-
avp.exe
鎖定
avp.exe屬於Kaspersky卡巴斯基殺毒軟件相關程序。有兩個avp.exe屬正常現象,一個用户名是電腦名字,一個用户名是系統,一個是實時監控的進程(也就是監控其他的),另一個是卡巴自我保護的進程,有時病毒也會以該進程名稱偽裝。注意avp.exe也有可能是將死者病毒的一部分,本身是一個壓縮文件,如果打開壓縮文件,就會變成136kb的文件。此病毒是用visual basic編寫,且經過壓縮軟件upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態鏈接庫msvbvm60.dll,若用户的計算機裏沒這個文件,病毒就無法被激活,這些用户則會倖免於難。
- 外文名
- avp.exe
- 出品者
- 卡巴斯基工作室
avp.exe簡介
描述:avp.exe是卡巴斯基殺毒軟件的相關程序。
後台進程:是
使用網絡:是
硬件相關:否
常見錯誤:未知
內存使用:1,564K 20,000K
安全等級:0
間諜軟件:否
廣告軟件:否
病毒:否
木馬:否
進程文件: avp.exe or avp
進程名稱: Kaspersky Anti病毒 Module
描述:
avp.exe is a process belonging to Kaspersky Internet Security Suite which protects your computer against Internet-bound threats such as spyware and trojans which can be distributed through e-mail or attack directly to the computer allowing unauthorized access to your computer. This program is important for the stable and secure running of your computer and should not be terminated.
Note: avp.exe is a process which is registered as a trojan. This 木馬 allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
Determining whether avp.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.
Recommendation for avp.exe:
avp.exe should not be disabled, required for essential applications to work properly.
Author: Kaspersky Labs
Part Of: Kaspersky Internet Security Suite
Memory Usage: N/A
System Process: Yes
Background Process: No
Uses Network: No
Hardware Related: No
Common avp.exe Errors: N/A
ImTOO 3GP Converter 的一個組件
特別提示:本進程通常只會隨着卡巴斯基而一起被安裝,並且是有兩個同時運行。這是正常現象
avp.exe病毒或木馬進程avp.exe
avp.exe基本信息
進程文件:avp.exe |
文件版本:未知N/A |
文件大小:158,208 字節 |
所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 |
所在位置:C:\WINDOWS |
MD5校驗碼:897E8B44DCD47958E27CD89AF3334E13 |
進程名稱:Trojan.Win32.Agent.awz; Trojan.Win32.Delf.rsx |
描 述:avp.exe是Trojan.Win32.Agent.awz木馬相關程序。 |
出 品 者:未知N/A |
屬 於:未知N/A |
系統進程:否 |
後台程序:是 |
使用網絡:是 |
硬件相關:否 |
常見錯誤:未知N/A |
內存使用:未知N/A |
風險等級(0-5):4 |
間諜軟件:否 |
廣告軟件:否 |
病毒文件:否 |
木馬文件:是 |
avp.exe技術分析
如果你的系統沒有安裝卡巴斯基殺毒軟件,則可能是病毒的文件,它本身是一個壓縮文件,如果打開壓縮文件,就會變成136kb的文件。該病毒以avp.exe進程名稱偽裝,這時avp.exe是病毒的進程名稱。此病毒是用visual basic編寫,且經過壓縮軟件upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態鏈接庫msvbvm60.dll,若用户的計算機裏沒這個文件,病毒就無法被激活,這些用户則會倖免於難。
運行該樣本後,該樣本藉助看圖軟件(本機為acdsee)打開,為一美女圖片
釋放文件:
%system%hs4viewer.dll
%windir%avp.exe
還有其他一些完成使命後自我刪除的文件
%system%delplme.bat
%documents and settings%計算機名local settingstemprarsfx0.jpg
%documents and settings%計算機名local settingstemprarsfx0server.exe
……
添加系統服務
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
指向%windir%avp.exe
加載驅動(系統正常文件,處理時別動它)
[hkey_local_machinesystemcontrolset003servicesws2ifsl]
%system%driversws2ifsl.sys
avp.exe作惡特點
1、avp.exe冒充卡巴斯基的正常進程
2、修改spi,添加hs4viewer.dll,這個難以説清楚,跟以前的流氓軟件roogoo差不多,看hijackthis和sreng日誌體現吧
winsock提供者
msafd tcpip [tcp/ip]
c:windowssystem32hs4viewer.dll(n/a, n/a)
o10 - unknown file in winsock lsp: %system%hs4viewer.dll
avp.exe解決過程
1、清除掉病毒avp.exe
如果裝有卡巴斯基,可以使用procexp來判斷哪個avp.exe是病毒進程,終止該進程後,刪除avp.exe以及其添加的註冊表信息,如
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
%windir%avp.exe
要是不嫌麻煩,可以先刪除其創建的註冊表服務信息,然後重啓,再刪除avp.exe
2、使用lspfix.exe或其他工具來解決掉hs4viewer.dll
這個尤其要注意,不要蠻幹,別搞的上不了網,個人習慣使用lspfix.exe,使用介紹以及其他相關事項在這裏
lspfix處理完畢後,再手工刪除%system%hs4viewer.dll
- 參考資料
-
- 1. Avp.exe是什麼進程?及Avp.exe病毒識別與常見問題介紹 .穆童博客 系統進程專題[引用日期2013-01-25]
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:33次歷史版本
- 最近更新: wintetdxf