瑞星卡卡安全论坛
天云一剑 - 2008-10-20 17:47:00
koauolte.exe
MD5:0BD9295821BE565BFAFB675B33B5299E
壳:FSG v2.0
开发:c/c++
检测:FILEMON,REGMON,IDA
操作系统:XPSP3,WINXPSP2,Win2kServer都跑了一下,可能运行环境不全,只是做为参考
劫持并结束安全软件
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
结束瑞星防火墙
弹窗
下载文件
命令行:?:\windows\system32\rundll32.exe jiocs.dll+?
【文件】
删除koauolte.exe自身
生成名字为%s%d_res.tmp 的文件
打开%TEMP%\6493750_res.tmp(%s%d_res.tmp)
创建%TEMP%\svDE.tmp
.tmp文件进行的操作和koauolte.exe基本相同
驱动:?:\windows\system32\drivers\lklosd.sys
对C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Bases\kavbase.kdl进行操作
【创建启动项】
004017B9 push offset a360ary ; "360ary"
004017BE push offset SubKey ; "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run"
【注册表】
QueryValue HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled 0x1
QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSAppCompat 0x0
QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSUserEnabled 0x0
QueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LeakTrack NOTFOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32\koauolte.exe NOT FOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility\koauolte.exe NOT FOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs "SysWoWCvC.dll"
CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG
SetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed A0 D7 16 93 D3 4A 41 BC (多次进行)
QueryValue HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\CriticalSectionTimeout 0x278D00
QueryValue HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableBalloonTips 0x0
CreateKey HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
QueryValue HKLM\SYSTEM\Setup\SystemSetupInProgress 0x0
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001\Name "Microsoft Strong Cryptographic Provider"
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Type 0x1
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Image path "rsaenh.dll"
QueryValue HKLM\Software\Microsoft\Cryptography\MachineGuid "ce9412bf-5d89-4a72-9bc3-6d2855b6c3b6"
QueryValue HKCU\Keyboard Layout\Toggle\Language Hotkey SUCCESS "1"
QueryValue HKCU\Keyboard Layout\Toggle\Layout Hotkey SUCCESS "2"
EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack\SURROGATE SUCCESS 0x2
EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack NO MORE ENTRIES
==================================================================================
PS:重启后,学校机器的还原被穿。。。(软硬结合,带锁的还原设备)
可疑文件如下
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\zefdst.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\cdwqfs.dll
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\midimapwd.dll
C:\WINDOWS\system32\midimapgj.dll
C:\windows\system32\soft13.ext
C:\windows\system32\SysWoWCvC.dll
C:\WINDOWS\system32\d32dx9.sys
C:\WINDOWS\system32\Check_Pack.dll
C:\WINDOWS\system32\3DES.dll
找不到驱动
SMTDEL重启删除,进入SMTDEL启动条目后,停止,不能继续删除文件
建议修复安全模式,恢复钩子和HOOK,再进行删除
在我实验的机器上,SRENG只能改名然后命令行扫描,否则会重启
不完整解决方案:(系统盘NTFS格式)
结束进程koaulte.exe和其它可疑进程(冰刃,RKU,PSNULL等)
在该EXE文件所在目录下,建立批处理XXX.BAT并运行
内容如下
attrib koaulte.exe -s -h -r
del koaulte.exe
md koaulte.exe
cacls koaulte.exe /d administrators
清除IFEO
AppInit_DLLs 项使用SRENG编辑为空
删除注册表中启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe"(其它品种的不同启动项也需要清除)
其它启动项目需要分析报告来清除
使用XDELBOX等强力删除工具,讲可疑文件路径全部拷贝,XDELBOX中右键-剪贴板导入不检查路径
再右键重启立刻删除
重启进入XDELBOX的启动项目开始删除
删除后还是要用SRENG检查IFEO是否已经清除,没清掉一条一条删除或者用置顶帖里的工具
如果中毒已深,需要再全盘用杀毒软件扫描一下
天月来了 - 2008-10-20 17:57:00
SMTDEL重启删除选项进入后不能删除文件
这是个具体什么情况???
天云一剑 - 2008-10-20 18:02:00
显示,启动信息被修改
然后停了
不能继续
可能因为机器本来就有毒(我只检查到几个AUTORUN)
情况比较复杂
JayFaye - 2008-10-20 18:55:00
那个中毒的电脑是否安装了硬盘版一键还原Ghost等类似的东西?
DOS删除因为比较特殊,存在一定的兼容问题
天云一剑 - 2008-10-20 19:36:00
机器统一安装了一款还原设备
没有GHOST
不过存在多系统 2K server ,XP ,LINUX
JayFaye - 2008-10-20 21:00:00
尽量不要用于多系统,尤其是含有非windows系统的情况
天云一剑 - 2008-10-20 21:22:00
恩,也没别的机子,想想别的法子
JayFaye - 2008-10-20 21:39:00
用重启删除模式赛,除了部分驱动,其它基本都能删除,除非病毒的驱动具有保护病毒的功能(我相信一般病毒不会加这个),当然病毒如果破坏延迟删除等等一些情况除外
天云一剑 - 2008-10-21 18:21:00
恩,这算是观察不完整,多个机器的结果汇总了一下
臭脾气 - 2008-10-23 23:10:00
我做了如下处理
删除了 koauolte.exe 文件本身
删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe
删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ 下所有存在360ary, koauolte,koauolte.exe数据的键
删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\ 下所有存在360ary, koauolte,koauolte.exe数据的键
删除 C:\WINDOWS\Prefetch\KOAUOLTE.EXE_05994EB1.pf
结果瑞星的主动防御和监控中心还是不能启动
GPS - 2008-10-24 14:18:00
那对瑞星进行修复呢?在开始程序中瑞星杀毒软件,瑞星工具,添加删除程序~~修复一下试试
痞痞 - 2008-10-24 16:31:00
我现在把那个文件和注册表项删了之后,瑞星监控可以开了,但是卡卡和迅雷还是不能开。。。:default11:
天云一剑 - 2008-10-24 17:02:00
此EXE有多个版本,如果已经运行,
可能还会加载驱动下载其它木马,
建议先清除IFEO(查看置顶工具帖)
开帖上传SRENG扫描报告
臭脾气 - 2008-10-25 10:44:00
楼主能给个明白一点的解决方法吗?
我删除了 koauolte.exe,删除了注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe
瑞星恢复了,但是迅雷、QQ检查木马程序都运行不了 :default11:
aaccbbdd - 2008-10-25 10:45:00
看版规
上传日志看看
痞痞 - 2008-10-25 14:47:00
用了映像劫持修复工具.rar这个修复了下,迅雷和卡卡都可以用了,谢谢各位大侠~~~:default5:
1
© 2000 - 2026 Rising Corp. Ltd.