taskshed.exe


taskshed.exe, nlsys32.exe, sysdtc32.exe

weiter HijackThis

O23 - Service: DLTC(dltc) (DLTC) - Unknown owner - C:\WINNT\system32\nlsys32.exe
O23 - Service: TskScheduler - Unknown owner - C:\WINNT\taskshed.exe
O23 - Service: WmDmPsp - Unknown owner - C:\WINNT\system32\sysdtc32.exe

C:\WINNT\system32\nlsys32.exe
C:\WINNT\taskshed.exe
C:\WINNT\system32\sysdtc32.exe

weiter Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC

Files to delete:
C:\WINNT\taskshed.exe
C:\WINNT\system32\nlsys32.exe
C:\WINNT\system32\sysdtc32.exe

# SYSDTC32.EXE may use 8 or more path and file names, these are the most common:

# 1 :%CACHE%\CONTENT.IE5\????????\ACID[1].EXE
# 2 :%WINDIR%\ERASEME_65347.EXE
# 3 :%WINDIR%\SYSTEM32\ERASEME_08351.EXE
# 4 :%WINDIR%\SYSTEM32\ERASEME_23478.EXE
# 5 :%WINDIR%\SYSTEM32\ERASEME_32715.EXE
# 6 :%WINDIR%\SYSTEM32\ERASEME_42472.EXE
# 7 :%WINDIR%\SYSTEM32\ERASEME_62353.EXE
# 8 :\\?hostname?\?share?\ERASEME_65347.EXE

NLSYS32.EXE - Malware Form: EXPLOIT - Malware Group: Worm Alacra-B (??)

taskshed.exe - W32/Tilebot-FN http://www.sophos.de

HKLM\SYSTEM\CurrentControlSet\Services\TskScheduler\

Die Datei remon.sys wird als neuer Systemtreiber-Dienst namens "remon", mit dem Anzeigenamen "remon" registriert. Registrierungseinträge werden erstellt unter:

HKLM\SYSTEM\CurrentControlSet\Services\remon\

Die folgenden Registrierungseinträge werden erstellt und deaktivieren den Registrierungseditor (regedit) und den Windows Task-Manager (taskmgr):

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1

W32/Tilebot-FN erstellt die folgenden Registrierungseinträge, wodurch der automatische Start anderer Software verhindert wird:

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4

Die folgenden Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

Registrierungseinträge werden erstellt unter:

HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\



startseite
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits