这是之前感染下载者avp.exe的最新变种，最近似乎开始猖狂起来，请大家注意！

1.病毒运行后,创建一个名为avpkav的互斥量，保证系统中只有一个实例在运行

2.修改注册表 更改IE主页和默认页

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL: "http://www.299my.com/"

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL："http://www.299my.com/"

3.感染除下列文件夹内的exe和scr文件

WINDOWS

WINNT

RECYCLER

$RECYCLE.BIN

System Volume Information

Config.Msi

InstallShield Installation Information

Internet Explorer

Outlook Express

NetMeeting

Common Files

Messenger

Windows Media Player

WinRAR

MSOCache

Documents and Settings

被感染文件被加入一个新的区段，名为KAO，运行后会首先下载http://dd5.******.info/net.exe到C:\net.exe

然后调用winexec运行该文件

4.每隔一段时间启动一次IE,下载

http://dd5.tesekl.info/win.ini到%program files%下面

win.ini是一个后门程序

该病毒运行后，将自身复制为%systemroot%\system32\winini.exe

创建服务WinINI达到开机启动自身的目的，服务相关信息如下：

启动类型：自动

映像路径："C:\WINDOWS\system32\winini.exe"

显示名称："COM+ Windows System"

描述："管理基于Windows对象模型 (COM+) 的组件的配置和跟踪。如果禁用此服务，显式依赖此服务的其他服务将无法启动。"

并且释放winsys.exe到C盘根目录下，并运行安装。这是一个嗅探器。

执行批处理修改Windows时间服务连接的服务器为：time.tesekl.info

解决方法：

到down.45it.com下载sreng

将现有的杀毒软件升级到最新版本，之后重启计算机进入安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

1.打开sreng

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

COM+ Windows System / WinINI

系统修复－Windows Shell/ IE 全选 修复

2.删除C:\net.exe

3.启动杀毒软件全盘杀毒，修复被感染的文件。注意杀毒的时候选择清除病毒，不要选择删除病毒。