8749每次入侵后生成的程序是隨機的，不同的電腦中招后會發(fā)現(xiàn)不同的程序,而且還破壞了安全模式，并監(jiān)視注冊表鍵，即使您使用金山毒霸的AV終結(jié)者專殺工具，也不能在其運行時，修復(fù)被破壞的安全模式，造成手工解除非常困難。

　　金山毒霸已經(jīng)緊急升級了有關(guān)8749的特征庫，需要將金山毒霸查毒和金山清理專家的文件粉碎器結(jié)合使用，將8749清除掉。金山清理專家也正在緊急升級中，升級后，可順利將8749清除。已經(jīng)受8749困擾的用戶，可參考以下步驟修復(fù)系統(tǒng)。

　　1.使用金山清理專家，程序會自動檢測惡意軟件，檢測到8749病毒后，點擊全選，再點清除選中項。


　　2.立即重啟電腦，使用金山清理專家修復(fù)被病毒破壞的注冊表，修復(fù)被病毒添加的加載項

　　3.訪問http://zhuansha.duba.net/259.shtml下載AV終結(jié)者專殺工具修復(fù)被破壞的安全模式。

　　4.右鍵單擊我的電腦，選擇屬性，點擊“系統(tǒng)還原”標(biāo)簽頁，把禁用的勾去掉。建議至少要選擇保護C分區(qū)，在系統(tǒng)遇到緊急故障時，利用系統(tǒng)還原可以減少恢復(fù)系統(tǒng)的成本。

　　毒霸用戶發(fā)現(xiàn)病毒無法處理時，推薦下載清理專家2.0，下載地址： http://www.duba.net/zt/ksc/down.shtml

　　8749病毒詳細分析報告

　　病毒行為：
　　1.使用刪除文件，移動文件，寫入空信息等三種方式清空HOST文件

　　2.病毒利用文件占用技術(shù)，實現(xiàn)對自身程序文件的保護

　　3.修改注冊表鍵，禁用XP的系統(tǒng)還原
　　Software\Microsoft\Internet Explorer\Search
　　Software\Microsoft\Internet Explorer\Main

　　4.添加注冊表啟動項，因病毒名是隨機生成，不同的電腦，感染的文件并不完全一致。修改注冊表HKLM\software\microsoft\windows\currentversion\runonce，實現(xiàn)自動注冊組件。

　　5.破壞安全模式（清空注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有項目），使你不能進入安全模式調(diào)試系統(tǒng)。啟動系統(tǒng)到安全模式會藍屏


　　6.終止所有包含下列字符的窗口的進程。
　　btbaicai
　　wopticlean
　　360safe
　　8749病毒
　　8749專殺
　　卡卡
　　安全衛(wèi)士
　　IE修復(fù)
　　8749.com病毒
　　清除8749
　　刪除8749

　　7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網(wǎng)站列表，下載后的文件保存在%sys32dir%\andttrs文件中。類似以下內(nèi)容：
　　125.91.1.20 www.kzdh.com
　　125.91.1.20 www.7255.com
　　125.91.1.20 www.7322.com
　　125.91.1.20 www.7939.com
　　125.91.1.20 www.piaoxue.com
　　125.91.1.20 www.feixu.net
　　125.91.1.20 www.6781.com
　　125.91.1.20 www.7b.com.cn
　　125.91.1.20 www.918188.com
　　125.91.1.20 hao.allxue.com
　　125.91.1.20 good.allxue.com
　　125.91.1.20 baby.allxue.com
　　125.91.1.20 www.allxue.com
　　125.91.1.20 about.lank.la
　　125.91.1.20 www.x114x.com
　　125.91.1.20 www.37ss.com
　　125.91.1.20 www.7k.cc
　　125.91.1.20 www.73ss.com
　　125.91.1.20 www.hao123.com
　　125.91.1.20 www.81915.com
　　125.91.1.20 www.9991.com
　　125.91.1.20 www.my123.com
　　125.91.1.20 www.haokan123.com
　　125.91.1.20 www.5566.net
　　125.91.1.20 www.gjj.cc
　　125.91.1.20 www.2345.com
　　125.91.1.20 www.123wa.com
　　125.91.1.20 www.ku886.com
　　125.91.1.20 www.5icrack.com
　　125.91.1.20 www.jjol.cn
　　125.91.1.20 www.xinhai168.com
　　125.91.1.20 ooooos.com
　　125.91.1.20 www.ooooos.com
　　125.91.1.20 www.8757.com
　　125.91.1.20 4199.5009.com
　　125.91.1.20 www.13886.cn
　　125.91.1.20 www.8757.com
　　125.91.1.20 www.baidu345.com
　　125.91.1.20 www.dedewang.com
　　125.91.1.20 allxun.5009.cn
　　125.91.1.20 4199.5009.cn
　　125.91.1.20 yahoo.5009.cn
　　125.91.1.20 tom.5009.cn
　　125.91.1.20 zh130.5009.cn
　　125.91.1.20 piaoxue.5009.cn
　　125.91.1.20 3448.5009.cn
　　125.91.1.20 ttmp3.5009.cn
　　125.91.1.20 fx120.5009.cn
　　125.91.1.20 7939.5009.cn
　　125.91.1.20 99488.5009.cn
　　125.91.1.20 7333.5009.cn
　　125.91.1.20 www.ld123.com
　　125.91.1.20 www.anyiba.com
　　125.91.1.20 www.999991.cn
　　125.91.1.20 www.hao123.cn
　　125.91.1.20 www.3721.com
　　125.91.1.20 www.haol23.com
　　125.91.1.20 haol23.com

　　8.生成與子DLL同名的SYS驅(qū)動程序，驅(qū)動程序監(jiān)控自身服務(wù)注冊項（獨立線程監(jiān)控、WINLOGON啟動時監(jiān)控），如果被安全軟件修改，病毒會再改回來。

　　9.IRP HOOK最底層的文件系統(tǒng)（IRP_MJ_SET_INFORMATION），保護文件，不能刪除，不能更名。

　　10.掛鉤ZwCreateFile，在其訪問system32\drivers\etc\hosts時，將該訪問操作重定向到%sys32dir%\andttrs。相當(dāng) 于用這個andttrs取代了系統(tǒng)的hosts文件，達到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復(fù)HOOK阻止本地域名綁定。

　　11.掛鉤ZwLoadDriver,禁止ICESWORD（冰刃）的驅(qū)動加載。

標(biāo)簽： 安全 網(wǎng)站 選擇 用戶 域名 域名綁定

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。