超級網迷

超級網迷+ 電腦迷+ 音樂迷
個人資料
正文

【分享】盜號木馬avp.exe解決辦法

(2008-05-06 20:15:03) 下一個

病毒特征文件avp.exehs4viewer.dllws2ifsl.sys

簡介avp.exe是卡巴斯基殺毒軟件的相關程序。但如果你的係統沒有安裝該軟件,則可能是將死者病毒的文件,它本身是一個壓縮文件,如果打開壓縮文件,就會變成136kb的文件。此病毒是用visual basic編寫,且經過壓縮軟件upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態鏈接庫msvbvm60.dll,若用戶的計算機裏沒這個文件,病毒就無法被激活,這些用戶則會幸免於難。運行該樣本後,該樣本借助看圖軟件(本機為ACDSee)打開,為一美女圖片

釋放文件
%system%/hs4viewer.dll
%windir%/avp.exe

還有其他一些完成使命後自我刪除的文件
%system%/delplme.bat
%Documents and Settings%/計算機名/Local Settings/Temp/RarSFX0/1.jpg
%Documents and Settings%/計算機名/Local Settings/Temp/RarSFX0/server.exe
.....
添加係統服務
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/VGADown]
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/Root/LEGACY_VGADOWN]
指向 %windir%/avp.exe

加載驅動(係統正常文件,處理時別動它)
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WS2IFSL]
%system%/drivers/ws2ifsl.sys

作惡特點
1、avp.exe冒充卡巴斯基的正常進程
2、修改SPI,添加hs4viewer.dll,這個難以說清楚,跟以前的流氓軟件roogoo差不多,看hijackthis和sreng日誌體現吧
Winsock 提供者
MSAFD Tcpip [TCP/IP]
C:/WINDOWS/system32/hs4viewer.dll(N/A, N/A)
O10 - Unknown file in Winsock LSP: %system%/hs4viewer.dll

解決過程
1、清除掉病毒avp.exe
如果裝有卡巴斯基,可以使用procexp來判斷哪個avp.exe是病毒進程,終止該進程後,刪除avp.exe以及其添加的注冊表信息,如
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/VGADown]
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/Root/LEGACY_VGADOWN]
%windir%/avp.exe
要是不嫌麻煩,可以先刪除其創建的注冊表服務信息,然後重啟,再刪除avp.exe

2、使用lspfix.exe或其他工具來解決掉hs4viewer.dll

這個尤其要注意,不要蠻幹,別搞的上不了網,個人習慣使用lspfix.exe。LSPFix處理完畢後,再手工刪除%system%/hs4viewer.dll


【相關工具下載】

http://download.it168.com/06/0603/55860/55860_3.shtml(Procexp漢化版)http://bbs.360safe.com/attachment.php?aid=6823(LSPFix漢化版.exe)





[ 打印 ]
閱讀 ()評論 (1)
評論
在城裏 回複 悄悄話 這種木馬病毒在我的機器是VGADown。
360安全衛士查出來,但就是清除不了。最後還是用注冊表編輯器搞定的。
登錄後才可評論.