扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年1月12日
关键字: avp.exe是什么 avp.exe病毒 avp.exe进程 avp.exe专杀 avp.exe avp.exe应用程序
2008年又是病毒疯狂的一年,病毒出现成翻番趋势,网游类木马更是上升到了一个可怕的地步,今天装备被盗,明天帐号不见,搞得网络中人心惶惶。网游玩家更是提心吊胆,深怕感染某种木马病毒程序,甚至不敢多开陌生网站,大有电脑专用,一门心思玩游戏的前景。
病毒分析
用户虽然要小心异异的进入网络,但木马病毒总是很不近人情,想方设法的感染电脑,这不最近笔者遇上了老马avp.exe hvsound2.dll作怪现象。所谓知已知彼方能百战不殆,只有全面了解病毒行凶过程,那才能将其从系统中赶出去。
病毒名称: Trojan.Win32.Agent.awz [exe](Kaspersky)
病毒别名: Trojan.Win32.Delf.rsx [exe](瑞星)
Trojan.PSW.Win32.OnlineGames.do [dll](瑞星)
Win32.PSWTroj.Maran.jh.239104 [dll](毒霸)
病毒大小: 158,208 字节
传播方式: 恶意网页下载,其它病毒或木马下载。
木马进驻
此木马是典型的网络游戏类木马,专门盗取游戏帐号,玩家如果遭遇此马一不小心即会蒙受损失。当此马感染用户计算机后,首先将自身病毒体释放到系统目录%Windows%\下生成avp.exe文件,并在%System%\生成hvsound2.dll库文件,成功进入后病毒会利用自带的批处理文件delplme.bat删除自身,其批处理内容如下:
@echo off
:loop
del "{原文件}"
if exist "{原文件}" goto loop
del delplme.bat
进军注册表
当木马完成上述自身隐藏步骤后,会在注册表分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown],下建立新键值,显示名:Audio Adapter其可执行的文件路径为%Windows%\avp.exe,并修改Winsock LSP供应者为MSAFD Tcpip [TCP/IP] %System%\hvsound2.dll及 MSAFD Tcpip [RAW/IP] %System%\hvsound2.dll文件。
小提示:Winsock LSP(Layered Service Provider)浏览器劫持,在网络中某些间谍软件会自行修改Winsock 2的设置进行浏览器劫,当网络产生流量时,信息都要通过所安装的间谍软件才能传到网络中,使的恶意用户能轻易获得所需敏感内容。
病毒清除
感染此木的用户也无须太急张,在升级计算机中病毒库的同时,也可以利用手工将其杀除,方法如下,首先进入注册表分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]将其下的木马服务键值删除,并进入C盘目录 %System%下将hvsound2.dll改名,当计算机重启后即进入到 %Windows%目录下将avp.exe删除,紧跟其后将%System%下重新命名的文件删除,最后在SREng软件中利用系统修复功能删除Winsock供应者中相对应的%System%\hvsound2.dll项目MSAFD Tcpip [TCP/IP],MSAFD Tcpip [RAW/IP]即可,或在SREng 系统修复-->winSock供应者点重置所有内容为默认值。SREng软件下载地址为:http://download.kztechs.com/files/sreng2.zip
小提示:SREng软件全名System Repair Engineer(SREng)是一款用于调整、修复系统的计算机安全辅助工具,可以让用户轻易察觉到系统故击和潜在的安全隐患并进行修复,其功能包含:启动项目控制、服务/驱动控制、文件关联修复及系统修复。
如果重启后网络不正常(打不开网页,网速变慢),可以使用WinsockFix等工具进行修复,下载地址为:http://www.onlinedown.net/soft/35272.htm
束语:木马历来被认为是安全界最大的天敌,其危害性远远超出了普通病毒的破坏,带来的损失往往是数字上的,例如网络银行帐号财产,股票的高买低卖,网游帐号装备等,基本是一去不复还,带给网民众多不安。其实当网民遇到问题时,应多留意其特征并进入互联网的搜索引擎进行查找,只有在了解其原理后,才能给予致命清理。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。