下文来自多个网友文章,我将其进行汇总总结,希望对大家有所帮助!
avp.exe是卡巴斯基杀毒软件的相关程序。一个是系统托盘图标进程,一个是卡巴主程序进程。(见本页下)但如果你的系统没有安装该软件,则可能是将死者病毒的文件,它本身是一个压缩文件,如果打开压缩文件,就会变成136kb的文件。此病毒是用visual basic编写,且经过压缩软件upx压缩,反解压工具处理,使之用原始的upx不能解压。由于是vb编写的病毒,它运行时就需要一个vb的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用户则会幸免于难。
运行该样本后,该样本借助看图软件(本机为acdsee)打开,为一美女图片
释放文件:
%system%hs4viewer.dll
%windir%avp.exe
还有其他一些完成使命后自我删除的文件
%system%delplme.bat
%documents and settings%计算机名local settingstemprarsfx0.jpg
%documents and settings%计算机名local settingstemprarsfx0server.exe
.....
添加系统服务
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
指向%windir%avp.exe
加载驱动(系统正常文件,处理时别动它)
[hkey_local_machinesystemcontrolset003servicesws2ifsl]
%system%driversws2ifsl.sys
作恶特点:
1、avp.exe冒充卡巴斯基的正常进程
2、修改spi,添加hs4viewer.dll,这个难以说清楚,跟以前的流氓软件roogoo差不多,看hijackthis和sreng日志体现吧
winsock提供者
msafd tcpip [tcp/ip]
c:windowssystem32hs4viewer.dll(n/a, n/a)
o10 - unknown file in winsock lsp: %system%hs4viewer.dll
解决过程:
1、清除掉病毒avp.exe
如果装有卡巴斯基,可以使用procexp来判断哪个avp.exe是病毒进程,终止该进程后,删除avp.exe以及其添加的注册表信息,如
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
%windir%avp.exe
要是不嫌麻烦,可以先删除其创建的注册表服务信息,然后重启,再删除avp.exe
2、使用lspfix.exe或其他工具来解决掉hs4viewer.dll
这个尤其要注意,不要蛮干,别搞的上不了网,个人习惯使用lspfix.exe,使用介绍以及其他相关事项在这里
lspfix处理完毕后,再手工删除%system%hs4viewer.dll
点击下载lspfix
来自:PROCESSLIB.NET
进程文件: avp.exe
进程名称: Trojan.W32.Depress
英文描述: avp.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
进程位置: unknown
程序用途: unknown
作者: unknown
属于: Trojan.W32.Depress
安全等级 (0-5): N/A (N/A无危险 5最危险)
间碟软件: 否
广告软件: 否
病毒: 是
木马: 是
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 是
一位网友的观点:
首先一点,我认为杀毒软件本身也是一种病毒软件!也许这种解释不够严谨,当然这只能代表我个人的观点。至于你所说的avp.exe进程对应的system和用户登陆名,我也看见了!如果卡巴当作是一种病毒程序的话,那就能理解这两个多出来的东东是不是有问题了。如果你将卡巴卸载后你会发现这些进程会自然消失。虽然网上有些网友说由于卸载了卡巴后机器出现蓝屏或其他的什么状况,这些均属于个别现象。我上网看了很多有关安装卡巴6后出现此类情况的论坛,大家都发现了这个问题,这就说明这是安装卡巴后的正常反应!
另外,我还想说一点,就是所有安装过卡巴的朋友都会友的一种感觉,虽然我是卡巴的一位用友,但我还是想告诉大家一件事,安装卡巴后你的系统,无论是从开机的启动速度,还是从上网制图或稍作较大处理时,你会明显该感觉到你机器的速度在一点一点的缓慢,(当然,这是大多数杀毒软件的特性)但这是由于什么原因引起的,你们注意过么,实际上这是卡巴在使用挂钩(Hook)在插入DLL。
通常我们熟知的病毒,大都有以下两个特点,
●A.导致系统被破坏或运行速度降低
●B.利用各种技术手段对其自身进行隐藏或实现某种功能(包括前面提到的Hook插入进程技术
尤其是木马更是使然,而我们的卡巴也不例外的承担了这个重要的角色,所以说它是病毒也不过分,可是卡巴的官方网站一直辩称是由于其“杀毒多么多么彻底、多么多么完全”所造成的。我前两天看过了一篇网友发来的文章,他个人在安装卡巴后,利用几种进程测试软件(Advanced Process Manipulation简称“APM”)/Process Explorer(简称“PE”)/超然进程管理器(简称“超然”)/Dependency Walker(简称“Depends”))测试后发现,卡巴的确有降系统性能降低的表现,所以我说卡巴因该算是一种病毒!也许我说的这些会让忠实于卡巴的朋友觉得我是在诋毁卡巴,但是如果你也进行一次比队后,你也会有我同样的感受!在此,我想对这些朋友说声抱歉!因为这是事实!
以下是该名网友的测试结果与评论;
http://bbs.et8.net/bbs/showthread.php?t=629970
以下是卡巴的主页:
http://www.kaspersky.com.cn/KL-AboutUs/news2005/02n/0502032.htm