Hola, estoy buscando ayuda desesperandamente porque me estoy volviendo loco!


Uso WINDOWS SERVER 2008 r2 Standard
Lo que me pasa en pocas palabras es que en el registro de eventos de windows.

Windows logs/security me aparecen todos los dias miles de registros con el titulo "Audit Failure" de muchas IP´s diferentes en muchos puertos diferentes, el event ID es 4625.

Esto son intentos de logueo no? Hay eventos cada pocos segundos con esto.

Todo esto empezó a raiz de encontrar un virus llamado ShellSD.exe correspondiendo al servicio en windows de "Shell Software Detection", el servicio logré detenerlo pero yo personalmente no pude borrar el archvio ni nada, no se si está o no totalmente eliminado.


He buscado por internet y no encuentro nada, lo unico que estoy haciendo es banear las IP que intentan loguearse y he cerrado todos los puertos que no uso pero sigue en las mismas, ademas algunas veces al final de tantos miles de "audit failures" algunas veces da "Audit success".

¿Me pueden ayudar? Lo agradeceria mucho!!

Un saludo!