avp.exe是卡巴斯基杀毒软件的相关程序。但如果你的系统没有安装该软件，则可能是将死者病毒的文件，它本身是一个压缩文件，如果打开压缩文件，就会变成136kb的文件。此病毒是用visual basic编写，且经过压缩软件upx压缩，反解压工具处理，使之用原始的upx不能解压。由于是vb编写的病毒，它运行时就需要一个vb的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活，这些用户则会幸免于难。

　　运行该样本后，该样本借助看图软件(本机为acdsee)打开，为一美女图片

　　释放文件：

　　%system%hs4viewer.dll

　　%windir%avp.exe

　　还有其他一些完成使命后自我删除的文件

　　%system%delplme.bat

　　%documents and settings%计算机名local settingstemprarsfx0.jpg

　　%documents and settings%计算机名local settingstemprarsfx0server.exe

　　.....

　　添加系统服务

　　[hkey_local_machinesystemcontrolset003servicesvgadown]

　　[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

　　指向 %windir%avp.exe

　　加载驱动(系统正常文件，处理时别动它)

　　[hkey_local_machinesystemcontrolset003servicesws2ifsl]

　　%system%driversws2ifsl.sys

　　作恶特点：

　　1、avp.exe冒充卡巴斯基的正常进程

　　2、修改spi,添加hs4viewer.dll，这个难以说清楚，跟以前的流氓软件roogoo差不多，看hijackthis和sreng日志体现吧

　　winsock 提供者

　　msafd tcpip [tcp/ip]

　　c:windowssystem32hs4viewer.dll(n/a, n/a)

　　o10 - unknown file in winsock lsp: %system%hs4viewer.dll

　　解决过程：

　　1、清除掉病毒avp.exe

　　如果装有卡巴斯基，可以使用procexp来判断哪个avp.exe是病毒进程，终止该进程后，删除avp.exe以及其添加的注册表信息，如

　　[hkey_local_machinesystemcontrolset003servicesvgadown]

　　[hkey_local_machinesystemcontrolset003enumrootlegacy_vgadown]

　　%windir%avp.exe

　　要是不嫌麻烦，可以先删除其创建的注册表服务信息，然后重启，再删除avp.exe

　　2、使用lspfix.exe或其他工具来解决掉hs4viewer.dll

　　这个尤其要注意，不要蛮干，别搞的上不了网，个人习惯使用lspfix.exe，使用介绍以及其他相关事项在这里

　　lspfix处理完毕后，再手工删除%system%hs4viewer.dll