W32.Qdens.E是一种通过QQ或TM消息进行传播的新型蠕虫病毒。

　　病毒名称：W32.Qdens.E
　　病毒性质：蠕虫
　　文件大小：27305字节

　　感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

　　损害情况：低
　　风险等级：中
　　传播速度：中

　　症状：

　　1、复制自身在系统文件夹system或system32，文件名为lsas32.exe，图标为一裸女上半身形象。

　　2、新增注册表键值"678" = "%系统文件夹%\lsas32.exe"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run添加该键值的目的在于使病毒自动运行。

　　3、新增键值"(Default)" = "[DATE OF INFECTION]"在以下注册表分支：HKEY_LOCAL_MACHINE\SOFTWARE\TCPlus

　　4、试图删除以下注册表分支，以便替换掉较老版本的该类病毒（相当于病毒升级）

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\234

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\911

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\99

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\222

　　5、试图停止以下安全软件
　　kregex.exe
　　trojdie.kxp
　　fsService.exe
　　slserve.exe
　　Service.exe
　　system32.exe
　　assistse.exe
　　ravmon.exe
　　ravtimer.exe
　　rfw.exe
　　kavpfw.exe
　　kpfwsvc.exe
　　kavstart.exe
　　kwatch.exe
　　kavplus.exe
　　mailmon.exe
　　kpopmon.exe
　　kwatchui.exe
　　kavsvc.exe
　　kvapfw.exe
　　kvfw.exe
　　kvmonxp.kxp
　　kvsrvxp.exe
　　kvxp.kxp
　　kvcenter.kxp
　　defwatch.exe
　　rtvscan.exe
　　ccapp.exe
　　ccsetmgr.exe
　　vptray.exe
　　passwordguard.exe
　　eghost.exe
　　iparmor.exe
　　pfw.exe
　　teregpct.exe
　　dfvsnet.exe
　　netbargp.exe
　　nmain.exe
　　navw32.exe
　　kavsvcui.exe
　　kav32.exe

　　6、监听操作系统中带有以下文字的程序，这些文字可能是简体或者繁体中文，也可以是拼音：
　　Liaotianzhong
　　Jiaotanzhong
　　Fasong xinxi
　　聊天中
　　交谈中
　　发送消息
　　交談中
　　發送消息

　　7、如果该病毒监听到有以上字符，即搜索到以下文件并运行
　　qq.exe
　　tm.exe

　　8、通过以上软件发送病毒的复制品到另一个用户的系统

但是用什么都查不到毒怎么办啊？？？？？？？？？？

感染症状：

系统进程出现这3个：
rav32.exe
assiste.exe
lsas32.exe
并自动向QQ好友发送病毒自身。
以EXE结尾，名字变化多端，属于很具诱惑力的那些＃￥＃￥￥￥.exe

任务管理器中结束这两个进程
rav32.exe
assiste.exe
lsas32.exe


清除病毒残留：

删除的时候注意（看我图）一定要去掉 “隐藏受保护的系统文件（**）
这个项目的勾
看看你的设置和我的有什么的不同
设置好了就点“确定”

好了。。你可以去系统目录中找那几个文件。。一一删掉。


到系统目录中删
C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
C:\WINDOWS\System32\lsas32.exe


最后：
打开你的注册表，
方法：
开始－》运行－－》regedit
一步步打开：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
好了，到了这里您就发现，病毒是通过这个方式启动自身的。

还有一个地方：
c:\windowe\temp 目录下的文件。呵呵 见到了吧。。
删不删看您了。


分析过程：
（感谢 ─╄網事如风 提供样本给我，才有这个东西的出现。）

运行后系统进程多了个 lsas32.exe
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
下多了个启动项。
lsas32.exe 连接网络。。下载其他另外两个文件。并运行。
系统增加两个进程：
rav32.exe
assiste.exe

相应的注册表位置增加启动！



转贴霏凡

你有什么不明白的,你就问呀，相信有很多好心人都会回复你的

【回复“命运里の金色”的帖子】
那图的位置在哪啊

C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
C:\WINDOWS\System32\lsas32.exe
都在system32下

【回复“命运里の金色”的帖子】
那图的设置位置在哪啊
C:\WINDOWS\System32\rav32.exe
C:\WINDOWS\System32\assiste.exe
找不到啊？

文件夹选项

选查看

【回复“命运里の金色”的帖子】
对啊都全对啊~~~但是还是没有啊？？？