超级巡警团队监测到恶意程序Trojan.Win32.KillAV.amx，该病毒释放副本到系统文件夹下，添加注册表自启动项，释放驱动文件beep.sys替换系统的文件，屏蔽杀毒软件主动防御，并且可对病毒进行升级更新。超级巡警团队提醒广大用户及时更新病毒库，对该程序进行有效查杀。

　　一、病毒相关分析：

　　 　 　 　病毒标签：

　　 　 　 　病毒名称：Trojan.Win32.KillAV.amx

　　 　 　 　病毒类型：木马

　　 　 　 　危害级别：3

　　 　 　 　感染平台：Windows

　　 　 　 　病毒大小：35,328字节

　　 　 　 　SHA1　：　CEEB3BCB0901C2B577E382F749EF805B9BED93A5

　　 　 　 　加壳类型：UPX

　　 　 　 　开发工具：Borland Delphi

　　 　 　 　病毒行为：

　　 　 　 　1、病毒运行以后释放副本和其他病毒。

　　 　 　 　 　 　%system%vmdetdhc.exe

　　 　 　 　 　 　%Temp%DFJIOPS4849.tmp

　　 　 　 　 　 　%Temporary Internet Files%Content.IE5WP2FCTIVdown333[1].txt

　　 　 　 　2、添加注册表项，实现开机病毒自启动。

　　 　 　 　 　 　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "vmdetdhc.exe"

　　 　 　 　 　 　Type: REG_SZ

　　 　 　 　 　 　Data: C:WINDOWSsystem32vmdetdhc.exe

　　 　 　 　3、调用sfc_os.dll下的第五号函数，关闭windows文件保护，将病毒文件beep.sys复制到%system%drivers文件

　　 　 　 　 　 　夹下替换正常的beep.sys，病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。

　　 　 　 　4、下载更新文档，该文档可对病毒实时更新，并且弹出广告窗口，干扰用户正常使用计算机。

　　 　 　 　 　 　更新文档：http://aa.9***.net:82/down333.txt

　　 　 　 　 　 　更新的病毒：http://218.22.***.43:81/466515.exe

　　二、解决方案

　　 　 　 　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　 　 　 　超级巡警下载地址：http://down.ddvip.com/view/11840626569367.html

　　手工清除方法：

　　 　 　 　1、结束病毒进程。打开超级巡警，选择进程管理功能，终止DFJIOPS4849.tmp进程。

　　 　 　 　2、删除病毒生成的文件。

　　 　 　 　 　 　%system%vmdetdhc.exe

　　 　 　 　3、删除病毒添加的注册表项

　　 　 　 　 　 　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "vmdetdhc.exe"

　　 　 　 　 　 　Type: REG_SZ

　　 　 　 　 　 　Data: C:WINDOWSsystem32vmdetdhc.exe