ishost.exe

[cmartinlunas]

He tenido un problema con ishost.exe pero ya lo he borrado del ordenador en system32. Aun así tengo un botón azul con una interrogación blanca que cambia a signo de prohibido parpadeando constantemente enla barra de herramientas y un mensaje de alerta de virus pidiendo que use antimalware software para limpiar mi ordenador.



Os pego el Hijackthis a ver si me podéis ayudar. Mi ordenador va muy muy lento.



Logfile of HijackThis v1.99.1

Scan saved at 18:24:55, on 17/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\{1C45D4CD-09E5-3082-0704-020619020022}\Update.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\ARCHIV~1\COMMON~1\STEM~1\smss.exe

C:\Archivos de programa\WinAntiVirus Pro 2006\FWSvc.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\T?sks\s?ool32.exe

C:\Archivos de programa\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Archivos de programa\DeluxeCommunications\DxcBho.dll

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Archivos de programa\Archivos comunes\{3C45D4CD-09E5-3082-0704-020619020022}\MyToolBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [WinAntiVirusPro2006] C:\Archivos de programa\WinAntiVirus Pro 2006\winav.exe /min

O4 - HKLM\..\Run: [DeluxeCommunications] C:\Archivos de programa\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WinAV.exe] C:\Archivos de programa\WinAntiVirus Pro 2006\WinAV.exe

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Archivos de programa\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [Ueac] "C:\ARCHIV~1\COMMON~1\STEM~1\smss.exe" -vt tzt

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - AppInit_DLLs: dxclib303562752.dll

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Archivos de programa\WinAntiVirus Pro 2006\FWSvc.exe

O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe



Muchas gracias anticipadas por vuestra ayuda.



Cris :D

[Nuker]

Puede ser el toolbar que tienes (el 888 toolbar)



Prueba con el spyblaster y el spybot juntos en modo aprueba de fallos. (ambos gratuitos)



Primero te metes en modo aprueba de fallos y le te vas a panel de control/agregar quitar prog./y desinstalas 888 toolbar si lo ves.



despues le pasas los programas que te puse.

[msc hotline sat]

Cin el ELISTARA ya controlamos mas de 100 variantes de este downioader:



ELISTARA:



---v12.50-( 9 de Octubre del 2006) (Muestras de (2)Puper "ISHOST.EXE y ISMINI.EXE", (7)Puper-Isa, DownLoader.ConHook(notify) y (3)BackDoor-CVT "WIN***32.DLL")





Descargue la ultima version, que lo eliminara o pedira muestra:







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 18-10-2006

[cmartinlunas]

Me ha pedido que mande unos ficheros. No he hecho esto nunca. Ahora me tienen que contestar?

Otra cosa. El WinAntiVirus Pro 2006 es bueno?

[msc hotline sat]

No, el Win Antivirus Pro 2006 es malware



Y las muestras envienoslas como indicamos:





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 18-10-2006

[cmartinlunas]

He hecho lo del Elistar pero sigo teniendo la alerta parpadeando y mil pop ups.







Tue Oct 17 10:44:15 2006

EliStartPage v12.52 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AWTQN]

Por favor, envienos una muestra del fichero

C:\WinLogon\AWTQN.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\WINRKP32] -> C:\WINDOWS\SYSTEM32\WINRKP32.DLL

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Puper Renombrado a .VIR

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\AWTQN.DLL.Muestra EliStartPage v12.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTQN.DLL --> Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\SAFETY BAR\SAFETYBAR.DLL --> Eliminado DownLoader.Safety (TB)

Por favor, envienos una muestra del fichero

C:\Muestras\WAV6COM.DLL.Muestra EliStartPage v12.52

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\WINANTIVIRUS PRO 2006\WAV6COM.DLL --> Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\WINANTIVIRUS PRO 2006\WINPGI.DLL --> WinAntiVirus Pro 2006 (BHO) Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\COMMON FILES\COMPANION WIZARD\WAPCHK.DLL --> Eliminado WinAntiVirus Pro 2006

C:\ARCHIVOS DE PROGRAMA\DELUXECOMMUNICATIONS\DXCBHO.DLL --> SurfSideKick Acceso Denegado.

C:\WINDOWS\SYSTEM32\WINRKP32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\NQTWA.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\NQTWA.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "WinAntiVirusPro2006"="C:\Archivos de programa\WinAntiVirus Pro 2006\winav.exe /min"

Eliminada Class, "{052B12F7-86FA-4921-8482-26C42316B522}" -> C:\Archivos de programa\Safety Bar\SafetyBar.dll

Eliminada Class, "{1AC5C88A-DEA7-462B-A232-04AF5CA42E7E}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{2178F3FB-2560-458f-BDEE-631E2FE0DFE4}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\winpgi.dll

Eliminada Class, "{723D54C7-7483-4EB8-8EED-CE5B2AEA534D}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{A43385F0-7113-496D-96D7-B9B550E3FCCA}" -> C:\WINDOWS\system32\ixt0.dll

Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Archivos de programa\Common Files\Companion Wizard\WapCHK.dll

Eliminada Class, "{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}" -> C:\Archivos de programa\DeluxeCommunications\DxcBho.dll

Eliminada Class, "{5023FED4-4E24-4836-8CCE-598A941E1A07}" -> C:\WINDOWS\system32\awtqn.dll

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%ProgMenuInicio%\WinAntiVirus Pro 2006"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 18 10:25:19 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\AWTQN]

Por favor, envienos una muestra del fichero

C:\WinLogon\AWTQN.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTQN.DLL.Muestra EliStartPage v12.53

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTQN.DLL --> Acceso Denegado.

C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\WAV6COM.DLL.Muestra EliStartPage v12.53

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\WINANTIVIRUS PRO 2006\WAV6COM.DLL --> Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\DELUXECOMMUNICATIONS\DXCBHO.DLL --> SurfSideKick Acceso Denegado.

C:\WINDOWS\SYSTEM32\NQTWA.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "WinAntiVirusPro2006"="C:\Archivos de programa\WinAntiVirus Pro 2006\winav.exe /min"

Eliminada Class, "{1AC5C88A-DEA7-462B-A232-04AF5CA42E7E}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{723D54C7-7483-4EB8-8EED-CE5B2AEA534D}" -> C:\Archivos de programa\WinAntiVirus Pro 2006\WAV6COM.dll

Eliminada Class, "{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}" -> C:\Archivos de programa\DeluxeCommunications\DxcBho.dll

Eliminada Class, "{31B2D99A-0448-40E6-8EA8-053A1A8A066D}" -> C:\WINDOWS\system32\awtqn.dll

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%ProgMenuInicio%\WinAntiVirus Pro 2006"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[cmartinlunas]

qué tengo que hacer ahora?

[msc hotline sat]

Sñi, envienos todas las muestras que se kle piden en el informe que nos ha posteado, las analizaremos y podremos liberarle del bicho,



saludos



ms, 19-10-2006

[cmartinlunas]

si ya las he mandado y me habéis mandado un mail diciendo



Gracias por las muestras de ficheros.



Acabamos de subir al área de utilidades de nuestra web,

http://www.satinfo.es, nueva versión mejorada de la herramienta

ELISTARA.EXE.



Saludos cordiales,



Dpto técnico







SATINFO, S.L.

Tel.: 93 4590100

Fax : 93 2073959

Internet: http://www.satinfo.es

[msc hotline sat]

No lo ha enviado a la cuenta de zonavirus... o como indicamos:


[quote]
msc hotline sat Publicado: Mie Oct 18, 2006 5:16 pm Título del mensaje:



--------------------------------------------------------------------------------



No, el Win Antivirus Pro 2006 es malware



Y las muestras envienoslas como indicamos:





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 18-10-2006


[/quote]

Kas utilidades son para los asociados a los serviucios tecnicos de SATINFO. El acceso a ellas para evaluacion dentrpo de este foro es atípico y deben seguirse las indicaciones del foro



En cualquier caso, fueron analizadas por la via general, si bien al no tener contrato con SATINFO no las puede bajar de la web indicada ni mantener posterior contacto con tal servicio tecnico por ser exclusibo para sus asociados



Descargue las ultimas versiones del foro que aunque limitadas en fecha, serán operativas para su proposito, y nos comenta el resultado, gracias



saludos



ms, 19-10-2006

[cmartinlunas]

Vale. Ya os lo he mandado. No me había dado cuenta de la diferencia de mail entre virus y zonavirus en la dirección del mail.

Espero que ya os llegue y lamento el lapsus.

A ver qué veis

[msc hotline sat]

Pero lea lo que le decimos !!!


[quote]
En cualquier caso, fueron analizadas por la via general, si bien al no tener contrato con SATINFO no las puede bajar de la web indicada ni mantener posterior contacto con tal servicio tecnico por ser exclusibo para sus asociados



Descargue las ultimas versiones del foro que aunque limitadas en fecha, serán operativas para su proposito, y nos comenta el resultado, gracias
[/quote]

ms.

[msc hotline sat]

Muestra recibida. Ya esrtá controlada por el actual ELISTARA:







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 24-10-2006