avp.exe属于Kaspersky卡巴斯基杀毒软件相关程序,有时病毒也会以该进程名称伪装。有两个avp.exe属正常现象,一个用户名是电脑名字,一个用户名是系统,一个是实时监控的进程(也就是监控其他的),另一个是卡巴自我保护的进程。在卡巴斯基运行更新时,任务管理器会出现第三个avp.exe进程 用户名是系统,并更新完成后自动退出。[1]
进程文件avp.exe
进程名称AVP
出品者卡巴斯基工作室
进程简介
在卡巴斯基运行更新时,任务管理器会出现第三个avp.exe进程 用户名是系统,并更新完成后自动退出。
描述:avp.exe是卡巴斯基杀毒软件的相关程序。[2]
属于:卡巴斯基
系统进程:否
后台进程:是
使用网络:是
硬件相关:否
常见错误:未知
内存使用:1,564K 20,000K
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
进程文件: avp.exe or avp
进程名称: Kaspersky Anti病毒 Module
描述:
avp.exe is a process belonging to Kaspersky Internet Security Suite which protects your computer against Internet-bound threats such as spyware and trojans which can be distributed through e-mail or attack directly to the computer allowing unauthorized access to your computer. This program is important for the stable and secure running of your computer and should not be terminated.
Note: avp.exe is a process which is registered as a trojan. This木马allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
Determining whether avp.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.
Recommendation for avp.exe:
avp.exe should not be disabled, required for essential applications to work properly.
Author: Kaspersky Labs
Part Of: Kaspersky Internet Security Suite
Memory Usage: N/A
System Process: Yes
Background Process: No
Uses Network: No
Hardware Related: No
Common avp.exe Errors: N/A
ImTOO 3GP Converter 的一个组件
特别提示:本进程通常只会随着卡巴斯基而一起被安装,并且是有两个同时运行。这是正常现象。
病毒入侵
基本信息
进程文件:avp.exe | |
文件版本:未知N/A | |
文件大小:158,208 字节 | |
所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 | |
所在位置:C:WINDOWS | |
MD5校验码:897E8B44DCD47958E27CD89AF3334E13 | |
进程名称:Trojan.Win32.Agent.awz; Trojan.Win32.Delf.rsx | |
描 述:avp.exe是Trojan.Win32.Agent.awz木马相关程序。 | |
出 品 者:未知N/A | |
属 于:未知N/A | |
系统进程:否 | |
后台程序:是 | |
使用网络:是 | |
硬件相关:否 | |
常见错误:未知N/A | |
内存使用:未知N/A | |
风险等级(0-5):4 | |
间谍软件:否 | |
广告软件:否 | |
病毒文件:否 | |
木马文件:是 |
技术分析
如果你的系统没有安装卡巴斯基杀毒软件,则可能是病毒的文件,它本身是一个压缩文件,如果打开压缩文件,就会变成136kb的文件。该病毒以avp.exe进程名称伪装,这时avp.exe是病毒的进程名称。此病毒是用visual basic编写,且经过压缩软件upx压缩,反解压工具处理,使之用原始的upx不能解压。由于是vb编写的病毒,它运行时就需要一个vb的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用户则会幸免于难。
运行该样本后,该样本借助看图软件(本机为acdsee)打开,为一美女图片
释放文件:
%system%hs4viewer.dll
%windir%avp.exe
还有其他一些完成使命后自我删除的文件
%system%delplme.bat
%documents and settings%计算机名local settingstemprarsfx0.jpg
%documents and settings%计算机名local settingstemprarsfx0server.exe
……
添加系统服务
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
指向%windir%avp.exe
加载驱动(系统正常文件,处理时别动它)
[hkey_local_machinesystemcontrolset003servicesws2ifsl]
%system%driversws2ifsl.sys
作恶特点
1、avp.exe冒充卡巴斯基的正常进程
2、修改spi,添加hs4viewer.dll,这个难以说清楚,跟以前的流氓软件roogoo差不多,看hijackthis和sreng日志体现吧
winsock提供者
msafd tcpip [tcp/ip]
c:windowssystem32hs4viewer.dll(n/a, n/a)
o10 - unknown file in winsock lsp: %system%hs4viewer.dll
解决过程
1、清除掉病毒avp.exe
如果装有卡巴斯基,可以使用procexp来判断哪个avp.exe是病毒进程,终止该进程后,删除avp.exe以及其添加的注册表信息,如
[hkey_local_machinesystemcontrolset003servicesvgadown]
[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]
%windir%avp.exe
要是不嫌麻烦,可以先删除其创建的注册表服务信息,然后重启,再删除avp.exe
2、使用lspfix.exe或其他工具来解决掉hs4viewer.dll
这个尤其要注意,不要蛮干,别搞的上不了网,个人习惯使用lspfix.exe,使用介绍以及其他相关事项在这里
lspfix处理完毕后,再手工删除%system%hs4viewer.dll
常见问题
有时候病毒太厉害或者太新了,连卡巴斯基都被干掉了,现在找到一种方法可以针对“找不到avp.exe文件”的错误进行修复,如果事先中了此类病毒无法正常安装卡巴斯基,也可以试试这种方法,我就是刚重装了系统之后感染了这类病毒,接着安装卡巴斯基7.0就安装到一半,到了“电击下一步进行基本设置”的时候就没有反应了,手动运行avp.exe显示“找不到avp.exe文件”。[3]
解决如下:
(1)把AVP.exe改名为kaba.exe(改为其它名也行)。
(2)启动注册表编辑器,定位到以下注册表项
HKLMSYSTEMCurrentControlSetServicesAVP
把ImagePath的键值改为
"%programfiles%Kaspersky LabKaspersky Anti-Virus 6.0kaba.exe" -r
注:我这里用的是卡巴默认的安装路径,使用时应以实际安装路径为准.
注意:必须在安全模式下才能更改,因为卡巴斯基安装的时候就设置了自我保护措施。但是有时候又没有办法进入安全模式,别怕,可以使用专业一点的工具,比如"冰刃IceSword"来修改注册表,同样用"冰刃IceSword"来复制卡巴的主程序avp.exe为kaba.exe也是行得通的,因为"冰刃IceSword"不能直接修改文件名,而普通方式又不能改名或复制avp.exe到kaba.exe所以这样做。
重新启动,如果是安装到一半的情况请手动再执行以下我们的kaba.exe,就可以接着安装,然后一切就正常啦
相关推荐
最新文章