Proceso que cambia de nombre cada vez... (SOLUCIONADO)

[drumlin]

Hola a todos. Les comento que tengo un problema en varias máquinas de una red. En ellas aparece un proceso en el administrador de tareas que utiliza como nombre letras y números al azar y dicho nombre varía de una PC a otra. Además cada vez que se inicia el sistema operativo asume un nombre diferente pero siguiendo el patrón de letras mencionado. Acá les dejo algunos nombres:



OO22BA.exe

CTD361.exe

DAA980.exe

YI8864.exe



¿alguien puede decirme como eliminarlo? ¿Se trata de un virus? He pasado varios antivirus y antispywares y no detectan nada: KAV, panda online, ewido online, spybot, spy emergency, spyware doctor.



Les agradecería mucho cualquier ayuda que puedan darme.



Saludos.

[msc hotline sat]

Muy probable que sea malware.



Envianos alguno de estos ficheros para analizar y procederemos en consecuencia, tras lo cual implementaremos su control y eliminacion en nuestras utilidades e informaremos



saludos



sm, 7-4-2008

[drumlin]

Te envío uno de los archivos (está comprimido en formato zip) que hallé en c:\windows\temp. Aparentemente es del trend micro. Este antivirus si lo usamos en las máquinas. Aunque no se con que fin se utilizaría ni por que cambia de nombre al iniciar el SO. Hace algún tiempo activé la opción de escaneo para cada viernes. ¿Lo usará para esto?



Saludos.





<interceptado>





Los ficheros ejecutables para analizar, solo deben enviarse como se indica en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[msc hotline sat]

Si como dices parecen ser del Antivirus de Trend, deben ser temporales, que se crean con nombres aleatorios, sin mas importancia, pero si persistieran y molestaran, prueba de desinstalar dicho antivirus y volverlo a instalar.



saludos



ms, 7-04-2008

[drumlin]

Hola:

Llamé a la gente de Trend Micro. Este proceso que cambia de nombre es un proceso de Trend que chequea que el antivirus este activo cada cierto tiempo. El proceso cambia de nombre para que no pueda ser identificado y levantado el servicio antivirus por algún virus. El archivo del proceso se encuentra en C:\windows\temp y tiene el icono de un perrito.



Esto lo encontré en Internet:

"OfficeScan copies itself to C:\Windows\Temp as a randomly named .exe - and that is the on access scanner process that is then spawned. There is also a watchdog service that respawns randomly named copies if necessary..



This is done so that malware cannot identify the binary if it want's to kill the AV process."





Saludos y gracias por tu ayuda.

[msc hotline sat]

Pues entonces, si deseas mantener el TREND, deberás convivir con dichos ficheros... :wink:



De todas formas, gracias por la informacion, va bien saberlo, aunque pocos foreros de zonavirus usen este antivirus, pero ahí queda para el histórico.



Y dando por solucionado el TEMA, procedemos a cerrarlo



saludos



ms, 8-04-2008