La verdad es que no tengo conocimientos tan avanzados como los tuyos, de manera que todo esto que he citado arriba no lo entiendo para nada. ¿Qué es hacer una escalada a System? ¿Qué es setear los filtros por user?

Lo del tunneling lo veo demasiado complicado, aunque supongo que viable, fuera aparte de que tendría que dejar en mi casa mi ordenador encendido.

Me has dejado dos enlaces que conducen a información relativa a productos Trend Micro, pero ninguno de ellos contiene información de Trend Micro Internet Security, que es el firewall-antivirus que se ejecuta en los ordenadores con acceso restringido a la web. ¿Me explico? De manera que gracias, pero no creo que siguiendo ese camino vaya a dar con la solución.

El SO de estos ordenadores es Güindous XP, de manera que haciéndome con privilegios de administrador y matando el proceso correcto lo más probable es que el problema haya quedado solucionado, aunque la verdad es que es bastante engorroso, por no decir que los admins de las máquinas pueden cambiar la contraseña de administrador y el proceso habría que repetirlo de nuevo.

¿Hay alguna otra manera de matar procesos de sistema sin tener privilegios de administrador?

Otra cosa que se me ocurre es borrar el proceso que restringe el acceso a la web (que lo más probable es que sea el tal *proxy*) del disco duro y reiniciar el equipo, de manera que cuando Güindows cargue ya no podrá ejecutarlo...

También se me ocurre utilizar uno de estos programas que sirven para gestionar los programas que se inician automáticamente con Güindows. Habría que desactivar el inicio del proceso *proxy* y reiniciar el equipo.

Pero hasta el lunes no puedo probar nada, así que toca esperar...

Gracias por vuestras respuestas.

¿Qué  significa escalar hacia la cuenta Local System?
¿Qué es un módulo de URL filtering?
Gracias.

Bueno,

te dira que esta bloqueado entre otras cosas porque esta siendo utilizado mientras windows esta encendido (mejor dicho, mientras el proceso este activo).
Asi pues no podras borrarlo, piensa en el arhivo SAM y por que no puedes borrarlo mientras windows corre. El S.O lo esta usando y por ende no se puede borrar.

Primero intentemos escalar a la cuenta System. Bajate este zip:
http://downloads.securityfocus.com/vulnerabilities/exploits/37864.zip

descomprimelo y ejecuta el .exe.

Una vez hecho eso te deberia de salir una ventana de cmd con privilegios de System (de eso se trata). Tras ello, ejecuta en esa ventana tasklist y despues usa taskkill para matar al/a los proceso(s) relevantes.
Si quieres, desde esa misma ventana de cmd, pues ejecuta "taskmgr" para asi tener un taskmgr con privilegios de Local System. Si, todo proceso que ejecutes desde esa ventana va a tener privilegios de System.

Prueba y cuenta.

Saludos y Suerte.

Hmmm... 

No, lo que ha ocurrido es que el AV ha recnocido, gracias a la firma digital que tenga dicho AV de ese exploit.., el ejecutable como maligno.
Al parecer ya se han actualizado las DBs de lso AVs para reconocer ese ejecutable como maligno.

Lo que dices de compilarlo no deberia de ser viable. Por que?
Primero, lo que importa, mas que compilarlo bajo GNU/Linux, MAC OSX .. es que si el code esta en ANSI C (esta en C no ??).

De todas maneras no te deberia de servir, ya que una vez ejecutado el exploit las instrucciones de ese exploit iran a RAM, y el AV analizara la RAM y lo volvera a detectar como virus. Lo que necesitas quizas es otro modo de acceder a System.

Has probado con el metodo de el comando "at" ?? Es un XP Pro no?
Pues haz el truco. O sea, ve  inicio-Ejecutar (esta activo no??) e introduces:
at 18:52 /interact "cmd.exe"

18:52 es si tu hora local es 18:51, para dar algo de tiempo a que ejecutes el comando antes de que se cumpla la hora 18:52.

Si (siendo ahora las 18:51) a las 18:52 no te sale una ventana de cmd es que no has tenido exito. Si si te sale pues vuelve, dentro de esa ventana, a hacer lo que te recomende de matar procesos en el hilo anterior.

Bueno Saludos!

Bueno,

antes que adentrarnos en el registro o usar cacls y tal prueba algo.
Prueba, con tus privilegios normales (si acceso a SYSTEM), a bajarte la aplicacion "process explorer":
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Tras ello ejecutalo y prueba a matar el/los procesos con process explorer. Esto lo haras una vez ejecutado el programa, haciendo click derecho en el/los procesos adecuados y matandolos.

Si esto no te funciona vuelve y di.

Saludos.

No eso suele ocurrir. Estas dentro del grupo Administradores para que tengas mas libertad de expresion !
Pero despues estas atado a una serie de filtrados y discapacidades como las que experimentas

Bueno no conseguistes matar el proceso con el cmd de System usanndo windows taskmgr y taskkill, y tampoco has podido con process explorer.

Ahora prueba a lanzar una ventana de cmd cmo SYSTEM con lo de "at".
Cuando te salga la ventana tipea
services.msc

Dentro de los Servicios prueba a parar/deshabilitar los que veas con nombres relevantes.

Avisa como te va..


Saludos.

Haz un "cacls" sobre el proceso (mira a ver si esta bajo system32, dir C:\windows\system32\Nombre_del_proceso O buscalo) y mira a ver si SYSTEM tiene F (Full) permisos. Normalmente con System tienes mas privilegios y puedes saltarte ciertas restricciones. Resulta util a veces dependiendo de lo que se quiera hacer..

Saludos.

(el cmd que te sale tiene permisos de SYSTEM, todo proceso que salga de ahi tendra supuestamente permisos de SYSTEM. Es por ello que si matas el proceso "explorer" con el taskmgr y despues desde esa ventana ejecutas un "explorer.exe" tendras un Desktop de SYSTEM)

Cacls es un programa, un comando que puedes ejecutar desde la terminal de SYSTEM par cambiarle los permisos. Si quieres puedes ir primero al ejecutable y comprobar con Propiedades-Seguridad quien tiene control total de la aplicacion y quien no.
Yo decia desde el cmd de SYSTEM para hacerlo todo desde ese cmd.

Asegurate, y despues intenta lo del services.msc.
Tras ello incluso en services.msc puedes mirar como estan configurados los/el servico (busca por el nombre del proceso o similar).

De todas maneras prueba desde el mismo cmd SYSTEM con el comando "sc" a tu gusto, algo como :
sc stop nombre_del_servicio

prueba a ver que tal. Si no pues intenta con services.msc ir l servicio y haz 2 click. Tras ello ve a la casilla "Iniciar sesion" y mira si el servicio comienza bajo la cuenta de sistema local (System). Si eso, marca la casilla "permitir a los servicios que interactuen con el escritorio". Tras ello intenta matar le proceso. Si no, pues cambiale la cuenta... no se, paralo AH!

Hehe, Suerte.