deseados. Restablece desde consola: netsh winhttp reset proxy ipconfig /flushdns

Comandos útiles para acelerar la limpieza

Listar y neutralizar tareas relacionadas

:: Buscar tareas sospechosas (CMD)
schtasks /Query /FO LIST | findstr /I "RAV Reason ReasonLabs VPN Update Agent Install Stub"

\:: Deshabilitar un ejemplo de tarea
schtasks /Change /TN "\ReasonLabs\Updater" /Disable
schtasks /Delete /TN "\ReasonLabs\Updater" /F

PowerShell para inventariar servicios y tareas

# Ejecuta en PowerShell como administrador
Get-Service | Where-Object {$_.DisplayName -match "RAV|Reason|ReasonLabs|VPN"} |
  Select-Object Status, Name, DisplayName

Get-ScheduledTask | Where-Object {$\_.TaskName -match "RAV|Reason|VPN|Update|Agent|Stub"} |
Select-Object TaskName, State, TaskPath

Winget como apoyo (si disponible)

winget list | findstr /I "RAV Reason VPN"
winget uninstall --id "NombrePaqueteCoincidente"

Nota: no todos los productos están en Winget; úsalo solo si aparece listado.

Cómo reconocer artefactos de RAV/Reason

Rutas frecuentes:
- C:\Program Files\RAV\, C:\Program Files (x86)\RAV\
- C:\Program Files\ReasonLabs\, C:\ProgramData\ReasonLabs\
- %LOCALAPPDATA%\RAV\, %APPDATA%\RAV\
Nombres comunes: RAV Endpoint, RAV VPN, Reason Security Engine, Updater, Agent, Service, Stub.
Tareas: ReasonLabs Updater, RAV Update, RAV Agent (nombres orientativos; pueden variar).

Notas clave para entender las detecciones

Por qué Norton insiste con Stub.exe: la detección SONAR es heurística/por comportamiento. Si una tarea o servicio genera el stub, la alerta reaparece. Al cortar la persistencia y desinstalar, deja de recrearse.
Sobre PUP.Optional.DotSetupIo: indica que un bundler venía con el instalador original. La cuarentena inicial fue correcta; completa con una pasada de AdwCleaner y revisa el navegador.
Colisión de antivirus: tener dos motores residentes degrada rendimiento y causa falsos positivos. Mantén uno solo (en este caso, Norton), y los demás como escáneres bajo demanda.

Errores comunes y cómo evitarlos

Borrar solo Stub.exe: no resuelve nada si la persistencia sigue activa.
Deshabilitar servicios de Microsoft: nunca los toques; en msconfig marca siempre “Ocultar todos los servicios de Microsoft”.
Editar el Registro sin copia: exporta la clave antes de modificarla.
Usar “limpiadores milagro”: evita herramientas agresivas o desconocidas; pueden romper el sistema.
Olvidar el navegador: extensiones y políticas pueden reinyectar cambios. Revisa y resetea si es necesario.

Plan B si nada funciona

Restaurar sistema a un punto previo a la instalación de RAV/VPN.
Herramienta de desinstalación del fabricante (si existe): ejecuta el removal tool específico en Modo seguro.
Reinstalación de Windows como último recurso: haz copia de seguridad, realiza una instalación limpia y reinstala solo software de fuentes oficiales.

Señales de que quedó resuelto

Verificación	Cómo comprobar
RAV/Reason/VPN ya no aparecen en Programas	`appwiz.cpl` → comprobar lista
No hay servicios ni tareas relacionadas	`services.msc` y Programador de tareas en blanco para esos nombres
`Stub.exe` no se recrea	Monitoreo de `%TEMP%` tras varios reinicios
Escaneos limpios	Norton y Malwarebytes sin detecciones; AdwCleaner sin elementos restantes

Guía paso a paso ampliada

Detener procesos y archivos bloqueados

Si encuentras procesos activos relacionados con RAV/Reason y no se detienen con el Administrador de tareas, prueba:

tasklist | findstr /I "RAV Reason Stub"
taskkill /F /IM Stub.exe
taskkill /F /IM RAV*.exe

Si Stub.exe se regenera inmediatamente, confirma que no queda ninguna tarea programada ni servicio habilitado.

Revisar carpetas de inicio

shell:startup (Inicio del usuario)
shell:common startup (Inicio común para todos los usuarios)

Elimina accesos directos sospechosos.

Comprobar políticas y proxy

Algunos PUP colocan políticas en el navegador o forzan un proxy. Además del netsh mostrado, revisa:

Windows → Configuración → Red e Internet → Proxy.
Políticas del navegador (en direcciones como edge://policy o chrome://policy, si aplica) y restablece a valores predeterminados.

Recuperar integridad de archivos del sistema

Además de SFC/DISM, si sospechas daños en disco:

chkdsk C: /F

Se programará para el próximo reinicio.

Preguntas frecuentes

¿RAV Endpoint Protection es malware?
RAV proviene de un fabricante legítimo, pero su distribución a través de bundlers y su comportamiento intrusivo hace que muchos usuarios lo consideren PUP (potencialmente no deseado). El objetivo aquí es eliminarlo correctamente si no lo deseas.

¿Por qué Norton lo marca como SONAR.AM.C!g19?
Es una etiqueta heurística basada en comportamiento. Un “stub” que se descarga/actualiza a sí mismo, se ejecuta desde %TEMP% y se regenera suele disparar este tipo de alertas.

¿Basta con borrar Stub.exe?
No. La persistencia lo recrea. Neutraliza primero servicios/tareas/arranque y luego desinstala.

¿Puedo mantener Norton y Malwarebytes en tiempo real?
No es recomendable. Mantén uno como residente y el otro como escáner on-demand para evitar conflictos y falsos positivos.

¿Es obligatorio el Modo seguro?
No siempre, pero aumenta mucho el éxito al impedir que se inicien servicios y tareas que bloquean la desinstalación.

Checklist final de seguridad y buenas prácticas

Instala y actualiza solo desde sitios oficiales.
Usa una cuenta estándar (no administrador) para el día a día.
Mantén Windows y navegadores actualizados.
Revisa periódicamente Programas y características y las extensiones del navegador.
Haz copias de seguridad regulares antes de grandes cambios.

Conclusión
El bucle de Stub.exe y la alerta SONAR.AM.C!g19 durante la desinstalación de RAV/VPN by RAV se resuelve cuando atacas su raíz: persistencia. Sigue el orden de este procedimiento (cortar servicios/arranque/tareas → limpiar temporales → desinstalar → escanear → reparar sistema → verificación), y la desinstalación se completa sin que el stub vuelva a aparecer.