ayuda con pop ups

Estado
Cerrado para nuevas respuestas

keyman

Nuevo Miembro
Miembro
#1
Hola, soy nuevo aquí y pensé que podriais ayudarme. Tengo un problema con unos pop ups que salen de la nada, al principio detecté que tenia un proceso llamado tibs3.exe que podría ser el causante pero después de buscar información y limpiarlo (si es que lo he conseguido limpiar) me siguen apareciendo pop ups sin hacer nada. Aqui os dejo el log del HijackThis a ver si veis algo en el.

Gracias de antemano.

Logfile of HijackThis v1.99.0

Scan saved at 12:23:45, on 15/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\pccguide.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCClient.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Pop3trap.exe

C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe

H:\Descargas de internet\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administración de IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Publicación en FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#2
Limpia estas:

O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab

y si existe elimina el archivo

a ver si así se arregla porque no veo ninguna otra entrada sospechosa

Asegurate también que el servicio de mensajero esté deshabilitado:

Inicio >> panel control >> herramientas administrativas >> servicios >> servicio de mensajero
 

keyman

Nuevo Miembro
Miembro
#3
Gracias, de momento no ha vuelto a aparecer ningún pop up y espero que siga asi. De todas formas, después de haber limpiado eso con el HijackThis, he buscado rpc.exe en el registro y me encuentra una entrada en HKEY_USERS\.DEFAULT\Software\Microsoft\OLE, esto es normal o también debería quitarlo?
 

keyman

Nuevo Miembro
Miembro
#4
De hecho me acabo de dar cuenta de que si seguia buscando no solo había una entrada sino muchas más, una de ellas dentro de un grupo "search assistant" junto a otras entradas que hacen referencia a otros ejecutables(worm.exe, rpctest.exe, lolx.exe dcomx.exe, rpc.exe), que segun me he informado son de un troyano, pero tales archivos no les tengo, les debio borrar el antivirus, porque tampoco detecta nada este.

Tambien aparecen dentro del mismo grupo entradas que hacen referencia a: explorer.exe, services.exe, svchost, tibs, *.cab, *.bat ,*.jpg y *.txt

Supongo que debo borrar estas entradas no?
 

alnitak

Ex-Admin
Miembro
#5
No existe en Windows XP ningún archivo legal con nombre rpc.exe, por lo tanto cualquier referencia a ese archivo debe ser ilegal, aun así no es buena idea andar borrando a mano entradas del registro, si quieres hacerlo por lo menos respaldalo antes de borrar cualquier cosa y desde luego sería preferible utilizar algún programa tipo Regcleaner y realizar una limpieza automatica.
 

keyman

Nuevo Miembro
Miembro
#6
Hecho, me bajé el regcleaner, realicé la limpieza automatica y se desaparecieron todas las entradas salvo 2 del rpc.exe que borre manualmente.

Gracias por la ayuda, ahora solo espero que no vuelvan a surgir los dichosos pop ups.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie