Hola soy nuevo por aquí, saludos para todo el mundo.

Me prestaron un pc y poniéndolo en solfa encontré lo si siguiente.
Me gustaría saber si alguno sabe de que se trata esto, es un comportamiento muy sospechoso que no me cuadra, el antivirus esta actualizado y el SO win7 también.
Vengo observando un trafico saliente sobre el puerto 80  con destino a un grupo de direcciones ip registradas por Telefonica, 185.43.182.XXX:80 ;185.43.181.XXX:80 el equipo esta sin actividad aparente, y analizando el trafico descubro que es generado por WinRM (Administracion Remota de Windows), lo curioso es que si detengo el servicio WinRM, el que continua mandando tramanas SYN_SENT por el puerto 80 es el servicio CryptSvn ¡¡ y lo peor es que después de para también este servicio, si ejecuto firefox, es este ultimo el que continua con el trafico.... ¡¡¡  y si paro este el el wuauserv el que sale por el 80, total que fijo que esta contaminado con algo

Si alguno tiene idea de que se puede tratar me encantaría saberlo.Muchas gracias.