remon.sys - taskcntr.exe - Tilebot

remon.sys - taskcntr.exe - Tilebot

Link: O23 - Service: TASKESV

W32/Tilebot-S
Link: http://www.sophos.com

HijackThis

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "TASKESV (TESV)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "TASKESV (TESV)" beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "TASKESV (TESV) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Download Registry Search Tool RegSrch.zip

die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten.

Doppelklick:regsrch.vbs
reinkopieren:

TASKESV

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (von Symantec) --- ignorieren
warnmeldung: bösartiges skript entdeckt
Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs

Doppelklick:regsrch.vbs
reinkopieren:

remon

Press 'OK' warten, bis die Suche beendet ist.

Killbox

Delete File on Reboot -- anhaken
reinkopieren:

C:\Windows\System32\remon.sys
C:\WINDOWS\taskcntr.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
PC neustarten

Den folgenden Text in den Editor
(Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten
(F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TESV] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon]