SyncroAd - co to za wredota?


(Padhi Tarot) #1

:slight_smile: Witam serdecznie.Jestem nowicjuszką internetową. Nie mam pojęcia jak i kiedy wskoczył mi program SyncroAd który został oceniony przez mks-vira jako wirus. Było tam bodajże 7 plików z czego 4 udało się usunąć za pomocą mks-a ale pozostałe 3 trzymają się mocno. Szukając ratunku w necie dotarłam do HijackThis, przeskanowałam i zapisałam. Widzę, że ludziska ślą "logi" z prośbą o pomoc w ich analizie więc pozwolę sobie zrobić to samo, czyli:

:oops:

Logfile of HijackThis v1.98.2

Scan saved at 20:56:43, on 04-10-08

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE

C:\WINDOWS\STARTER.EXE

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE

D:\COREL\REGISTER\REMIND32.EXE

C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE

C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE

C:\PROGRAM FILES\WANADOO\COMCOMP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\WANADOO\WATCH.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

E:\HIJACK\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRAM FILES\WANADOO\taskbaricon.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE

O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1019.dll,InstantAccess

O4 - Startup: Rejestrowanie produktów Corela.lnk = D:\COREL\Register\Remind32.exe

O8 - Extra context menu item: Znajdź w Racjonaliście - C:\WINDOWS\WEB\racjonalista.htm

O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html

O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylomgames.com/activex/zylomloader.cab

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=bfef0b2a528b91928edcd29464b84891acceeb23d2ed0abe04b4c68c60f5f05401eb42c32da863452d9dcd3f6524f022e9cd782b033d9556373797521e465c0731:4bf9e5f754d65d14399f92c372c739a3

To wszystko. Czy mogę liczyć na pomoc życzliwej duszy? :slight_smile:


(Filifera) #2

SYNCROAD.EXE -mam propozycje ...może gadam głupoty ale ten program jest w files, zatem może jest w zakładce dodaj\usuń w deinstalatorze, jezeli jesteś pewna że to wredota poprubuj zmienić mu rozszerzenie z exe3 na txt a po restarcie usunąc cały katalog w files, ale potem chyba nalezy przeczyścic "odsmiecic -rejestr.

masz neostrade zatem szybko takie rodzynki wchodzą do domu.zaskakuje mnie tylko po co(oczywiście to twoja sprawa)tyle programów masz w autostarcie.Ja bym usunął ze startu wraz z systemem :

C:\WINDOWS\STARTER.EXE

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE

!!

C:\PROGRAM FILES\GADU-GADU\GG.EXE

mam nadzieję że nic nie popsujesz przez moje rady, choc sposobu usuniecia tego pliku nie jestem pewien, ale sam to kiedyś zrobiłem...nie usuniesz go normalnie póki startuje z systemem, ale nie jestem pewien że to wirus.

powodzenia


(Xiao19) #3

1.)

kasujesz tak /tryb awaryjny/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com

O4 - HKLM..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE

(Spyware trojan /Windows SyncroAd/) szpieg/trojan

(usuwasz/prubujesz) Pest-Patrol-em brak reakcji usuwasz

recznie

zabijasz te procesy:

C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE

C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE

kasujesz pliki

>> file: %program_files%\windows syncroad\ccomm.dll : MD5 hash: a81468ee3445234f7e3...

>> file: %program_files%\windows syncroad\syncroad.exe : MD5 hash: 62be3e9c67b13253bf9...

>> file: %program_files%\windows syncroad\winsync.exe : MD5 hash: 6d687d69c3811a8849c...

>> file: %windows%\downloaded program files\syncroadx.dll : MD5 hash: c1887fd29e8caf7ac53...

>> file: %windows%\downloaded program files\syncroadx.dll

>> file: activex.inf : MD5 hash: d418817eaf33c059b36...

pliki DLL takze

>> dll: %program_files%\windows syncroad\ccomm.dll : MD5 hash: a81468ee3445234f7e3...

>> dll: %windows%\downloaded program files\syncroadx.dll : MD5 hash: c1887fd29e8caf7ac53...

>> dll: %windows%\downloaded program files\syncroadx.dll

kasujesz folder /windows syncroad/ i w /downloaded program files/

pliki

>> dll: %program_files%\windows syncroad\ccomm.dll : MD5 hash: a81468ee3445234f7e3...

>> dll: %windows%\downloaded program files\syncroadx.dll : MD5 hash: c1887fd29e8caf7ac53...

>> dll: %windows%\downloaded program files\syncroadx.dll

na koniec usuwasz go z rejestru

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows SyncroAd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs C:\WINDOWS\Downloaded Program Files\SyncroAdX.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SyncroAdX.Installer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/SyncroAdX.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SyncroAd

HKEY_LOCAL_MACHINE\SOFTWARE\Windows SyncroAd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}

O4 - HKLM..\Run: [WebRebates0] "C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe"

(Security Risk (0-5): 2) szpieg

O4 - HKCU..\Run: [instant Access] rundll32.exe p2esocks_1019.dll,InstantAccess

(znasz zostawiasz /NIE/ kasujesz) podejrzanie szpiega

O8 - Extra context menu item: Web Rebates - file://C**** :\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

2.)

INFO:

O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE

09 - wejscia te generalnie można zawsze kasowac bez zadnej konsekwenji dla systemu

INFO:

O16 - Kontrolki ActiveX

016 - jesli cos jest podejrzane kasujesz /bez zadnej konsekwencji/

dobrym progsem na szkodliwe ActiveX jest SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

3.}

sciagasz /PestPatrol/ i skan obu partycji potem replay dysku

c:\ *system*

http://download.zonelabs.com/bin/free/p ... olHome.exe

4.)

skan skanerami AV

--mks_vir--

http://skaner.mks.com.pl

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

lub

--Softwin (BitDefender)--

http://www.bitdefender.com/scan/licence.php

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

5.)

nagrywasz SpywareBlaster


(Padhi Tarot) #4

Dzięki przeogromne! !!


(Dragoonz) #5

Motylku drogi- zanim zajmiesz sie usuwaniem wpisów rejestru itp. (ryzykując np. usunięciem ważnych bibliotek systemowych) spójrz sobie w panel sterowania -> dodaj/usuń programy. Tam powinnaś mieć ten program SyncroAd 8) i możesz usunąc go bezboleśnie, zaznaczając jeszcze NIE ZOSTAWIAJ (śmieci, ad-ware, reklam) podczas deinstalacji. Pozdrawiam serdecznie :B-fly:


(Marsmo) #6

Dragon - z całym szacunkiem, nie mogę się jednak zgodzić z Tobą! :slight_smile:

Jest to nic innego jak Trojan.Win32.Syncro.A! :twisted:

Sposób jego potraktowania jest taki, jak reszty trojanów. To nie jest stricte program, a obrzydliwa ingerencja w kompa, która zostawia bardzo upierdliwe ślady w rejestrze!

Co do sposobu na ten wpis - należy rutynowo postąpić tak, jak radzi Kamcia_18!


(Dragoonz) #7

Dzięki waterproof- właśnie szukam tych "śladów" w rejestrze, choć na razie nic nie znalazłem :? (może dlatego, że usunąłem go z dodaj/usuń programy z 'dziadka' - Win98 :lol: -może w 'dziurawym' XP jest inaczej?) Pozdro!


(Marsmo) #8

Całość wzięta stąd: :slight_smile:

Trojan.Win32.Syncro.A:



QUOTE 	

C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE


O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE

I cały link do tematu na Forum Picasso

http://www.searchengines.pl/phpbb203/in ... entry93206

Zresztą temat tego trojana przewija się na Google i w innych stronkach!

Z tym, że tak jak powiedziałam wcześniej - jeżeli coś ponad wszelką wątpliwość jest stwierdzonym trojanem - stosujemy ten sam klasyczny schemat usuwania, jak zwykle!

Update

System przy "odwszawianiu" kompa zazwyczaj nie gra roli! Metody są identyczne; notabene sama mam "dziadka Win98 SE"! :lol:


(Dragoonz) #9

Niedoceniłem 'synkADszita'- ślady się znalazły (w rejestrze + exec), zatem HIT ME :snipersmile: :splat: -usuwać tak jak pisała KAMCIA! !!


(Adi171717) #10

Tak, jest to i nauczka dla mnie, nieskojarzonego,

Wydawalo mi sie, ze proces SyncroAd jest jednym z procesow SP2 :-x

Nie sprawdzalem tego procesu w necie, ale dzieki wielkie za poruszenie tego tematu, ktos wymyslil na ten proces swietna nazwe, bardzo profesjonalna :wink:

Juz teraz wiem czemu po wyjsciu z poziomu WinXp z power projecta do gg nie chcial mi sie wlaczyc przez klikniecie skrotu na pulpicie ( w ogole sie power nie chcial wlaczyc) i musialem uruchamiac gg60 :-x

Jesli ktos tego nie moze to niech poszuka w procesach 8)