HTKL_REMTHING

Publish Date: 12 April 2016

Plattform:

Windows

Risikobewertung (gesamt):

Schadenspotenzial::

Verteilungspotenzial::

reportedInfection:

Niedrig

Mittel

Hoch

Kritisch

Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja

Überblick

Technische Details

Dateigröße: 103,154 bytes

Dateityp: EXE

Speicherresiden: Nein

Erste Muster erhalten am: 12 April 2016

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

%Windows%\Slave.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\Software\TWD\
Remote-Anything

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Video\{0DA5857E-6B79-40A2-BE07-E9FDD4552BDB}\
0000
Acceleration.Level = "5"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sMAC = "00-50-56-BC-27-04"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sDS Resync = "90"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Port = "4000"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Allowed IP Addresses = "255.255.255.255 "

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
View Only = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Verbose = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Log File = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Gateway = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Tray Icon = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Allow Options = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Accept Connections = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Close All = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Filter Manually = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sListenPrivate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sApp. Mode = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sSignAfterSOS = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
Password = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\TWD\
Remote-Anything
sDays = "{random characters}"

Lösungen

Mindestversion der Scan Engine: 9.8

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\Software\TWD
- Remote-Anything

Step 3

Diesen Registrierungswert löschen

[ learnMore ]

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video\{0DA5857E-6B79-40A2-BE07-E9FDD4552BDB}\0000
- Acceleration.Level = "5"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sMAC = "00-50-56-BC-27-04"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sDS Resync = "90"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Port = "4000"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Allowed IP Addresses = "255.255.255.255 "

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- View Only = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Verbose = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Log File = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Gateway = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Tray Icon = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Allow Options = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Accept Connections = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Close All = "1"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Filter Manually = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sListenPrivate = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sApp. Mode = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sSignAfterSOS = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- Password = "{random values}"

In HKEY_LOCAL_MACHINE\SOFTWARE\TWD\Remote-Anything
- sDays = "{random characters}"

Den Registrierungswert löschen, den diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>Video>{0DA5857E-6B79-40A2-BE07-E9FDD4552BDB}>0000
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Acceleration.Level = "5"
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>TWD>Remote-Anything
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sMAC = "00-50-56-BC-27-04"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sDS Resync = "90"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Port = "4000"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Allowed IP Addresses = "255.255.255.255 "
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
View Only = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Verbose = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Log File = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Gateway = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Tray Icon = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Allow Options = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Accept Connections = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Close All = "1"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Filter Manually = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sListenPrivate = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sApp. Mode = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sSignAfterSOS = "0"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
Password = "{random values}"
Suchen und löschen Sie im rechten Fensterbereich den folgenden Eintrag:
sDays = "{random characters}"
Schließen Sie den Registrierungs-Editor.

Step 4

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als HTKL_REMTHING entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Nehmen Sie an unserer Umfrage teil

HTKL_REMTHING

Überblick

Technische Details

Lösungen

Ressourcen

Support

Über Trend

Hauptniederlassung DACH