关于进程avp.exe

最新推荐文章于 2024-09-09 14:40:40 发布
最新推荐文章于 2024-09-09 14:40:40 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 操作系统及其安全 文章标签: system 杀毒软件 passwords hook 测试 vb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whiteH/article/details/4048547
版权

下文来自多个网友文章,我将其进行汇总总结,希望对大家有所帮助!

  

 

 

avp.exe是卡巴斯基杀毒软件的相关程序。一个是系统托盘图标进程,一个是卡巴主程序进程。(见本页下)但如果你的系统没有安装该软件,则可能是将死者病毒的文件,它本身是一个压缩文件,如果打开压缩文件,就会变成136kb的文件。此病毒是用visual basic编写,且经过压缩软件upx压缩,反解压工具处理,使之用原始的upx不能解压。由于是vb编写的病毒,它运行时就需要一个vb的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用户则会幸免于难。

  运行该样本后,该样本借助看图软件(本机为acdsee)打开,为一美女图片

  释放文件:
  %system%hs4viewer.dll

  %windir%avp.exe

  还有其他一些完成使命后自我删除的文件

  %system%delplme.bat

  %documents and settings%计算机名local settingstemprarsfx0.jpg

  %documents and settings%计算机名local settingstemprarsfx0server.exe

  .....

  添加系统服务

  [hkey_local_machinesystemcontrolset003servicesvgadown]

  [hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

  指向%windir%avp.exe

  加载驱动(系统正常文件,处理时别动它)

  [hkey_local_machinesystemcontrolset003servicesws2ifsl]

  %system%driversws2ifsl.sys

  作恶特点:
  1、avp.exe冒充卡巴斯基的正常进程

  2、修改spi,添加hs4viewer.dll,这个难以说清楚,跟以前的流氓软件roogoo差不多,看hijackthis和sreng日志体现吧

  winsock提供者

  msafd tcpip [tcp/ip]

  c:windowssystem32hs4viewer.dll(n/a, n/a)

  o10 - unknown file in winsock lsp: %system%hs4viewer.dll

  解决过程:
  1、清除掉病毒avp.exe

  如果装有卡巴斯基,可以使用procexp来判断哪个avp.exe是病毒进程,终止该进程后,删除avp.exe以及其添加的注册表信息,如

  [hkey_local_machinesystemcontrolset003servicesvgadown]

  [hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

  %windir%avp.exe

  要是不嫌麻烦,可以先删除其创建的注册表服务信息,然后重启,再删除avp.exe

  2、使用lspfix.exe或其他工具来解决掉hs4viewer.dll

  这个尤其要注意,不要蛮干,别搞的上不了网,个人习惯使用lspfix.exe,使用介绍以及其他相关事项在这里

  lspfix处理完毕后,再手工删除%system%hs4viewer.dll

  点击下载lspfix

 

 

 

来自:PROCESSLIB.NET
进程文件: avp.exe
进程名称: Trojan.W32.Depress
英文描述: avp.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

进程位置: unknown
程序用途: unknown  
作者: unknown
属于: Trojan.W32.Depress  
 
安全等级 (0-5): N/A (N/A无危险 5最危险)
间碟软件: 否
广告软件: 否
病毒: 是
木马: 是
 
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 是

 

 

 

一位网友的观点:
首先一点,我认为杀毒软件本身也是一种病毒软件!也许这种解释不够严谨,当然这只能代表我个人的观点。至于你所说的avp.exe进程对应的system和用户登陆名,我也看见了!如果卡巴当作是一种病毒程序的话,那就能理解这两个多出来的东东是不是有问题了。如果你将卡巴卸载后你会发现这些进程会自然消失。虽然网上有些网友说由于卸载了卡巴后机器出现蓝屏或其他的什么状况,这些均属于个别现象。我上网看了很多有关安装卡巴6后出现此类情况的论坛,大家都发现了这个问题,这就说明这是安装卡巴后的正常反应!  
  另外,我还想说一点,就是所有安装过卡巴的朋友都会友的一种感觉,虽然我是卡巴的一位用友,但我还是想告诉大家一件事,安装卡巴后你的系统,无论是从开机的启动速度,还是从上网制图或稍作较大处理时,你会明显该感觉到你机器的速度在一点一点的缓慢,(当然,这是大多数杀毒软件的特性)但这是由于什么原因引起的,你们注意过么,实际上这是卡巴在使用挂钩(Hook)在插入DLL。  
  通常我们熟知的病毒,大都有以下两个特点,  
  ●A.导致系统被破坏或运行速度降低  
  ●B.利用各种技术手段对其自身进行隐藏或实现某种功能(包括前面提到的Hook插入进程技术  
  尤其是木马更是使然,而我们的卡巴也不例外的承担了这个重要的角色,所以说它是病毒也不过分,可是卡巴的官方网站一直辩称是由于其“杀毒多么多么彻底、多么多么完全”所造成的。我前两天看过了一篇网友发来的文章,他个人在安装卡巴后,利用几种进程测试软件(Advanced   Process   Manipulation简称“APM”)/Process   Explorer(简称“PE”)/超然进程管理器(简称“超然”)/Dependency   Walker(简称“Depends”))测试后发现,卡巴的确有降系统性能降低的表现,所以我说卡巴因该算是一种病毒!也许我说的这些会让忠实于卡巴的朋友觉得我是在诋毁卡巴,但是如果你也进行一次比队后,你也会有我同样的感受!在此,我想对这些朋友说声抱歉!因为这是事实!  
   
   
   
  以下是该名网友的测试结果与评论;  
  http://bbs.et8.net/bbs/showthread.php?t=629970  
   
   
   
  以下是卡巴的主页:  
  http://www.kaspersky.com.cn/KL-AboutUs/news2005/02n/0502032.htm  
   

whiteH
关注
专栏目录
实战avp.exe病毒
ilikethis123456的专栏
04-18 946
实战avp.exe病毒自己算是被这个东西折腾怕了,到目前为止算是全部清除,但是终究还是不知道什么时候感染的,估计是前两天下了一段VB的源代码,之后感染的;据网上某些人的说法,不安装VB的人是可以避免这个讨厌的东西的,因为其借助VB下msvbm60.dll来启动C盘根目录下的avp.exe文件(这个自己做过一个傀儡文件做过试验,如果彻底清除VB,尤其是那个文件之后,avp是无法启动的) 网友
中招avp.exe***病毒
weixin_34302798的博客
04-01 121
今天上网时突然感觉网速特慢,像中招的迹象 ,打开任务管理器一看果然是中招了 cpu使用100%更离谱的是进程数居然达到了600多,大部分是avp.exe, 这个avp.exe不就是卡巴斯基的进程吗?可我并没有装卡巴啊!而且还出现这么多,有点发晕。 心急之下赶紧用***清道夫扫描进程,可是竟然没有扫描出***进程!汗!没办法重...
彻底解决卡巴斯基6.0应用程序错误(avp.exe应用程序错误)
ASP DOT NET
11-28 8948
 近装了卡巴6.0中文版,谁知使用了一会就内存报错,(该内存不能为READ。。什么的)并自动终止了进程,这种错误一般来说是因为程序引用了错误的内存指针引起的,本人很是不解,难到大名鼎鼎的AVP也会犯这种低级错误?经过本人一翻研究,终于找到了罪亏祸手-drwtsn32通常情况下,卡巴6.0中文版报 AVP.EXE应用程序错误,该内存不能为“READ”的错误是由于卡巴自身的防保护机制引起的,为了防止程
关于"不能运行所有杀毒类程序(如:mmsk.exe rav.exe avp.exe...)的问题"(镜像劫持)
Flashlm专栏
06-16 2563
  木马杀客的主程式mmsk.exe,瑞星rav.exe,卡巴斯基的avp.exe等等。所有打 开这些程式都会出现类似“Windows找不到文件c:/ program file/rsing/rav/rav.exe” 。事实是这些文件都存在,且可执行程式关联都没有问题。  我后想想会不会是病毒改了什么注册表面使得这些都不能运行。我就试着用木马杀 客改了其主程式的名称mmsk.exe为任意名称mmmm
rsvp.exe,AdskScSrv.exe ,avp.exe
ajwh64482的博客
11-21 111
rsvp.exe进程文件: rsvp 或者 rsvp.exe进程名称: Microsoft RSVP 描述:rsvp.exe是用于保证客户端与服务端的音频和视频流质量的服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 出品者: Microsoft属于:Microsoft Windows Operating System 系统进程: 是后台程序: 是使用网络...
80端口被java.exe占用,查看谁占用了80端口
weixin_33781129的博客
03-29 255
开始–运行–cmd 进入命令提示符 输入netstat -ano 即可看到所有连接的PID 之后在任务管理器中找到这个PID所对应的程序如果任务管理器中没有PID这一项,可以在任务管理器中选”查看”-”选择列”经常,我们在启动应用的时候发现系统需要的端口被别的程序占用,如何知道谁占有了我们需要的端口,很多人都比较头疼,下面就介绍一种非常简单的方法,希望对大家有用。我们需要确定谁占用了我们的80端口...
常见病毒、木马进程速查表 .doc
11-01
3. **Avp.exe**、**Avp32.exe** 和其他以 Avp 开头的进程:这些通常是卡巴斯基反病毒软件的进程,但如果出现在异常情况下,可能表示被病毒或木马篡改。 4. **Msblast.exe**:这是著名的“冲击波”病毒,通过网络...
常见病毒、木马进程速查表
03-03
8. 将死者病毒 - Aplica32.exe、Avconsol.exeAvp.exeAvp32.exeAvpcc.exe、Msp.dll等 将死者病毒是一种病毒,可以感染计算机系统,使其出现异常行为。 9. Cain and Abel - Msabel32.exe Cain and Abel是一种...
查杀wincfg.exe病毒
nacl025的专栏
09-30 1840
    主要标志是开机以后自动弹出一个空白的记事本。在启动项和注册表里都找不到相应的启动项,用杀毒软件也清除不了,十分讨厌。该病毒为一种蠕虫病毒,其特征如下:蠕虫名称:Worm.Win32.Delf.aj(AVP)蠕虫别名:Trojan.Spy.UsbSpy.a、TrojanSpy.USBSpy.a蠕虫大小:47,104字节加壳方式:UPXMD5:07adddef653
WIN7 进程解释汇总
Zero++
05-05 4455
<br />【audiodg.exe】是Windows操作系统中控制音频的一个程序,此程序相关开发厂家Microsoft,属于Windows音频设备图形隔离程序,属系统进程,audiodg.exe进程的中文名字是Windows音频设备管理程序,程序具体位置在Windows操作系统C:/windows/audiodg.exe目录下<br /> <br />【avp.exe】是卡巴斯基杀毒软件的相关程序<br /> <br />【BCMWLTRY.EXE】是Broadcom公司无线网络相关软件<br /> <b
[zlmediakit ] testpusher 客户端拉取rtmp然后rtsp推送到服务器
突围
02-03 1240
testpusher 客户端A 拉取一个流 然后作为源 服务器A转发 然后A push到另外一个服务器B 这里测试,为了避免live555 annouce 失败,让A 拉取rtmp 后推送到B A 和B 都是zlmedikt 的,分别是testpusher exe和mediaserver exe MediaPusher 创建pusher 实体并观察 G:\NDDEV\RTCUtils\ZLMediaKit\src\Pusher\MediaPusher.cpp void MediaPus..
进程rundll32.exe和rundl132.exe
whiteH的专栏
07-25 859
进程文件:rundll32或者rundll32.exe 进程名称:microsoftrundll32 描述:rundll32.exe用于在内存中运行dll文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。出品者:microsoft corp. 属于:windows系统 系统进程:是 后台进程:是 使用网络:否 硬件相关:否 常见错误:未知
进程wuanclt.exe 和wuaucll.exe
whiteH的专栏
07-25 773
进程名称: wuanclt.exe 进程分析: 木马信息:进程位置: unknown 程序用途: unknown   作者: unknown 属于: unknown   安全等级 (0-5): 2 (N/A无危险 5最危险) 间碟软件: 否 广告软件: 否 病毒: 是 木马: 否 系统进程: 否 应用程序: 否 后台程序: 否 使用访问:
清理系统
whiteH的专栏
04-15 769
来自百度网友的提问和解答,我作以摘抄汇总。问题:电脑系统安装好以后一直没有清理系统盘,当然我是不在系统盘里面装应用软件的,现在系统盘已经很大了,估计再过几天就全满了, 想要手动清理下,删掉一些没有用的文件,忘高手指点,谢啦~~问题补充:本人系统为windows xp答案一一、从“我的文档”开始清理 “我的文档”在系统中称为“Documents and Settings”,这也是
禁用u盘自动播放
whiteH的专栏
04-15 659
 方法一                                                                                                                           我的电脑(右键)——管理——服务,把其中的“Shell Hardware Detection”这一项禁用掉就可以了。 这种方法主要用于使用
js知识总结
爱敲代码的卡拉米的博客
09-09 722
JavaScript(JS)是一种广泛使用的编程语言,主要用于网页开发,但也适用于非浏览器环境(如Node.js)。它支持面向对象、命令式、声明式(如通过函数式编程)和事件驱动式编程风格。
软件测试 - 性能测试 (实战 - 基于场景的性能测试-博客系统)(⼯具 - JMeter )
AZK707的博客
09-09 1201
在列表页点击不同的文章就会进入详情页,不同的详情页取决于唯一的 blogid也就是说,blogid是会变化的,并且如果删除掉一篇文章后,这个blogid也就失效了,无法请求成功。于是就需要对详情页的请求参数进行设置。由于列表页的响应数据就是所有的博客,从而可以把列表响应的blogid提取出来,作为详情页的参数值。于是乎,使用json提取器 和 http请求头设置但有一个问题,假设,这里有很多个页面,每个页面都要测试
网页版聊天室--自动化测试项目实战
最新发布
m0_64529004的博客
09-09 487
网页版聊天室-自动化测试项目实战
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值