木马 avp.exe hvsound2.dll 解决方案

病毒名称：Trojan.Win32.Agent.awz [exe]（Kaspersky）
病毒别名：Trojan.Win32.Delf.rsx [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.do [dll]（瑞星）
　　　　　 Win32.PSWTroj.Maran.jh.239104 [dll]（毒霸）
病毒大小：158,208 字节
加壳方式：NSPack
样本MD5：897e8b44dcd47958e27cd89af3334e13
样本SHA1：7ccd7643e8c308a72cd906ddf9810c104842b9ad
发现时间：2007.8
更新时间：2007.8.17
关联病毒：
传播方式：恶意网页下载，其它病毒或木马下载


技术分析
==========

网游木马，运行后释放文件到系统目录下：
%Windows%\avp.exe
%System%\hvsound2.dll

使用批处理delplme.bat删除自身：

 

@echo off
:loop
del "{原文件}"
if exist "{原文件}" goto loop
del delplme.bat

创建服务：

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]
显示名： Audio Adapter
可执行文件的路径： %Windows%\avp.exe

修改Winsock供应者：
MSAFD Tcpip [TCP/IP] %System%\hvsound2.dll
MSAFD Tcpip [RAW/IP] %System%\hvsound2.dll


清除步骤
==========

1. 删除木马创建的服务：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]

2. 重命名木马文件：
%System%\hvsound2.dll

3. 重新启动计算机

4. 删除木马文件：
%Windows%\avp.exe
重命名过的%System%\hvsound2.dll

5. 在SREng的“系统修复”->“Winsock供应者”中删除%System%\hvsound2.dll对应的两个项目：
MSAFD Tcpip [TCP/IP]
MSAFD Tcpip [RAW/IP]
注：如果重启后网络不正常（如打不开网页），可以使用WinsockFix等工具进行修复。