Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Egal welche Tools sie dir empfehlen. Das Rootkit wird sich weiterhin verstecken und wieder neu nachladen.

Formatier den PC. Helfen kann Dir hier nämlich niemand

my2cent

Da schließe ich mich @Larusso voll an.
Randbemerkung: wie bereits bekannt, ist @ Phoenix1991 hier im AV-Forum Dauergast..... ;)

Demnach keine Besserung in Sicht.
 

Zitat
Da schließe ich mich @Larusso voll an.
ausnahmsweise  ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Gibt's eine Möglichkeit dieses Rootkit (was auch immer das ist) zu finden und loszuwerden?

Und was soll ich denn nun mit dieser afcingyi.sys aus C:\WINDOWS\System32\Drivers\afcingyi.sys machen?

Und avast sagt immer wieder, dass es einen Virus im Arbeitsspeicher gefunden hat?? ???

Gibt's eine Möglichkeit dieses Rootkit (was auch immer das ist) zu finden und loszuwerden?

Und was soll ich denn nun mit dieser afcingyi.sys aus C:\WINDOWS\System32\Drivers\afcingyi.sys machen?

Und avast sagt immer wieder, dass es einen Virus im Arbeitsspeicher gefunden hat?? ???
Du willst es nicht verstehen, oder ??!  ;D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Es gibt nichts zu verstehen. Fakt ist, dass eine Formatierung nicht in Frage kommt. Da können wir uns alle hier auf den Kopf stellen und Rädchen schlagen.


Randbemerkung: wie bereits bekannt, ist @ Phoenix1991 hier im AV-Forum Dauergast..... ;)

Demnach keine Besserung in Sicht.
Besserung wobei? Soll ich aufhören das Internet zu benutzen oder was? Mehr als den PC regelmäßig zu überprüfen und die AV's aktuell zu halten kann ich ja wohl nicht. Das ihr alle eine LW-Phobie habt weiß ich inzwischen auch, aber das ist in diesem Fall absolut Todsicher nicht Schuld an den letzten Viren.
« Letzte Änderung: 23.12.09, 10:20:20 von Phoenix1991 »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Eins noch:
Kann man Sophos Anti-Rootkit eigentlich auch installieren wenn man schon avast (bzw. generell irgendein AV) drauf hat?

Zitat
Mehr als den PC regelmäßig zu überprüfen und die AV's aktuell zu halten kann ich ja wohl nicht
doch kannst du (ok du wohl eher weniger, aber möglich ist es)!
Eins noch:
Kann man Sophos Anti-Rootkit eigentlich auch installieren wenn man schon avast (bzw. generell irgendein AV) drauf hat?
JA kannst du... guck auch nochmal bei Chip und Computerbild.de nach... da gibts noch mehr "Security" Tools mit dem du auf die Jagd gehen kannst.  
« Letzte Änderung: 23.12.09, 13:08:52 von Zidane »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ja ihr Experten könnt das - ich bin nur eine überdurchschnittliche Durchschnittsuserin (heißt so viel wie "gut mit Programmen und dem was üblicherweise so anfällt an PC-Problemen, aber nicht viel Ahnung wenn's an größere Probleme geht). ;D

@ Zidane
Gibt es irgendwelche gute Online-Resourcen mit denen ich lernen könnte auch als Durchschnittsuserin mehr zu tun (mal abgesehen von brain.exe ::) )?

Meine Internetverbindung spinnt noch immer und die CPU-Auslastung ist gerade eben vor ein paar Minuten auch wieder auf 50+ geschossen. So eine #@%$€ß&. Wie mache ich das jetzt bloß - ich kann den PC auf gar keinen Fall zur Reparatur abgeben, die Zeit hab ich nicht. :( Der Typ der mir den PC sonst immer repariert machts zwar ganz toll (anscheinend mit irgend einem Back-Up oder sowas, weil meine granzen installierten Programme waren nach den letzten paar Reparaturen [eine davon virenbedingt] noch alle da), aber er braucht ewig lange.

Zuerst die Gute Nachricht: Man bekommt diese "Infektion" auch ohne Neuformatierung entfernt.
Die schlechte Nachricht: Man muß mehr Ahnung als ein Durchschnittsuser haben.
Hier wird nämlich die Registrierung mit vier neuen Schlüsseln ausgestattet, welche sich nicht löschen lassen. Es geht nur, wenn man den PC mit BartPE startet, die Teilstruktur seines Systems lädt und dort die Schlüssel entfernt. Danach die Teilstruktur wieder entfernen und umbenennen. Allerdings gibt es in der Registrierung auch zwei Schlüssel mit Verweis auf siszyd32.exe, diese lassen sich löschen.
Und die Langsamkeit des Internets beruht darauf, daß der PC als "Spamschleuder" mißbraucht wird.
Wie gesagt, diese Methode erfordert detaillierte Kenntnisse der Registrierung....ist also nichts, was man hier beschreiben sollte.

Nene nicht nur groß reden.

Will ich wissen wie du ein Rootkit aus der Registry löscht.
Wenn man schon schlau redet.
Und nein, es sind nicht nur 4 Schlüssel.

Recovery Console, listsvc, rootkit treiber auf disabled setzen. Neu starten, Dateien löschen.

Da brauch ich nicht großartig mit BartPE arbeiten.  ::)

Siszyd32 geht unter XP-Home oder Professional ganz einfach weg:
Explorer auf und unter Dokumente und Einstellungen sowie dem jeweiligen Benutzernamen in Programme/Autostart die siszyd32.exe "stellen". Dann per Affengriff in die Prozesskontrolle. Dort den svchost - Prozess mit den 99% beenden. Nun will der Rechner neustarten, weil ihr DCOM beendet habt. Ihr habt allerdings eine Minute Zeit! Also gleich zum Explorer wechseln und die siszyd32.exe nun endgültig löschen. Und zwar mit [umschalt]+[entf]. Fertig. Wenn ihr die Registry noch unbedingt sauber machen müsst, tut das, das Problem ist aber die siszyd32.exe, wenn die weg ist, läuft die Huddel wieder normal.

Gruss


svaan

Hallo mein Virenscanner hat heute auch den siszyd32.exe gefunden. Das wurde als Worm/Agent.28160.2 bezeichnet.
Hab bei der Anti Vir (Freie Version) auf löschen geklickt und danach beim suchen im Arbeitsplatz nichts mehr davon gefunden. Ist der Virus jetzt weg?
Ich bin auf dem Gebiet gnadenlos Ahnungslos.
Und wo kann ich sowas herbekommen? Ich bin eigentlich nur in zwei Tierforen unterwegs. Muss aber wegen meiner Facharbeit auch auf Seiten von Tierschutzorganisationen. Kann da sowas herkommen?

Würde mich sehr über eine Antwort freuen. Danke!

Ich hatte vor Weihnachten ebenfalls das Problem mit der siszyd32.exe, allerdings hat mein GDATA das Teil daran gehindert sich in den Autostart-Ordner ein zu nisten.
Außerdem werden ein Paar TMP-Dateien erzeugt, die die ganze Zeit versuchen, sich mit eienr russischen Website zu verbinden. Dank der Firewall konnte ich die Dinger blockieren. Der svhost startet nur, wenn siszyd32.exe aktiv ist, so lange diese Datei nicht aktiv ist, wird nur versucht über die TMP-dateien eine Verbindung zu bekommen.
Das Ding habe ich vermutlich durch ein JAVA-Applet bekommen, allerdings bin ich mir da nicht ganz sicher, denn ein Eintrag, war bereits 3 Tage vor dem Angriff bereits im TMP-Ordner.
Vorsicht: Das Ding nutzt außerdem den Internet-Explorer um eine Verbindung mit dem Netz aufzubauen, da hilft die Firwall nicht, da diese ja den IE erlaubt. Daher den Prozess killen.

Letztenlich habe ich meinem PC formatiert. Nu ist das Ding weg.

Apropos, weiß eventuell jemand, ob die Datei auch andere Dateien infiziert? Zumindest habe ich keine Meldung bekommen.
Ach ja, infiziert die Datei auch das MBR?
Denn das habe ich nicht überprüft.
Wird das MBR bei Recovery neuerstellt oder bleibt der alte Wert erhalten?

Seid bloß vorsichtig mit dem Ding! Ich habe die Infektion im Januar gehabt! Das Ding hat sich auch in meine Flash FXP eingeklinkt (FTP Programm) meine Sämtlichen Server und Webspace Passwörter gesnifft und schön an den Hacker übermittelt! Was danach passiert ist, kann sich ja jeder denken! Der Hacker hat sich in seelenruhe auf meinen Webspace paketen eingeklinkt und schön ans ende der index*.* , main*.* und *.js dateien ein script eingefügt, das weitere trojaner lädt! der hacker war fleißig muss man ihm lassen! innerhalb von 24 std. über 600 websites! nachdem ich es bemerkt habe durfte ich backups aufspielen, und sämtliche passwörter ändern! und als belohnung konnte ich, als ich fertig war NOCHNMAL von VORNE anfangen, weil ich bis dahin NICHT wusste, das er sich auch ins ftp programm eingeklinkt hatte und er DIREKT WIEDER meine passwörter hatte! also ich rate JEDEM ERSTMAL DEN PC VOLLSTÄNDIG BEREINIGEN (im idealfall erstmal von einem ANDEREN -SICHEREN!!!! PC zu arbeiten und von DIESEM erst SÄMTLICHE PASSWÖRTER ZU ÄNDERN BEVOR ihr euch ans RECOVERN GEHT! der ist HARTNÄCKIG! Ach ja: den thread das euer rechner als SPAM SCHLEUDER MISSBRAUCHT WIRD, KANN ICH NUR BESTÄTIGEN! bekam nachdem ich alles bereinigt habe, eine ABUSE Mail meines ISP wegen Email-Spam! also mein tipp: infizierten rechner zuerst vom INTERNET TRENNEN und anschließend bereinigen! der lädt sich nämlich aus dem web nach!
ich habe eine liste von über 1000 urls gefunden von denen der JS trojaner verbreitet wird! das script wird geschickt mit GNU/GPL getarnt(ja der hacker ist auch noch ein scherzbold) den quelltext wie er auf infizierten websites eingefügt wird, dieverse URL (hintergrundinfos durch recherche unseres fleißigen recherche teams kann ich gerne per email zukommen lassen! ich hoffe irgendwer bekommt die schw**** hunde mal in die finger zu bekommen und sich bei denen für die arbeit, die sie einem durch den mist verursachen "AUSGIEBIG ZU BEDANKEN";-)
ich hoffe die werden möglichst bald aus dem verkehr gezogen!

Gruss ein STINKSAUERER Webmaster, dem dieser Trojaner GEHÖRIG ARBEIT verursacht hat!;-)


« Hallo Mein XP Sicherheitscenter startet nicht mehr automatisch. Was muß ich tun T-online: 2 IP's? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Formatieren
  Das Formatieren einer Festplatte, HDD oder SSD bereitet das Laufwerk auf neue Daten vor. Dazu werden sämtliche alten Daten gelöscht, damit die...

Directory
Ordner im Dateisystem eines Computers. Siehe auch Ordner ...

Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...