PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen siszyd.exe wird von Avast nicht erkannt -RemovalTool gesucht



knallfrosch
19.12.09, 01:41
Hallo,
ich weiß nicht genau von welcher Malware dies ein Bestandteil ist, jedenfalls verbrät dieses Mistding 100% CPU Leistung im Leerlauf, so daß auf dem betroffenen PC alles nur noch in Zeitlupe abläuft.
Ich bin kein Virenexperte, aber ich beschreibe mal, was ich gemacht habe:

In der Registry habe ich sämtliche Verweise auf siszyd.exe gelöscht und alles aus dem Autostart entfernt, was ich nicht kannte und auch unbekannte Dienste deaktiviert.

Ich habe die Festplatte ausgebaut und in einem anderen PC eingebaut, und dort die siszyd.exe in C:\Dokumente und Einstellungen\<Username>\Startmenü\ gelöscht und die Platte zurückgebaut.
Beim Hochfahren werden von Avast zwei TMP-Dateien reklamiert und gelöscht.
Opera mußte neu instaliert werden, weil die opera.exe weg war.
Danach scheint erstmal wieder alles OK.
Komischerweise war später auch mit dem InternetExplorer (6.0) kein Zugriff aufs Internet möglich.

Ich vermute, daß meine Vorgehensweise nicht alles dieser Malware beseitigt hat... :?

Kann mir bitte jemand weiterhelfen, vielleicht sogar ein funktioniendes Removal Tool für siszyd.exe und die eventuell dazugehörende Malware empfehlen?

Was macht dieses Drecksding eigentlich, wenn es dafür 100% CPU-Leistung verbrät?

Wann wird AVAST dieses Ding erkennen und zuverlässig entfernen?

Auggie
19.12.09, 10:53
Hi knallfrosch:
Schau bitte mal hier: http://forum.avast.com/index.php?topic=52277.0
Da werden sie geholfen.....

Malware händisch zu entfernen ist wenig empfehlenswert.
Und dann die Festplatte vorher noch in einen bis dahin wahrscheinlich cleanen PC einbauen und den Schädling damit noch auf ein 2. System zu schleusen ist imho fahrlässig.
Sinnvoller wäre gewesen, mit Avast eine Bootzeit-Prüfung zu machen und von dort aus einen Reinigungsversuch zu unternehmen.
Nun ja, jetzt hast Du doppelte Arbeit, denn den 2. PC mußt Du auch auf Malware scannen....also auf beiden PCs Bootzeit-Prüfung und die Funde entfernen.

LG Auggie

knallfrosch
19.12.09, 18:20
Danke für Deine Antwort.
Klar war das etwas fahrlässig, aber auf den beiden PC war ja Avast installiert. Beim 2. habe ich vorher noch aktualisiert (obwohl die paar Stunden seit dem letzten Update wahrscheinlich auch nichts neues an Virensignaturen gebracht hat (oder vielleicht auch doch(?)).
Auf dem infizierten PC lief jedenfalls definitiv nichts mehr. Ohne Internet kein Update des Virenscanners und der Virenscan hätte ja so auch sicher mehrere Tage gedauert...

Der "saubere" PC scheint weiterhin sauber zu sein, jedenfalls hat diese Methode aus dem Link von Dir keinen "Treffer" mehr angezeigt:


To remove the simple process and siszyd32.exe file:
Two methods to cure this simple form:
How to remove siszyd32.exe with Freefixer:
1. Download and install FreeFixer: http://www.freefixer.com/download.html Freefixer is freeware, so it will not cost you anything.
2. Start FreeFixer and click "Scan". The will scan finish in approximately 5 minutes.
3. In the Scan result, scroll down to "Autostart shortcuts". Locate the siszyd32.exe item and check its "Delete" checkbox. DO NOT check anything else for removal, unless you 100% it's malware.
4. Click "Fix".
5. Restart your machine.
6. Start FreeFixer and scan your computer again.
7. Verify that siszyd32.exe no longer appear anywhere in the scan result.
8. Done.

Did that completely remove siszyd32.exe from your machine?

siszyd32.exe is part of Troj/Agent-LVN as documented over at Sophos:
http://www.sophos.com/security/analyses ... ntlvn.html (http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentlvn.html)

A simple one:
. start computer in safe mode
2. remove siszyd32 procces from msconfig
3. remove the file siszyd32 from this location C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\
4. restart computer.
5. gone,

Im Prinzip hatte ich das ja auch schon "händisch" gemacht...

Verstehe ich das richtig, ich soll Sophos Antivir installieren, damit das Ding erkannt wird?
Gefällt mir weniger, bisher war ich mit Avast und davor Avira ganz gut gefahren...
2 Virenscanner auf einem PC das ist doch keine gute Lösung, oder (außerdem kostet das ja nach 30 Tagen Geld...)?

Was mich aber interessiert, was macht diese Malware überhaupt? Kann man das irgendwo nachlesen? (Gegoogelt hab ich schon...)
Verbraucht 100% CPU-Power und legt zumindest Opera lahm, was kommt noch?

Auggie
19.12.09, 23:53
Hi knallfrosch

Du sollst Sophos nicht installieren.
Die Leute bei Sophos haben diesen Schädling gesichtet und das dokumentiert.....das sagt das Zitat.
Da das Tool nix andres macht, als das was Du händisch gemacht hast, würd ich nur eine Bootzeit-Prüfung machen, um zu sehen, ob nix übrig geblieben ist.
Malware hat die blöde Angewohnheit, sich möglichst gut zu tarnen, daher seh ich die Avast Bootzeit-Prüfung als Mittel der Wahl an. Da die vor dem Windows-Start abläuft, sind eventuell vorhandene Schädlinge noch nicht geladen und können so eher entdeckt werden.

Im Prinzip kann man Malware natürlich auch händisch entfernen, es wird ja nix andres gemacht als Dateien zu verschieben bzw. zu löschen, wenn das Schutzprogramm Zugriff auf die Dateien hat. Während des normalen Betriebs können Dateien jedoch für den "normalen" User gesperrt sein...sie lassen sich nicht so ohne weiteres löschen. Das Schutzprogramm läuft jedoch mit erweiterten Rechten so das der Zugriff eher gegeben ist.
Das genauer zu erklären würde hier ein wenig den Rahmen sprengen.

Was sagt Tante Google denn zu Deinem Tierchen?
Allgemein kann Malware folgendes machen: In Deinem Spam verschicken.
Den Rechner an ein Bot-Netz anschließen, dann merkst Du davon so lange nix, bis das "Herrchen" z.B. den Befehl erteilt, den Server von Google per DDoS anzugreifen.
Malware kann den Rechner nach abgelegten Passwörtern aller Art durchforsten und die dann an sein "Herrchen" schicken. Noch einfacher: Malware überwacht die Tastatureingaben um an Deine Zugangsdaten zu kommen. (Kennwörter, Kreditkarten-Nr., Tans fürs Internet-Banking etc.).
Was "Dein" Schädling macht, denk ich, erfährst Du in dem angegeben Link zu Sophos.
Was die CPU-Last angeht spielen natürlich die Programme, die sonst immer geladen werden, auch eine Rolle.

LG Auggie

uweli1967
20.12.09, 11:35
Hallo knallfrosch, wenn du wirklich sicher sein willst dass sich nichts mehr von dem Befall auf deinem Rechner befindet bzw dass nicht schon etwas dadurch manipuliert wurde auf deinem System, würde ich wenn ich du wäre mir alles sichern was ich bräuchte(Eigene Dateien usw) und das System anschliessend neu aufsetzen.

knallfrosch
20.12.09, 13:56
Kurzes Update zum infizierten PC:

- Opera läuft nicht (exe fehlt), läßt sich auch nicht neu installieren (bricht Installation ab).
- IE6 läuft nur anfangs, dann "kein Zugriff auf Server"
- Zonealarm läßt sich nicht starten/öffnen (weder von Taskleiste noch die exe im Programmordner)
- Freefixer findet nichts Verdächtiges



Was sagt Tante Google denn zu Deinem Tierchen?
Leider nicht wesentlich mehr, als ich in Deinem Link gefunden habe.



Was "Dein" Schädling macht, denk ich, erfährst Du in dem angegeben Link zu Sophos.

Irgendwie ist das ja recht vage gehalten:


Troj/Agent-LVN is a Trojan for the Windows platform.

Troj/Agent-LVN includes functionality to access the internet and communicate with a remote server via HTTP.

When first run Troj/Agent-LVN copies itself to:

<Temp>\~tm6.tmp
<Start Menu\Programs>\\Startup\siszyd32.exe

and creates the file <User>\Application Data\avdrn.dat.

Welchen Zweck die Kommunikation des Tierchens über das Internet hat, steht leider auch nicht da... :roll:

Ich fürchte, die "Sau" hat schon ein paar Kameraden aus dem Internet nachgeladen, anders kann ich mir die Blockade der oben erwähnten Programme nicht erklären. :(
Ob Avast noch korrekt arbeitet, oder ob das mittlerweile durch einen Dummy ersetzt wurde, kann ich leider auch nicht 100%ig sicher sagen...

Alfred E. Neumann
20.12.09, 15:27
Bevor wir hier weitere Versuche mit zweifelhaftem Ausgang starten, würde ich dir raten, das System neu aufzusetzen. Ist jedenfalls die sicherste Lösung.

Auggie
20.12.09, 18:05
Ob Avast noch korrekt arbeitet, oder ob das mittlerweile durch einen Dummy ersetzt wurde, kann ich leider auch nicht 100%ig sicher sagen...
Nach Deinen Angaben, die Du zuletzt geliefert hast, würde ich davon ausgehen, das Du einen kleinen Zoo auf Deinem Rechner hast.
Und so schlimm sich das anhörn mag......da ist das einzig richtige, das System neu aufzusetzen, wie meine Vorredner schon empfohlen haben.
Auch bei dem 2. PC würde ich von einer Infektion ausgehen und das System genaustens untersuchen.

Hab mir grad noch mal Deine vorherigen Beiträge durchgelesen: Hast Du die Bootzeit-Prüfung gemacht?

Viel Glück, Auggie

knallfrosch
21.12.09, 10:11
Und so schlimm sich das anhörn mag......da ist das einzig richtige, das System neu aufzusetzen, wie meine Vorredner schon empfohlen haben.
Naja, wenn es denn sein muß. 2 PCs neu aufsetzen ist ganz schön hart... :(

Obwohl, ich hatte da im Autostart und bei den Diensten zuviel deaktiviert.
Opera ließ sich nach Löschen des Ordners neu installieren und Zonealarm läuft nach Deinstallation und Neu-Konfiguration auch wieder. IE geht auch.
Also scheinbar läuft der infizierte PC wieder.
Habe die Zugriffe aufs Netz per Zonealarm vorsichtshalber genauestens im Blick...


Auch bei dem 2. PC würde ich von einer Infektion ausgehen und das System genaustens untersuchen.
Womit genau?
Avast, Spybot, Freefixer hab ich durch, alles OK soweit.


Hab mir grad noch mal Deine vorherigen Beiträge durchgelesen: Hast Du die Bootzeit-Prüfung gemacht?

Habe ich gemacht. Nix gefunden.
Erkennt Avast denn jetzt dieses Mistviech sicher?

Merlin
21.12.09, 13:34
Hallo,

wie schon meine Vorredner gesagt haben...ein Neuaufsetzen des Systems ist in diesem Fall unumgänglich, da beide Systeme schon so stark kompromittiert waren, auch wenn sie im Moment augenscheinlich laufen. Wie man sieht ist in dem Thread auf dem anderen Board ja auch schon eine ähnliche Empfehlung gegeben worden und genau so würde ich auch vorgehen: http://www.trojaner-board.de/80588-sisz ... sucht.html (http://www.trojaner-board.de/80588-siszyd-exe-wird-von-avast-nicht-erkannt-removaltool-gesucht.html)

Es wäre natürlich noch gut, wenn vorher eine Probe des Virus an avast! unter virus@avast.com gesendet werden könnte, damit Alwil hier die Gelegenheit bekommt nachzubessern. Ich würde in der E-Mail auch einen Link auf diesen Thread und vielleicht auch auf den Thread im englischen Forum mitsenden. avast! reagiert auf sowas üblicherweise sehr schnell. Es ist leider so, dass kein Scanner zu 100% Schutz bieten kann, es wird immer Viren geben, die der ein oder andere Scanner nicht erfolgreich erkennt und beseitigen kann. So wie im englischen Thread beschrieben würde ich es mal mit Malwarebytes Antimalware versuchen, aber im Endeffekt hat man dann immer noch keine Sicherheit, ob der Virus denn tatsächlich entfernt wurde. Wie gesagt würde ich hier Daten sichern, System neuinstallieren, Updates einspielen, Virenscanner installieren (vielleicht auch das Tool von Malwarebytes) und danach erstmal die gesicherten Daten mit mehreren Scannern überprüfen, bevor damit wieder gearbeitet wird.

Auggie
21.12.09, 14:16
Hallo
Ich hab noch eine kleine Anmerkung zu dem, was support bezüglich der Reihenfolge des Vorgehens gesagt hat :mrgreen:
Ich würde den Virenscanner installieren, gleich nach dem das Betriebssystem das erste Mal gestartet ist; so habe ich von Anfang an beim Gang ins Internet den Schutz des Hintergrundwächters.
Schon beim Abrufen der Updates für Windows über die Updatefunktion kann man sich Malware einhandeln. Das ist mir selbst schon so gegangen vor Jahren:
OS installiert, Updates geladen, Virenscanner installiert.....durfte gleich von vorn beginnen mit dem Neuaufsetzen, eine Datensicherung hielt ich damals nicht für notwendig.
Jetzt bin ich klüger; mein Image ist im Höchstfall 1 Woche alt, und, da das erste Image angefertigt wurde, ohne das der PC Zugang zum Netz hatte, auch "sauber".....die Wiederherstellung dauert bei mir 45 Minuten, dann ist das System wieder betriebsbereit, mit allen installierten Anwendungen und Daten inklusive der Rechte.

LG Auggie