斑竹进来快lsas32.exe怎么杀啊求9999999进来看内容！！55555大问题~ bbs.ikaka.com

whale879879 - 2005-8-18 9:03:00

W32.Qdens.E是一种通过QQ或TM消息进行传播的新型蠕虫病毒。

　　病毒名称：W32.Qdens.E
　　病毒性质：蠕虫
　　文件大小：27305字节

　　感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

　　损害情况：低
　　风险等级：中
　　传播速度：中

　　症状：

　　1、复制自身在系统文件夹system或system32，文件名为lsas32.exe，图标为一裸女上半身形象。

　　2、新增注册表键值"678" = "%系统文件夹%\lsas32.exe"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run添加该键值的目的在于使病毒自动运行。

　　3、新增键值"(Default)" = "[DATE OF INFECTION]"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\TCPlus

　　4、试图删除以下注册表分支，以便替换掉较老版本的该类病毒（相当于病毒升级）

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\234

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\911

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\99

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\222

　　5、试图停止以下安全软件
　　kregex.exe
　　trojdie.kxp
　　fsService.exe
　　slserve.exe
　　Service.exe
　　system32.exe
　　assistse.exe
　　ravmon.exe
　　ravtimer.exe
　　rfw.exe
　　kavpfw.exe
　　kpfwsvc.exe
　　kavstart.exe
　　kwatch.exe
　　kavplus.exe
　　mailmon.exe
　　kpopmon.exe
　　kwatchui.exe
　　kavsvc.exe
　　kvapfw.exe
　　kvfw.exe
　　kvmonxp.kxp
　　kvsrvxp.exe
　　kvxp.kxp
　　kvcenter.kxp
　　defwatch.exe
　　rtvscan.exe
　　ccapp.exe
　　ccsetmgr.exe
　　vptray.exe
　　passwordguard.exe
　　eghost.exe
　　iparmor.exe
　　pfw.exe
　　teregpct.exe
　　dfvsnet.exe
　　netbargp.exe
　　nmain.exe
　　navw32.exe
　　kavsvcui.exe
　　kav32.exe

　　6、监听操作系统中带有以下文字的程序，这些文字可能是简体或者繁体中文，也可以是拼音：
　　Liaotianzhong
　　Jiaotanzhong
　　Fasong xinxi
　　聊天中
　　交谈中
　　发送消息
　　交談中
　　發送消息

　　7、如果该病毒监听到有以上字符，即搜索到以下文件并运行
　　qq.exe
　　tm.exe

　　8、通过以上软件发送病毒的复制品到另一个用户的系统

但是用什么都查不到毒怎么办啊？？？？？？？？？？

命运里の金色 - 2005-8-18 9:07:00

感染症状：

系统进程出现这3个：
rav32.exe
assiste.exe
lsas32.exe
并自动向QQ好友发送病毒自身。
以EXE结尾，名字变化多端，属于很具诱惑力的那些＃￥＃￥￥￥.exe

任务管理器中结束这两个进程
rav32.exe
assiste.exe
lsas32.exe

清除病毒残留：

删除的时候注意（看我图）一定要去掉 “隐藏受保护的系统文件（**）
这个项目的勾
看看你的设置和我的有什么的不同
设置好了就点“确定”

好了。。你可以去系统目录中找那几个文件。。一一删掉。

到系统目录中删
C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
C:\WINDOWS\System32\lsas32.exe

最后：
打开你的注册表，
方法：
开始－》运行－－》regedit
一步步打开：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
好了，到了这里您就发现，病毒是通过这个方式启动自身的。

还有一个地方：
c:\windowe\temp 目录下的文件。呵呵见到了吧。。
删不删看您了。

分析过程：
（感谢 ─╄網事如风提供样本给我，才有这个东西的出现。）

运行后系统进程多了个 lsas32.exe
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
下多了个启动项。
lsas32.exe 连接网络。。下载其他另外两个文件。并运行。
系统增加两个进程：
rav32.exe
assiste.exe

相应的注册表位置增加启动！

转贴霏凡

附件: 414758200581892026.jpg

命运里の金色 - 2005-8-18 9:21:00

附件: 414758200581892105.gif

命运里の金色 - 2005-8-18 9:42:00

你有什么不明白的,你就问呀，相信有很多好心人都会回复你的

whale879879 - 2005-8-18 9:46:00

【回复“命运里の金色”的帖子】
那图的位置在哪啊

命运里の金色 - 2005-8-18 9:57:00

C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
C:\WINDOWS\System32\lsas32.exe
都在system32下

whale879879 - 2005-8-18 10:02:00

【回复“命运里の金色”的帖子】
那图的设置位置在哪啊
C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
找不到啊？

命运里の金色 - 2005-8-18 10:15:00

文件夹选项

附件: 4147582005818101550.jpg

命运里の金色 - 2005-8-18 10:16:00

选查看

附件: 4147582005818101655.jpg

whale879879 - 2005-8-18 10:34:00

【回复“命运里の金色”的帖子】
对啊都全对啊~~~但是还是没有啊？？？

CrossVirus - 2005-8-18 11:00:00

C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
可能是其他病毒,删除C:\WINDOWS\System32\lsas32.exe
及其注册表启动项.

whale879879 - 2005-8-18 12:59:00

【回复“CrossVirus”的帖子】
那个TEMP那个文件删除不了，上QQ时候好像不会再说有病毒的信息，但TEMP会自动生产文件

whale879879 - 2005-8-18 13:00:00

【回复“CrossVirus”的帖子】
那个TEMP那个文件删除不了，上QQ时候好像不会再说有病毒的信息，但TEMP会自动生产文件怎么办

独孤豪侠 - 2005-8-18 13:10:00

关闭系统还原

瑞星卡卡安全论坛