proceso psexec

13/03/2008 - 00:15 por Marcelo Adrian | Informe spam
Buen dia.
Tengo un server con algunos problemas de caidas aleatorias que me
custa definir.
en un principio noto que muy seguido me aparecen los siguientes evt:

Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7036
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: No disponible
Equipo: PDC01
Descripción:
El servicio PsExec entró en estado Activo.




Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7035
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: S-1-5-21-2498713793-528499044-1363582739-500
Equipo: PDC01
Descripción:
Se ha enviado satisfactoriamente un control iniciar al servicio
PsExec.


Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7035
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: S-1-5-21-2498713793-528499044-1363582739-500
Equipo: HAL9000
Descripción:
Se ha enviado satisfactoriamente un control detener al servicio
PsExec.



Hay alguna posibilidad de ataque/virus? nadie administra en forma
remota esta PC.

Gracias por la orientacion
 

Leer las respuestas

#1 Fernando Reyes [MS MVP]
13/03/2008 - 09:14 | Informe spam
Pues algo raro hay ahí, realmente parece que se ejecute algo con PsExec,
pues PsExec levanta un servicio en el equipo remoto con el que ejecuta
el comando y luego lo baja. En concreto se produce 4 eventos:

7035 - Service Control Manager: Envío de control para iniciar PsExec. En
este evento puedes ver el usuario que lanzó PsExec.
7036 - Service Control Manager: Aviso de que el servicio PsExec entro en
estado activo.
7035 - Service Control Manager: Envío de control para detener PsExec. En
este evento puedes ver el usuario que lanzó PsExec.
7036 - Service Control Manager: Aviso de que el servicio PsExec entro en
estado detenido.

Mira si el usuario te puede aclarar algo.

Un saludo

Fernando Reyes [MVP Windows Server]
MCSA Windows 2003
MCSE WIndows 2000 / 2003





Marcelo Adrian wrote:
Buen dia.
Tengo un server con algunos problemas de caidas aleatorias que me
custa definir.
en un principio noto que muy seguido me aparecen los siguientes evt:

Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7036
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: No disponible
Equipo: PDC01
Descripción:
El servicio PsExec entró en estado Activo.




Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7035
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: S-1-5-21-2498713793-528499044-1363582739-500
Equipo: PDC01
Descripción:
Se ha enviado satisfactoriamente un control iniciar al servicio
PsExec.


Tipo de suceso: Información
Origen del suceso: Service Control Manager
Categoría del suceso: Ninguno
Id. suceso: 7035
Fecha: 12/03/2008
Hora: 15:23:09
Usuario: S-1-5-21-2498713793-528499044-1363582739-500
Equipo: HAL9000
Descripción:
Se ha enviado satisfactoriamente un control detener al servicio
PsExec.



Hay alguna posibilidad de ataque/virus? nadie administra en forma
remota esta PC.

Gracias por la orientacion

Preguntas similares