koauolte.exe
MD5:0BD9295821BE565BFAFB675B33B5299E
壳：FSG v2.0
开发：c/c++
检测：FILEMON,REGMON,IDA
操作系统：XPSP3,WINXPSP2,Win2kServer都跑了一下，可能运行环境不全，只是做为参考


劫持并结束安全软件
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
结束瑞星防火墙
弹窗
下载文件
命令行：?:\windows\system32\rundll32.exe jiocs.dll+？
【文件】
删除koauolte.exe自身
生成名字为%s%d_res.tmp 的文件
打开%TEMP%\6493750_res.tmp（%s%d_res.tmp）
创建%TEMP%\svDE.tmp
.tmp文件进行的操作和koauolte.exe基本相同
驱动：?:\windows\system32\drivers\lklosd.sys
对C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Bases\kavbase.kdl进行操作

【创建启动项】
004017B9                push    offset a360ary  ; "360ary"
004017BE                push    offset SubKey  ; "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run"
【注册表】
QueryValue HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled      0x1
QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSAppCompat                          0x0
QueryValue HKLM\System\CurrentControlSet\Control\Terminal Server\TSUserEnabled                        0x0
QueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LeakTrack                  NOTFOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32\koauolte.exe            NOT FOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility\koauolte.exe        NOT FOUND
QueryValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs                  "SysWoWCvC.dll"

CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG
SetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed      A0 D7 16 93 D3 4A 41 BC  （多次进行）

QueryValue HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\CriticalSectionTimeout            0x278D00


QueryValue HKCU\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableBalloonTips      0x0

CreateKey HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
QueryValue HKLM\SYSTEM\Setup\SystemSetupInProgress                                                                          0x0
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001\Name "Microsoft Strong Cryptographic Provider"
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Type  0x1
QueryValue HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider\Image path  "rsaenh.dll" 
QueryValue HKLM\Software\Microsoft\Cryptography\MachineGuid                      "ce9412bf-5d89-4a72-9bc3-6d2855b6c3b6"
QueryValue HKCU\Keyboard Layout\Toggle\Language Hotkey    SUCCESS "1"
QueryValue HKCU\Keyboard Layout\Toggle\Layout Hotkey        SUCCESS "2"
EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack\SURROGATE          SUCCESS 0x2
EnumerateValue HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack                                NO MORE ENTRIES
   
==================================================================================

PS：重启后，学校机器的还原被穿。。。(软硬结合，带锁的还原设备)
可疑文件如下
C:\WINDOWS\system32\mfdesy.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\zefdst.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\rfdswc.dll
C:\WINDOWS\system32\cdwqfs.dll
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\sgrefg.dll
C:\WINDOWS\system32\midimapwd.dll
C:\WINDOWS\system32\midimapgj.dll
C:\windows\system32\soft13.ext
C:\windows\system32\SysWoWCvC.dll
C:\WINDOWS\system32\d32dx9.sys
C:\WINDOWS\system32\Check_Pack.dll
C:\WINDOWS\system32\3DES.dll
找不到驱动


SMTDEL重启删除,进入SMTDEL启动条目后，停止，不能继续删除文件
建议修复安全模式，恢复钩子和HOOK，再进行删除
在我实验的机器上，SRENG只能改名然后命令行扫描，否则会重启


不完整解决方案：（系统盘NTFS格式）


结束进程koaulte.exe和其它可疑进程（冰刃,RKU,PSNULL等）
在该EXE文件所在目录下，建立批处理XXX.BAT并运行
内容如下
attrib koaulte.exe -s -h -r
del koaulte.exe
md koaulte.exe
cacls koaulte.exe /d administrators
清除IFEO
AppInit_DLLs 项使用SRENG编辑为空
删除注册表中启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe"（其它品种的不同启动项也需要清除）
其它启动项目需要分析报告来清除
使用XDELBOX等强力删除工具，讲可疑文件路径全部拷贝，XDELBOX中右键-剪贴板导入不检查路径
再右键重启立刻删除
重启进入XDELBOX的启动项目开始删除
删除后还是要用SRENG检查IFEO是否已经清除，没清掉一条一条删除或者用置顶帖里的工具
如果中毒已深，需要再全盘用杀毒软件扫描一下

SMTDEL重启删除选项进入后不能删除文件

这是个具体什么情况？？？

显示，启动信息被修改
然后停了
不能继续
可能因为机器本来就有毒（我只检查到几个AUTORUN）
情况比较复杂

那个中毒的电脑是否安装了硬盘版一键还原Ghost等类似的东西？
DOS删除因为比较特殊，存在一定的兼容问题

机器统一安装了一款还原设备
没有GHOST
不过存在多系统 2K server ,XP ,LINUX

尽量不要用于多系统，尤其是含有非windows系统的情况

恩，也没别的机子，想想别的法子

用重启删除模式赛，除了部分驱动，其它基本都能删除，除非病毒的驱动具有保护病毒的功能（我相信一般病毒不会加这个），当然病毒如果破坏延迟删除等等一些情况除外

恩，这算是观察不完整，多个机器的结果汇总了一下

我做了如下处理
删除了 koauolte.exe 文件本身
删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,360ary指向"%windir%\system32\koauolte.exe
删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ 下所有存在360ary, koauolte,koauolte.exe数据的键
删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604\ 下所有存在360ary, koauolte,koauolte.exe数据的键
删除 C:\WINDOWS\Prefetch\KOAUOLTE.EXE_05994EB1.pf
结果瑞星的主动防御和监控中心还是不能启动