avp.exe

avp.exe屬於Kaspersky卡巴斯基防毒軟體相關程式。有兩個avp.exe屬正常現象,一個用戶名是電腦名字,一個用戶名是系統,一個是實時監控的進程(也就是監控其他的),另一個是卡巴自我保護的進程,有時病毒也會以該進程名稱偽裝。注意avp.exe也有可能是將死者病毒的一部分,本身是一個壓縮檔案,如果打開壓縮檔案,就會變成136kb的檔案。此病毒是用visual basic編寫,且經過壓縮軟體upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態程式庫msvbvm60.dll,若用戶的計算機里沒這個檔案,病毒就無法被激活,這些用戶則會幸免於難。

基本介紹

進程avp.exe簡介,病毒或木馬進程avp.exe,基本信息,技術分析,作惡特點,解決過程,

進程avp.exe簡介

卡巴斯基運行更新時,任務管理器會出現第三個avp.exe進程 用戶名是系統,並更新完成後自動退出。 進程檔案:avp.exe 進程名稱:avp
AVP進程AVP進程
描述:avp.exe是卡巴斯基防毒軟體的相關程式。
後台進程:是
使用網路:是
硬體相關:否
常見錯誤:未知
記憶體使用:1,564K 20,000K
安全等級:0
間諜軟體:否
廣告軟體:否
病毒:否
木馬:否
進程檔案: avp.exe or avp
進程名稱: Kaspersky Anti病毒 Module
描述:
avp.exe is a process belonging to Kaspersky Internet Security Suite which protects your computer against Internet-bound threats such as spyware and trojans which can be distributed through e-mail or attack directly to the computer allowing unauthorized access to your computer. This program is important for the stable and secure running of your computer and should not be terminated.
Note: avp.exe is a process which is registered as a trojan. This 木馬 allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
Determining whether avp.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.
Recommendation for avp.exe:
avp.exe should not be disabled, required for essential applications to work properly.
Author: Kaspersky Labs
Part Of: Kaspersky Internet Security Suite
Memory Usage: N/A
System Process: Yes
Background Process: No
Uses Network: No
Hardware Related: No
Common avp.exe Errors: N/A
ImTOO 3GP Converter 的一個組件
特別提示:本進程通常只會隨著卡巴斯基而一起被安裝,並且是有兩個同時運行。這是正常現象

病毒或木馬進程avp.exe

基本信息

進程檔案:avp.exe

檔案版本:未知N/A

檔案大小:158,208 位元組

所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

所在位置:C:\WINDOWS

MD5校驗碼:897E8B44DCD47958E27CD89AF3334E13

進程名稱:Trojan.Win32.Agent.awz; Trojan.Win32.Delf.rsx

描 述:avp.exe是Trojan.Win32.Agent.awz木馬相關程式。

出 品 者:未知N/A

屬 於:未知N/A

系統進程:

後台程式:

使用網路:

硬體相關:

常見錯誤:未知N/A

記憶體使用:未知N/A

風險等級(0-5):4

間諜軟體:

廣告軟體:

病毒檔案:

木馬檔案:

技術分析

如果你的系統沒有安裝卡巴斯基防毒軟體,則可能是病毒的檔案,它本身是一個壓縮檔案,如果打開壓縮檔案,就會變成136kb的檔案。該病毒以avp.exe進程名稱偽裝,這時avp.exe是病毒的進程名稱。此病毒是用visual basic編寫,且經過壓縮軟體upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態程式庫msvbvm60.dll,若用戶的計算機里沒這個檔案,病毒就無法被激活,這些用戶則會幸免於難。
運行該樣本後,該樣本藉助看圖軟體(本機為acdsee)打開,為一美女圖片
釋放檔案:
%system%hs4viewer.dll
%windir%avp.exe
還有其他一些完成使命後自我刪除的檔案
%system%delplme.bat
%documents and settings%計算機名local settingstemprarsfx0.jpg
%documents and settings%計算機名local settingstemprarsfx0server.exe
……
添加系統服務
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
指向%windir%avp.exe
載入驅動(系統正常檔案,處理時別動它)
[hkey_local_machinesystemcontrolset003servicesws2ifsl]
%system%driversws2ifsl.sys

作惡特點

1、avp.exe冒充卡巴斯基的正常進程
2、修改spi,添加hs4viewer.dll,這個難以說清楚,跟以前的流氓軟體roogoo差不多,看hijackthis和sreng日誌體現吧
winsock提供者
msafd tcpip [tcp/ip]
c:windowssystem32hs4viewer.dll(n/a, n/a)
o10 - unknown file in winsock lsp: %system%hs4viewer.dll

解決過程

1、清除掉病毒avp.exe
如果裝有卡巴斯基,可以使用procexp來判斷哪個avp.exe是病毒進程,終止該進程後,刪除avp.exe以及其添加的註冊表信息,如
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
%windir%avp.exe
要是不嫌麻煩,可以先刪除其創建的註冊表服務信息,然後重啟,再刪除avp.exe
2、使用lspfix.exe或其他工具來解決掉hs4viewer.dll
這個尤其要注意,不要蠻幹,別搞的上不了網,個人習慣使用lspfix.exe,使用介紹以及其他相關事項在這裡
lspfix處理完畢後,再手工刪除%system%hs4viewer.dll

相關詞條

熱門詞條

聯絡我們