清除木马 avp.exe hvsound2.dll指南

　　2008年又是病毒疯狂的一年，病毒出现成翻番趋势，网游类木马更是上升到了一个可怕的地步，今天装备被盗，明天帐号不见，搞得网络中人心惶惶。网游玩家更是提心吊胆，深怕感染某种木马病毒程序，甚至不敢多开陌生网站，大有电脑专用，一门心思玩游戏的前景。

　　病毒分析

　　用户虽然要小心异异的进入网络，但木马病毒总是很不近人情，想方设法的感染电脑，这不最近笔者遇上了老马avp.exe hvsound2.dll作怪现象。所谓知已知彼方能百战不殆，只有全面了解病毒行凶过程，那才能将其从系统中赶出去。

　　病毒名称： Trojan.Win32.Agent.awz [exe]（Kaspersky）

　　病毒别名： Trojan.Win32.Delf.rsx [exe]（瑞星）

　　Trojan.PSW.Win32.OnlineGames.do [dll]（瑞星）

　　Win32.PSWTroj.Maran.jh.239104 [dll]（毒霸）

　　病毒大小： 158,208 字节

　　传播方式： 恶意网页下载，其它病毒或木马下载。

　　木马进驻

　　此木马是典型的网络游戏类木马，专门盗取游戏帐号，玩家如果遭遇此马一不小心即会蒙受损失。当此马感染用户计算机后，首先将自身病毒体释放到系统目录%Windows%\下生成avp.exe文件，并在%System%\生成hvsound2.dll库文件，成功进入后病毒会利用自带的批处理文件delplme.bat删除自身，其批处理内容如下：

　　@echo off

　　:loop

　　del "{原文件}"

　　if exist "{原文件}" goto loop

　　del delplme.bat

　　进军注册表

　　当木马完成上述自身隐藏步骤后，会在注册表分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]，下建立新键值，显示名：Audio Adapter其可执行的文件路径为%Windows%\avp.exe，并修改Winsock LSP供应者为MSAFD Tcpip [TCP/IP] %System%\hvsound2.dll及 MSAFD Tcpip [RAW/IP] %System%\hvsound2.dll文件。

　　小提示：Winsock LSP(Layered Service Provider)浏览器劫持，在网络中某些间谍软件会自行修改Winsock 2的设置进行浏览器劫，当网络产生流量时，信息都要通过所安装的间谍软件才能传到网络中，使的恶意用户能轻易获得所需敏感内容。

　　病毒清除

　　感染此木的用户也无须太急张，在升级计算机中病毒库的同时，也可以利用手工将其杀除，方法如下，首先进入注册表分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]将其下的木马服务键值删除，并进入C盘目录 %System%下将hvsound2.dll改名，当计算机重启后即进入到 %Windows%目录下将avp.exe删除，紧跟其后将%System%下重新命名的文件删除，最后在SREng软件中利用系统修复功能删除Winsock供应者中相对应的%System%\hvsound2.dll项目MSAFD Tcpip [TCP/IP]，MSAFD Tcpip [RAW/IP]即可，或在SREng 系统修复-->winSock供应者点重置所有内容为默认值。SREng软件下载地址为：http://download.kztechs.com/files/sreng2.zip

　　小提示：SREng软件全名System Repair Engineer(SREng)是一款用于调整、修复系统的计算机安全辅助工具，可以让用户轻易察觉到系统故击和潜在的安全隐患并进行修复，其功能包含：启动项目控制、服务/驱动控制、文件关联修复及系统修复。

　　如果重启后网络不正常（打不开网页，网速变慢），可以使用WinsockFix等工具进行修复，下载地址为：http://www.onlinedown.net/soft/35272.htm

　　束语：木马历来被认为是安全界最大的天敌，其危害性远远超出了普通病毒的破坏，带来的损失往往是数字上的，例如网络银行帐号财产，股票的高买低卖，网游帐号装备等，基本是一去不复还，带给网民众多不安。其实当网民遇到问题时，应多留意其特征并进入互联网的搜索引擎进行查找，只有在了解其原理后，才能给予致命清理。