siszyd32.exe – Cum scap de el? (Solutie pentru devirusare – UPDATED)

siszyd32.exe – un nou tip de virus care se raspandeste foarte rapid si este dificil de indepartat. Acesta se transmite prin mai multe JavaScript-uri, principalul script facand trimitere la un altul.

Fisierul principal, care demareaza infectia are o detectie mica 11/41 pe VirusTotal, insa partea proasta este ca isi schimba mereu dimensiunea pentru a evita detectia.

Creeaza, dupa rulare, urmatoarele fisiere:

  • C:\WINDOWS\Temp\49d59eaf.tmp (denumire aleatorie)
  • C:\WINDOWS\Temp\~TMC.tmp (denumire aleatorie) – unde C poate fi o cifra sau o litera la intamplare
  • C:\WINDOWS\Temp\eee668dfb626c6f367c9aeb3.tmp (denumire aleatorie)
  • C:\WINDOWS\system32\fjhdyfhsn.bat
  • C:\WINDOWS\system32\drivers\sxcem.sys (denumire aleatorie)
  • C:\Documents and Settings\[USER]\Local Settings\Temp\~DFCFA4.tmp (denumire aleatorie)
  • C:\documents and settings\[USER]>\Application Data\fvgqad.dat
  • C:\documents and settings\[USER]\Application Data\avdrn.dat
  • C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat
  • C:\documents and settings\LocalService\Application Data\fvgqad.dat
  • C:\Documents and Settings\Administrator\Application Data\avdrn.dat
  • C:\Documents and Settings\[USER]\Start Menu\Programs\Startup\siszyd32.exe

Un alt simptom, in afara detectarii unuia dintre aceste fisiere, ar fi utilizarea excesiva a procesorului de catre svchost.exe
In plus, virusul va sterge Internet Explorer din sistem, iar la urmatoarele restart-uri si alte fisiere critice de sistem, facand PC-ul inoperabil.

In log-ul HijackThis apar urmatoarele intrari:

O4 – HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TME.tmp (denumire aleatorie)
O4 – Startup: siszyd32.exe

Pentru DEVIRUSARE urmati pasii de mai jos:

1.Pentru a preveni stergerea Internet Explorer si a altor fisiere din sistem, ceea ce poate rezulta in imposibilitatea utilizarii Pc-ului, procedati ca mai jos:

  • Deschideti regedit (Start -> Run, scrieti regedit si apasati OK)
  • Navigati la [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] si cautati cheia ParseAutoexec (in partea dreapta).
  • Dati click-dreapta pe ea si alegeti Modify

parseautoexec modify

  • Setati valoarea la 0 si apasati OK.

parseautoexec disable

2. Dezactivati System Restore:
Windows XP === Control Panel -> System -> System Restore – bifati Turn off System Restore on all drives, Apply, OK.

Windows Vista === Control Panel -> System -> System protection (stanga sus) – debifati casutele bifate, Apply, OK.

Windows 7 === Control Panel -> System -> System protection (stanga sus) -> Configure (la partitiile cu Protection – ON) – bifati Turn off system protection, Apply, OK.

 

3. Descarcati Malwarebytes Anti-Malware, instalati-l, faceti update la ultima baza de semnaturi, intrati in Safe Mode (F8), scoateti cablul de Internet si scanati full (Perform full scan -> Scan). La terminarea scanarii apasati OK, apoi Show Results. Asigurati-va ca totul este bifat si apasati Remove Selected.

Intrati in Safe Mode doar pentru scanarea si indepartarea obiectelor infectate cu Malwarebytes’. Restul scanarilor le puteti face pe Normal Mode.

4. Descarcati Kaspersky Removal Tool, instalati-l, scoateti cablul de Internet, opriti protectia real-time a antivirus-ului instalat pe PC si scanati full cu acest utilitar (vezi poza). La terminarea scanarii dezinfectati/stergeti toate fisierele detectate.

5. Descarcati ATF Cleaner, executati-l, bifati Select All si apasati Empty selected.

V-am spus ca va fi sters si Internet Explorer. Reinstalati-l apoi (pentru Windows Vista si Windows 7 va merge si prin Automatic Update), iar pentru Windows XP aveti variantele Internet Explorer 7 sau Internet Explorer 8.

Este posibil sa nu se poata instala, de aceea incercati urmatoarea varianta.
Puteti incerca Microsoft Fix It care va remedia problemele sau modificarile aparute in sistemul de operare si veti putea reinstala IE 7 sau IE 8.

Alternativ, cautati fisierul C:\Windows\ie7.log, deschideti-l si uitati-va in interior dupa linii asemanatoare cu cele de mai jos:

1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\ProxyStubClsid
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\ProxyStubClsid32
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}
1.469: IECUSTOM: Unwriteable key HKCR\Interface\{34A715A0-6587-11D0-924A-0020AFC7AC4D}\TypeLib

Deschideti apoi regedit (Start > Run, scrieti regedit), cautati cheile respective, click-dreapta pe ele > Permissions si bifati drepturi depline de administrator pentru a le edita.

Multumesc lui JulotM pentru analiza initiala.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “siszyd32.exe – Cum scap de el? (Solutie pentru devirusare – UPDATED)”

  1. gogorizzo

    mda… dupa ce m-am luptat 2 zile cu acest virus…..asta dupa ce am scanat cu toti antivirusii si teoretic ma scapa de virus, se pare ca nu era chiar asa, virusul reaparea si pc-ul era din ce in ce mai greu de operat si n-am avut alta sansa decat sa-mi reinstalez windows-ul, pt ca informatiile gasite pe net… nu m-au ajutat maid eloc, pt ca recunosc n-am stiut sa le aplic corect, dar macar acum datorita voua, stiu ce trebuie facut daca virusul acesta se va gandi sa mai treaca pe la mine, felicitari pt site

  2. Claudiu

    Symantec il vede, Avira pauza. Am observat ca in ultimul timp, Avira pierde constant la detectie. Pacat.

  3. sumomanu

    la mine avira premium l-a detectat insa se pare ca are ceva probleme ca sa-l neutralizeze . voi aplica pasii de mai sus

  4. FATA PALIDA

    Am ZA cu AV si antispyware si l-a omorat kiar cand sa se instaleze. Desi nu apare nimic in startup sunt niste reziduuri care contin siszyd32 prin registru dar nici un AV nu le gaseste. Iar eu nu ma incumet sa le sterg. Pana acum nici un AV n-a gasit nici un fisier infectat desi ZA imi omoara niste incercari de-ale lui siszyd32 care e localizat in startup. Dar nu e nimic acolo si nici nu poate fi dezactivat din msconfig deci ceva il readuce. Iar la procese totu e ok afara de svchosturile care nu se stie ce ascund.

  5. FaraVirusi.com » wwwpos32.exe – Cum scap de el? (Solutie pentru devirusare)

    […] aici, sigur vei dori sa te abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.siszyd32.exe are se pare un fratior geaman. Se numeste wwwpos32.exe si se raspandeste in ultimul timp, avand o […]

  6. sorin

    In urma scanarii, Malwarebytes Anti-Malware a gasit fisierul C:\documents and settings\[USER]\Application Data\avdrn.dat, care, conform celor scrise mai sus, este creat de siszyd32. Am folosit Trend Micro HijackThis v2.0.2 – acest siszyd32 nu apare.
    Fisierul gasit e dovada ca virusul a existat (sau exista inca) ?

    Multumesc!

Leave a Reply