avp.exe是卡巴斯基殺毒軟件的相關(guān)程序。但如果你的系統(tǒng)沒有安裝該軟件，則可能是將死者病毒的文件，它本身是一個壓縮文件，如果打開壓縮文件，就會變成136kb的文件。此病毒是用visual basic編寫，且經(jīng)過壓縮軟件upx壓縮，反解壓工具處理，使之用原始的upx不能解壓。由于是vb編寫的病毒，它運行時就需要一個vb的動態(tài)鏈接庫msvbvm60.dll，若用戶的計算機里沒這個文件，病毒就無法被激活，這些用戶則會幸免于難。

　　運行該樣本后，該樣本借助看圖軟件(本機為acdsee)打開，為一美女圖片

　　釋放文件：

　　%system%hs4viewer.dll

　　%windir%avp.exe

　　還有其他一些完成使命后自我刪除的文件

　　%system%delplme.bat

　　%documents and settings%計算機名local settingstemprarsfx0.jpg

　　%documents and settings%計算機名local settingstemprarsfx0server.exe

　　.....

　　添加系統(tǒng)服務(wù)

　　[hkey_local_machinesystemcontrolset003servicesvgadown]

　　[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

　　指向 %windir%avp.exe

　　加載驅(qū)動(系統(tǒng)正常文件，處理時別動它)

　　[hkey_local_machinesystemcontrolset003servicesws2ifsl]

　　%system%driversws2ifsl.sys

　　作惡特點：

　　1、avp.exe冒充卡巴斯基的正常進程

　　2、修改spi,添加hs4viewer.dll，這個難以說清楚，跟以前的流氓軟件roogoo差不多，看hijackthis和sreng日志體現(xiàn)吧

　　winsock 提供者

　　msafd tcpip [tcp/ip]

　　c:windowssystem32hs4viewer.dll(n/a, n/a)

　　o10 - unknown file in winsock lsp: %system%hs4viewer.dll

　　解決過程：

　　1、清除掉病毒avp.exe

　　如果裝有卡巴斯基，可以使用procexp來判斷哪個avp.exe是病毒進程，終止該進程后，刪除avp.exe以及其添加的注冊表信息，如

　　[hkey_local_machinesystemcontrolset003servicesvgadown]

　　[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

　　%windir%avp.exe

　　要是不嫌麻煩，可以先刪除其創(chuàng)建的注冊表服務(wù)信息，然后重啟，再刪除avp.exe

　　2、使用lspfix.exe或其他工具來解決掉hs4viewer.dll

　　這個尤其要注意，不要蠻干，別搞的上不了網(wǎng)，個人習(xí)慣使用lspfix.exe，使用介紹以及其他相關(guān)事項在這里

　　lspfix處理完畢后，再手工刪除%system%hs4viewer.dll