流氓軟件歸來 8749完整解決方案

　　8749每次入侵後生成的程序是隨機的，不同的電腦中招後會發現不同的程序,而且還破壞了安全模式，並監視注冊表鍵，即使您使用金山毒霸的AV終結者專殺工具，也不能在其運行時，修復被破壞的安全模式，造成手工解除非常困難。 　　金山毒霸已經緊急升級了有關8749的特征庫，需要將金山毒霸查毒和金山清理專家的文件粉碎器結合使用，將8749清除掉。金山清理專家也正在緊急升級中，升級後，可順利將8749清除。已經受8749困擾的用戶，可參考以下步驟修復系統。 　　1.使用金山清理專家，程序會自動檢測惡意軟件，檢測到8749病毒後，點擊全選，再點清除選中項。 ·十一種常見流氓軟件完全卸載方法·06年十大流氓軟件手工查殺全攻略·讓流氓軟件走開　手工刪除3721·全面封殺 清剿流氓軟件七絕技·見證!七款免費流氓軟件清理工具橫評·中國網通逆風而行 ADSL用戶被迫安裝流·十大流氓軟件完全卸載方案·上網必備 11款流氓軟件清除工具推薦·簡述常見網絡流氓軟件·中國網通逆風而上 強行安流氓軟件 　　2.立即重啟電腦，使用金山清理專家修復被病毒破壞的注冊表，修復被病毒添加的加載項 　　3.下載AV終結者專殺工具修復被破壞的安全模式。 　　4.右鍵單擊我的電腦，選擇屬性，點擊“系統還原”標簽頁，把禁用的勾去掉。建議至少要選擇保護C分區，在系統遇到緊急故障時，利用系統還原可以減少恢復系統的成本。 　　毒霸用戶發現病毒無法處理時，推薦下載清理專家2.0　　8749病毒詳細分析報告 　　病毒行為： 　　1.使用刪除文件，移動文件，寫入空信息等三種方式清空HOST文件 　　2.病毒利用文件占用技術，實現對自身程序文件的保護 　　3.修改注冊表鍵，禁用XP的系統還原 　　Software\Microsoft\Internet Explorer\Search 　　Software\Microsoft\Internet Explorer\Main 　　4.添加注冊表啟動項，因病毒名是隨機生成，不同的電腦，感染的文件並不完全一致。修改注冊表HKLM\software\microsoft\windows\currentversion\runonce，實現自動注冊組件。 　　5.破壞安全模式（清空注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有項目），使你不能進入安全模式調試系統。啟動系統到安全模式會藍屏 　　
　　6.終止所有包含下列字符的窗口的進程。 　　btbaicai 　　wopticlean 　　360safe 　　8749病毒 　　8749專殺 　　卡卡 　　安全衛士 　　IE修復 　　8749.com病毒 　　清除8749 　　刪除8749 　　7.子DLL，每20分鐘從:8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網站列表，下載後的文件保存在%sys32dir%\andttrs文件中。類似以下內容： 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 hao.allxue.com 　　125.91.1.20 good.allxue.com 　　125.91.1.20 baby.allxue.com 　　125.91.1.20 　　125.91.1.20 about.lank.la 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 ooooos.com 　　125.91.1.20
　　125.91.1.20 　　125.91.1.20 4199.5009.com 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 allxun.5009.cn 　　125.91.1.20 4199.5009.cn 　　125.91.1.20 yahoo.5009.cn 　　125.91.1.20 tom.5009.cn 　　125.91.1.20 zh130.5009.cn 　　125.91.1.20 piaoxue.5009.cn 　　125.91.1.20 3448.5009.cn 　　125.91.1.20 ttmp3.5009.cn 　　125.91.1.20 fx120.5009.cn 　　125.91.1.20 7939.5009.cn 　　125.91.1.20 99488.5009.cn 　　125.91.1.20 7333.5009.cn 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 　　125.91.1.20 haol23.com 　　8.生成與子DLL同名的SYS驅動程序，驅動程序監控自身服務注冊項（獨立線程監控、WINLOGON啟動時監控），，如果被安全軟件修改，病毒會再改回來。 　　9.IRP HOOK最底層的文件系統（IRP_MJ_SET_INFORMATION），保護文件，不能刪除，不能更名。 　　10.掛鉤ZwCreateFile，在其訪問system32\drivers\etc\hosts時，將該訪問操作重定向到%sys32dir%\andttrs。相當 於用這個andttrs取代了系統的hosts文件，達到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復HOOK阻止本地域名綁定。 　　11.掛鉤ZwLoadDriver,禁止ICESWORD（冰刃）的驅動加載。