Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   siszyd.exe wird von Avast nicht erkannt - RemovalTool gesucht (https://www.trojaner-board.de/80588-siszyd-exe-avast-erkannt-removaltool-gesucht.html)

knallfrosch1 20.12.2009 14:26
siszyd.exe wird von Avast nicht erkannt - RemovalTool gesucht
 
Hallo,
ich weiß nicht genau von welcher Malware dies ein Bestandteil ist, jedenfalls verbrät dieses Mistding 100% CPU Leistung im Leerlauf, so daß auf dem betroffenen PC alles nur noch in Zeitlupe abläuft.

Das hier habe ich bei Sophos gefunden:
Zitat:
Troj/Agent-LVN is a Trojan for the Windows platform.

Troj/Agent-LVN includes functionality to access the internet and communicate with a remote server via HTTP.

When first run Troj/Agent-LVN copies itself to:

<Temp>\~tm6.tmp
<Start Menu\Programs>\\Startup\siszyd32.exe

and creates the file <User>\Application Data\avdrn.dat.


Ich bin kein Virenexperte, aber ich beschreibe mal, was ich gemacht habe:

In der Registry habe ich sämtliche Verweise auf siszyd.exe gelöscht und alles aus dem Autostart entfernt, was ich nicht kannte und auch unbekannte Dienste deaktiviert.

Im Prinzip das, was was das Tool FreeFixer auch macht (?).

Ich habe die Festplatte ausgebaut und in einem anderen PC eingebaut, mit AVAST gescannt (hat nix gefunden!), und dort die siszyd.exe in C:\Dokumente und Einstellungen\<Username>\Startmenü\ gelöscht und die Platte zurückgebaut.
Beim Hochfahren werden von Avast dann zwei TMP-Dateien reklamiert und gelöscht.

Ich vermute aber, daß meine Vorgehensweise nicht alles dieser Malware beseitigt hat...

Kann mir bitte jemand weiterhelfen, vielleicht sogar ein funktioniendes Removal Tool für siszyd.exe und die eventuell dazugehörende Malware empfehlen?

Was macht dieses Drecksding eigentlich, wenn es dafür 100% CPU-Leistung verbrät?

Blöd, daß AVAST dieses Ding wohl nich korrekt erkennt...


Der "saubere" PC scheint weiterhin sauber zu sein, jedenfalls hat FreeFixer keinen "Treffer" mehr angezeigt:

Zitat:
To remove the simple process and siszyd32.exe file:
Two methods to cure this simple form:
How to remove siszyd32.exe with Freefixer:
1. Download and install FreeFixer: http://www.freefixer.com/download.html Freefixer is freeware, so it will not cost you anything.
2. Start FreeFixer and click "Scan". The will scan finish in approximately 5 minutes.
3. In the Scan result, scroll down to "Autostart shortcuts". Locate the siszyd32.exe item and check its "Delete" checkbox. DO NOT check anything else for removal, unless you 100% it's malware.
4. Click "Fix".
5. Restart your machine.
6. Start FreeFixer and scan your computer again.
7. Verify that siszyd32.exe no longer appear anywhere in the scan result.
8. Done.

Did that completely remove siszyd32.exe from your machine?

siszyd32.exe is part of Troj/Agent-LVN as documented over at Sophos:
http://www.sophos.com/security/analy...jagentlvn.html

A simple one:
. start computer in safe mode
2. remove siszyd32 procces from msconfig
3. remove the file siszyd32 from this location C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\
4. restart computer.
5. gone,
Im Prinzip hatte ich das ja auch schon "händisch" gemacht...

Leider scheint das auf den infizierten PC wohl nicht auszureichen:

- Opera läuft nicht mehr (exe fehlt), läßt sich auch nicht neu installieren (bricht Installation ab).
- IE6 läuft nur anfangs, dann "kein Zugriff auf Server"
- Zonealarm läßt sich nicht starten/öffnen (weder von Taskleiste noch die exe im Programmordner)
- Freefixer findet nichts Verdächtiges

Ich fürchte, die "Sau" hat ein paar Kameraden aus dem Internet nachgeladen.
Was vom Virenscanner (AVAST) und Firewall noch korrekt funktioniert, kann ich leider nicht beurteilen...

Wäre nett, wenn Ihr mir helfen könntet...

kira 21.12.2009 09:33
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Backdoors und Rootkits
Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System und setze es neu auf.

Tipss & Hilfe:

Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net
Windows XP neu installieren/computerleben.net
Windows Vista neu installieren/computerleben.net

Datensicherung:
- NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( **am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Cf


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27