专业的人做专业的事情，病毒AV终结者又有了新的变种！而且似乎强到了逆天！居然可以Ring3级技术来删除AV软件的关键程序，汗颜。不过俗话说“魔高一尺，道高一丈”，金山的病毒专家铁军还是找到了对付的办法。

截获最新的AV终结者，该变种采用ring3级hook技术直接删除杀毒软件，劫持众多网站，阻止杀毒软件更新。专杀程序紧张制作中，测试通过会及时发布，老版本AV终结者专杀运行后会自动升级。

**卸载组件**
regsvr32.exe /u /s wshom.ocx
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
病毒注入系统的其他进程后
1> 创建一个线程来保护其添加的注册表键值不被删除
2> 结束杀毒软件进程
3> 通过将ZwCreateFile的前两个字节填0加以破坏
4> 并试图删除以下文件，（主要是杀毒软件和流氓软件清除工具的驱动、程序文件） 

**修改hosts文件为**
hosts文件被修改后，会影响很多杀毒软件和反流氓软件的升级，影响访问相关网站注意一下61.152.244.167这个IP，下面发现众多流量很高的站点被劫持到61.152.244.167，可以尝试一下在IE地址栏中输入这个IP，你发现去了cn.yahoo.com）
难道这个病毒在替yahoo做流量？我是不相信的，马云成功在望，不会采取这种流氓手段劫持其它网站的流量，我怀疑是栽赃。或者，中国yahoo的网盟政策被利用了。
127.0.0.1      localhost
61.152.244.167 search.114.vnet.cn
61.152.244.167 auto.search.msn.com 
61.152.244.167 search.msn.com  
61.152.244.167 cnweb.search.live.com
61.152.244.167 search.live.com
61.152.244.167  www.hao123.com 
61.152.244.167  hao123.com
61.152.244.167  www.360safe.com
61.152.244.167  360safe.com
222.73.126.115  update.360safe.com
61.152.244.167  dl.360safe.com
61.152.244.167  bbs.360safe.com
61.152.244.167  www.btbaicai.com
61.152.244.167  btbaicai.com
61.152.244.167  www.pctutu.com
61.152.244.167  www.7322.com
61.152.244.167  www.5566.net
61.152.244.167  www.9991.com
61.152.244.167  9991.com
61.152.244.167  forum.ikaka.com
61.152.244.167  www.ikaka.com
222.73.126.115  update.ikaka.com
61.152.244.167  forum.jiangmin.com
222.73.126.115  update.jiangmin.com
61.152.244.167  post.baidu.com
222.73.126.115  update.rising.com.cn
61.152.244.167  online.rising.com.cn
222.73.126.115  center.rising.com.cn
61.152.244.167  up.duba.net
61.152.244.167  shadu.baidu.com
61.152.244.167  security.symantec.com
61.152.244.167  shadu.duba.net
61.152.244.167  online.jiangmin.com
61.152.244.167  cn.mcafee.com
61.152.244.167  www.ahn.com.cn
61.152.244.167  www.kaspersky.com.cn
61.152.244.167  www.pcav.cn
61.152.244.167  mopery.hits.io
61.152.244.167  www.luosoft.com
61.152.244.167  luosoft.com
61.152.244.167  www.im286.com
61.152.244.167  bbs.htmlman.net
61.152.244.167  10000.286er.com
61.152.244.167  im286.net
61.152.244.167  cool.47555.com
61.152.244.167  ju.qihoo.com
61.152.244.167  bbs.chinaz.com
222.73.126.115 dnl-cn1.kaspersky-labs.com
222.73.126.115 dnl-cn2.kaspersky-labs.com
222.73.126.115 dnl-cn3.kaspersky-labs.com
222.73.126.115 dnl-cn4.kaspersky-labs.com
222.73.126.115 dnl-cn5.kaspersky-labs.com
222.73.126.115 dnl-cn6.kaspersky-labs.com
222.73.126.115 dnl-cn7.kaspersky-labs.com
222.73.126.115 dnl-cn8.kaspersky-labs.com
...
...

手动解决该病毒的办法：
使用金山清理专家，将下列文件添加到彻底删除的列表，粉碎掉，然后立即重启电脑。 
C:\WINDOWS\system32\nfxphzn.jbt
c:\WINDOWS\system32\yqia.btl
重启电脑，使用金山清理专家全面检测修复功能，将下面的系统执行挂钩项修复掉。 

**修改的注册表**
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
@="C:\\WINDOWS\\system32\\yqia.btl"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
手动编辑hosts文件，对多数用户来说，在这里：
c:\windows\system32\drivers\etc\hosts
除保留127.0.0.1      localhost这一行外，其它内容全部清空。