Un compañero me pidió ayuda para resolver un problema con un sitio de cliente remoto a través de VNC. Inmediatamente después de conectarme, comencé a notar algunos comportamientos extraños que, según creo, son más y más relacionados con el virus.
1) Cuando el primer inicio de sesión en una advertencia emergente, "services.exe" dejó de funcionar.
2) El registro de errores de Windows tiene numerosas (estoy hablando de cientos) de líneas de WinVNC que indican conexiones en lista negra de todas las diferentes direcciones IP
3) La base de datos de SQL Server 2005 Express ya no es accesible. Anteriormente, estaba configurado para permitir la autenticación de Windows, pero eso ya no funciona. Emitiendo comandos como:
osql –U sa –S SQLSERVER\INSTANCE
... O similar desde la línea de comandos da errores que indican que la autenticación está denegada.
4)
netstat-an | find /i "established"
TCP 192.168.15.20:4366 <SUSPICIOUS_IP>:1015 ESTABLISHED
netstat -b -a -n
TCP 192.168.15.20:4366 <SUSPICIOUS_IP>:1015 ESTABLISHED 3148
[services.exe]
Y el pateador final ....
5) Cuando busco "services.exe" en C: \ encuentro dos. Una en system32, una en system, mirando las propiedades del archivo en system en la versión - > Pestaña Nombre de archivo original Obtengo GuardS5.exe junto con algunas otras entradas extrañas en todas las propiedades.
La pregunta que hago ... ¿cómo puedo solucionar esto más allá de una conexión estrictamente remota? No podré hacer Modo Seguro o reiniciar. En última instancia, si puedo obtener una prueba definitiva de que se trata de una PC infectada, se pueden tomar medidas más drásticas.