发现进程里出现了lsas32.exe这个进程

搜索下,发现是病毒叫什么W32.Qdens.E

5555555555555

在安全模式下,自己手动杀毒半天,也没成功

谁能教教我啊!

杀毒报告发上来

汗,我用的Norton,查毒显示没毒

但,我明显发现机子内存很诡异,于是查看了下进程,发现lsas32.exe这个很诡异

后来用google搜了下,得到如下信息:
W32.Qdens.E是一种通过QQ或TM消息进行传播的新型蠕虫病毒。

　　病毒名称：W32.Qdens.E
　　病毒性质：蠕虫
　　文件大小：27305字节

　　感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

　　损害情况：低
　　风险等级：中
　　传播速度：中

　　症状：

　　1、复制自身在系统文件夹system或system32，文件名为lsas32.exe，图标为一裸女上半身形象。(不知你的是不是这样的)

　　2、新增注册表键值"678" = "%系统文件夹%\lsas32.exe"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run添加该键值的目的在于使病毒自动运行。

　　3、新增键值"(Default)" = "[DATE OF INFECTION]"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\TCPlus

　　4、试图删除以下注册表分支，以便替换掉较老版本的该类病毒（相当于病毒升级）

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\234

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\911

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\99

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\222

　　5、试图停止以下安全软件
　　kregex.exe
　　trojdie.kxp
　　fsService.exe
　　slserve.exe
　　Service.exe
　　system32.exe
　　assistse.exe
　　ravmon.exe
　　ravtimer.exe
　　rfw.exe
　　kavpfw.exe
　　kpfwsvc.exe
　　kavstart.exe
　　kwatch.exe
　　kavplus.exe
　　mailmon.exe
　　kpopmon.exe
　　kwatchui.exe
　　kavsvc.exe
　　kvapfw.exe
　　kvfw.exe
　　kvmonxp.kxp
　　kvsrvxp.exe
　　kvxp.kxp
　　kvcenter.kxp
　　defwatch.exe
　　rtvscan.exe
　　ccapp.exe
　　ccsetmgr.exe
　　vptray.exe
　　passwordguard.exe
　　eghost.exe
　　iparmor.exe
　　pfw.exe
　　teregpct.exe
　　dfvsnet.exe
　　netbargp.exe
　　nmain.exe
　　navw32.exe
　　kavsvcui.exe
　　kav32.exe

　　6、监听操作系统中带有以下文字的程序，这些文字可能是简体或者繁体中文，也可以是拼音：
　　Liaotianzhong
　　Jiaotanzhong
　　Fasong xinxi
　　聊天中
　　交谈中
　　发送消息
　　交談中
　　發送消息

　　7、如果该病毒监听到有以上字符，即搜索到以下文件并运行
　　qq.exe
　　tm.exe

　　8、通过以上软件发送病毒的复制品到另一个用户的系统


　　处理方案：

　　1、关闭系统还原

　　2、删除病毒生成文件lsas32.exe

　　3、删除上述注册表新增部分


________________________________
症状确实如上
我按照上面所说,杀毒
1 系统是window2000,好象不用关闭自动还原(汗,我也不是很清楚)
故跳过
2 删除了这个lsas32.exe文件
3 在安全模式下,就注册表中删除了上文症传中所题的的2,3列出的健值


但发现重启后,还是有这个病毒

而且它会自动把我杀毒软件关闭

_________

以上就是我所做的,谢谢指导!

你扫个HijackThis日志上来

:)

谢谢你耐心的回答

稍等会会啊,很丢脸的说,我还没安装那个HijackThis

现在马上下一个,然后扫描上来

再次谢谢你

Logfile of HijackThis v1.97.2
Scan saved at 14:08:56, on 2005-8-17
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.exe
D:\norton\defwatch.exe
C:\WINNT\System32\svchost.exe
D:\matlab65\matlab\webserver\bin\win32\matlabserver.exe
D:\norton\rtvscan.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rav32.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\assiste.exe
C:\WINNT\anvshell.exe
C:\Program Files\Creative\News\NewsUpd.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\Rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\wuauclt.exe
E:\HijackThis.exe

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\JetCar-v1.65\jccatch.dll
O2 - BHO: (no name) - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - (no file)
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\
O3 - Toolbar: ????? - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\zh-cn\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [vptray] D:\norton\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Super Rabbit SRRestore] ; D:\
O4 - HKLM\..\Run: [SerchWeb] Rundll32 Help3721.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32
O4 - HKLM\..\Run: [] ;
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\RunServices: [Services] C:\Program Files\Common Files\services.exe
O4 - HKCU\..\Run: [Kuro_M3] ;
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: gsview32.ini
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\JETCAR~1.65\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\JETCAR~1.65\jc_all.htm
O8 - Extra context menu item: 发送图片到手机(&M) - http://sms.sina.com.cn/diy/send.html?from=20000001
O8 - Extra context menu item: 导出当前页到超星阅览器(&A) - D:\
O8 - Extra context menu item: 导出选中部分到超星阅览器(&S) - D:\
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\qq\SendMMS.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: QQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://www.etvnet.net/plugin/PowerPlr.ocx
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {8135EF31-FE8C-4C6E-A18A-F59944C3A488} - http://ddddl.dudu.com/ddd/channel/spockx-channel.cab
O16 - DPF: {D1056C7C-E30B-4234-9A4B-7E1038B167A7} (RootCertInstall Class) - https://mybank.icbc.com.cn/icbc/perbank/RootCert.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D52BFAA6-7D60-40B2-B086-D883840839D3}: NameServer = 202.96.134.133,202.96.154.8

__________________________________________________
以上为扫描结果

奇怪了，那个lsas32.exe怎么没在进程里了，但在winnt/system32里，我还看见它了，一个很恶心的图标

你的扫描结果不全,017项以后的都没有啊
用新版的HijcakThis附件里有.

谢谢上面的

我再扫描下下

Logfile of HijackThis v1.99.1
Scan saved at 14:16:24, on 2005-8-17
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.exe
D:\norton\defwatch.exe
C:\WINNT\System32\svchost.exe
D:\matlab65\matlab\webserver\bin\win32\matlabserver.exe
D:\norton\rtvscan.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rav32.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\assiste.exe
C:\WINNT\anvshell.exe
C:\Program Files\Creative\News\NewsUpd.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\Rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\regedit.exe
F:\5266442005817141849\HijackThis\HijackThis.exe
C:\WINNT\system32\UPEngine.EXE

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\JetCar-v1.65\jccatch.dll
O2 - BHO: (no name) - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\金鹕山娇快煲译隲\IEBand.dll (file missing)
O3 - Toolbar: MSN 工具栏 - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\zh-cn\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [vptray] D:\norton\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Super Rabbit SRRestore] ; D:\超级兔~1\MagicSet\SRRest.exe /autosave
O4 - HKLM\..\Run: [SerchWeb] Rundll32 Help3721.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32
O4 - HKLM\..\Run: [] ;
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\RunServices: [Services] C:\Program Files\Common Files\services.exe
O4 - HKCU\..\Run: [Kuro_M3] ;
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: 桌面传媒.lnk = C:\WINNT\system32\rundll32.exe
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\JETCAR~1.65\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\JETCAR~1.65\jc_all.htm
O8 - Extra context menu item: 发送图片到手机(&M) - http://sms.sina.com.cn/diy/send.html?from=20000001
O8 - Extra context menu item: 导出当前页到超星阅览器(&A) - D:\超星图书管\SSREADER36\ss_all.htm
O8 - Extra context menu item: 导出选中部分到超星阅览器(&S) - D:\超星图书管\SSREADER36\ss_select.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\qq\SendMMS.htm
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~2\visio\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\qq\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\qq\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar-v1.65\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar-v1.65\flashget.exe
O9 - Extra button: 百万图库 - {6713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www.pic.con.cn (file missing) (HKCU)
O9 - Extra button: 铃声图片下载 - {7713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www.7169.com/sms/index.htm (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\ws2_64.dll
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://www.etvnet.net/plugin/PowerPlr.ocx
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {8135EF31-FE8C-4C6E-A18A-F59944C3A488} - http://ddddl.dudu.com/ddd/channel/spockx-channel.cab
O16 - DPF: {D1056C7C-E30B-4234-9A4B-7E1038B167A7} (RootCertInstall Class) - https://mybank.icbc.com.cn/icbc/perbank/RootCert.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D52BFAA6-7D60-40B2-B086-D883840839D3}: NameServer = 202.96.134.133,202.96.154.8
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O18 - Protocol: mbox - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - D:\norton\defwatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\matlab65\matlab\webserver\bin\win32\matlabserver.exe
O23 - Service: Norton AntiVirus 客户端 (Norton AntiVirus Server) - Symantec Corporation - D:\norton\rtvscan.exe

——————————
重新扫描结果

：）

O4 - HKLM\..\RunServices: [Services] C:\Program Files\Common Files\services.exe
这个我不太清楚,不过我想正常应该不在这个文件夹下吧.