TrojanDownloader:Win32/Dogrobot.A koauolte.exe - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 TrojanDownloader:Win32/Dogrobot.A koauolte.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] TrojanDownloader:Win32/Dogrobot.A koauolte.exe

本主题由版主天月来了于 2008-10-20 17:55:57 执行设置高亮操作

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-20 17:47 \| 只看楼主短消息资料字号：小中大 1楼 TrojanDownloader:Win32/Dogrobot.A koauolte.exe koauolte.exe MD5:0BD9295821BE565BFAFB675B33B5299E 壳：FSG v2.0 开发：c/c++ 检测：FILEMON,REGMON,IDA 操作系统：XPSP3,WINXPSP2,Win2kServer都跑了一下，可能运行环境不全，只是做为参考劫持并结束安全软件 kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe 结束瑞星防火墙弹窗下载文件命令行：?:\windows\system32\rundll32.exe jiocs.dll+？【文件】删除koauolte.exe自身生成名字为%s%d_res.tmp 的文件打开%TEMP%\6493750_res.tmp（%s%d_res.tmp）创建%TEMP%\svDE.tmp .tmp文件进行的操作和koauolte.exe基本相同驱动：?:\windows\system32\drivers\lklosd.sys 对C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Bases\kavbase.kdl进行操作【创建启动项】 004017B9 push offset a360ary ; "360ary" 004017BE push offset SubKey ; "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" 【注册表】 QueryValue HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled 0x1 QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSAppCompat 0x0 QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSUserEnabled 0x0 QueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LeakTrack NOTFOUND QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32\koauolte.exe NOT FOUND QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility\koauolte.exe NOT FOUND QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs "SysWoWCvC.dll" CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed A0 D7 16 93 D3 4A 41 BC （多次进行） QueryValue HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\CriticalSectionTimeout 0x278D00 QueryValue HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableBalloonTips 0x0 CreateKey HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings QueryValue HKLM\SYSTEM\Setup\SystemSetupInProgress 0x0 QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001\Name "Microsoft Strong Cryptographic Provider" QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Type 0x1 QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Image path "rsaenh.dll" QueryValue HKLM\Software\Microsoft\Cryptography\MachineGuid "ce9412bf-5d89-4a72-9bc3-6d2855b6c3b6" QueryValue HKCU\Keyboard Layout\Toggle\Language Hotkey SUCCESS "1" QueryValue HKCU\Keyboard Layout\Toggle\Layout Hotkey SUCCESS "2" EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack\SURROGATE SUCCESS 0x2 EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack NO MORE ENTRIES ================================================================================== PS：重启后，学校机器的还原被穿。。。(软硬结合，带锁的还原设备) 可疑文件如下 C:\WINDOWS\system32\mfdesy.dll C:\WINDOWS\system32\tdffdl.dll C:\WINDOWS\system32\zefdst.dll C:\WINDOWS\system32\ddserh.dll C:\WINDOWS\system32\rfdswc.dll C:\WINDOWS\system32\cdwqfs.dll C:\WINDOWS\system32\wrqszl.dll C:\WINDOWS\system32\jfrwdh.dll C:\WINDOWS\system32\sgrefg.dll C:\WINDOWS\system32\midimapwd.dll C:\WINDOWS\system32\midimapgj.dll C:\windows\system32\soft13.ext C:\windows\system32\SysWoWCvC.dll C:\WINDOWS\system32\d32dx9.sys C:\WINDOWS\system32\Check_Pack.dll C:\WINDOWS\system32\3DES.dll 找不到驱动 SMTDEL重启删除,进入SMTDEL启动条目后，停止，不能继续删除文件建议修复安全模式，恢复钩子和HOOK，再进行删除在我实验的机器上，SRENG只能改名然后命令行扫描，否则会重启不完整解决方案：（系统盘NTFS格式）结束进程koaulte.exe和其它可疑进程（冰刃,RKU,PSNULL等）在该EXE文件所在目录下，建立批处理XXX.BAT并运行内容如下 attrib koaulte.exe -s -h -r del koaulte.exe md koaulte.exe cacls koaulte.exe /d administrators 清除IFEO AppInit_DLLs 项使用SRENG编辑为空删除注册表中启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe"（其它品种的不同启动项也需要清除）其它启动项目需要分析报告来清除使用XDELBOX等强力删除工具，讲可疑文件路径全部拷贝，XDELBOX中右键-剪贴板导入不检查路径再右键重启立刻删除重启进入XDELBOX的启动项目开始删除删除后还是要用SRENG检查IFEO是否已经清除，没清掉一条一条删除或者用置顶帖里的工具如果中毒已深，需要再全盘用杀毒软件扫描一下本帖被评分 1 次本帖被评分 1 次天云一剑最后编辑于 2008-10-26 19:04:26 汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-10-20 17:57 \| 短消息资料字号：小中大 2楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe SMTDEL重启删除选项进入后不能删除文件这是个具体什么情况？？？百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-20 18:02 \| 只看楼主短消息资料字号：小中大 3楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 显示，启动信息被修改然后停了不能继续可能因为机器本来就有毒（我只检查到几个AUTORUN）情况比较复杂天云一剑最后编辑于 2008-10-20 18:05:55 汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2008-10-20 18:55 \| 短消息资料字号：小中大 4楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 那个中毒的电脑是否安装了硬盘版一键还原Ghost等类似的东西？ DOS删除因为比较特殊，存在一定的兼容问题
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-20 19:36 \| 只看楼主短消息资料字号：小中大 5楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 机器统一安装了一款还原设备没有GHOST 不过存在多系统 2K server ,XP ,LINUX 汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2008-10-20 21:00 \| 短消息资料字号：小中大 6楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 尽量不要用于多系统，尤其是含有非windows系统的情况
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-20 21:22 \| 只看楼主短消息资料字号：小中大 7楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 恩，也没别的机子，想想别的法子汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2008-10-20 21:39 \| 短消息资料字号：小中大 8楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 用重启删除模式赛，除了部分驱动，其它基本都能删除，除非病毒的驱动具有保护病毒的功能（我相信一般病毒不会加这个），当然病毒如果破坏延迟删除等等一些情况除外 JayFaye 最后编辑于 2008-10-20 22:22:31
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-21 18:21 \| 只看楼主短消息资料字号：小中大 9楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 恩，这算是观察不完整，多个机器的结果汇总了一下汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

臭脾气初生襁褓狮帖子:2 注册: 2008-10-23 来自:	发表于： 2008-10-23 23:10 \| 短消息资料字号：小中大 10楼回复：TrojanDownloader:Win32/Dogrobot.A koauolte.exe 我做了如下处理删除了 koauolte.exe 文件本身删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe 删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ 下所有存在360ary, koauolte,koauolte.exe数据的键删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\ 下所有存在360ary, koauolte,koauolte.exe数据的键删除 C:\WINDOWS\Prefetch\KOAUOLTE.EXE_05994EB1.pf 结果瑞星的主动防御和监控中心还是不能启动
臭脾气初生襁褓狮帖子:2 注册: 2008-10-23 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT