Ich hatte vor Weihnachten ebenfalls das Problem mit der siszyd32.exe, allerdings hat mein GDATA das Teil daran gehindert sich in den Autostart-Ordner ein zu nisten.
Außerdem werden ein Paar TMP-Dateien erzeugt, die die ganze Zeit versuchen, sich mit eienr russischen Website zu verbinden. Dank der Firewall konnte ich die Dinger blockieren. Der svhost startet nur, wenn siszyd32.exe aktiv ist, so lange diese Datei nicht aktiv ist, wird nur versucht über die TMP-dateien eine Verbindung zu bekommen.
Das Ding habe ich vermutlich durch ein JAVA-Applet bekommen, allerdings bin ich mir da nicht ganz sicher, denn ein Eintrag, war bereits 3 Tage vor dem Angriff bereits im TMP-Ordner.
Vorsicht: Das Ding nutzt außerdem den Internet-Explorer um eine Verbindung mit dem Netz aufzubauen, da hilft die Firwall nicht, da diese ja den IE erlaubt. Daher den Prozess killen.
Letztenlich habe ich meinem PC formatiert. Nu ist das Ding weg.
Apropos, weiß eventuell jemand, ob die Datei auch andere Dateien infiziert? Zumindest habe ich keine Meldung bekommen.
Ach ja, infiziert die Datei auch das MBR?
Denn das habe ich nicht überprüft.
Wird das MBR bei Recovery neuerstellt oder bleibt der alte Wert erhalten?