8749流氓軟件完全清除方案

　　8749每次入侵後生成的程序是隨機的，不同的電腦中招後會發現不同的程序,而且還破壞了安全模式，並監視注冊表鍵，即使您使用金山毒霸的AV終結者專殺工具，也不能在其運行時，修復被破壞的安全模式，造成手工解除非常困難。

　　金山毒霸已經緊急升級了有關8749的特征庫，需要將金山毒霸查毒和金山清理專家的文件粉碎器結合使用，將8749清除掉。金山清理專家也正在緊急升級中，升級後，可順利將8749清除。已經受8749困擾的用戶，可參考以下步驟修復系統。

　　1.使用金山清理專家，程序會自動檢測惡意軟件，檢測到8749病毒後，點擊全選，再點清除選中項。

　　

　　2.立即重啟電腦，使用金山清理專家修復被病毒破壞的注冊表，修復被病毒添加的加載項

　　3.訪問http://zhuansha.duba.net/259.shtml下載AV終結者專殺工具修復被破壞的安全模式。

　　4.右鍵單擊我的電腦，選擇屬性，點擊“系統還原”標簽頁，把禁用的勾去掉。建議至少要選擇保護C分區，在系統遇到緊急故障時，利用系統還原可以減少恢復系統的成本。

　　毒霸用戶發現病毒無法處理時，推薦下載清理專家2.0，下載地址：

　　http://www.duba.net/zt/ksc/down.shtml

　　8749病毒詳細分析報告

　　病毒行為：

　　1.使用刪除文件，移動文件，寫入空信息等三種方式清空HOST文件

　　2.病毒利用文件占用技術，實現對自身程序文件的保護

　　3.修改注冊表鍵，禁用XP的系統還原

　　SoftwareMicrosoftInternet ExplorerSearch

　　SoftwareMicrosoftInternet ExplorerMain

　　4.添加注冊表啟動項，因病毒名是隨機生成，不同的電腦，感染的文件並不完全一致。修改注冊表HKLMsoftwaremicrosoftwindowscurrentversionrunonce，實現自動注冊組件。

　　5.破壞安全模式（清空注冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot下的所有項目），使你不能進入安全模式調試系統。啟動系統到安全模式會藍屏

　　

　　6.終止所有包含下列字符的窗口的進程。

　　btbaicai

　　wopticlean

　　360safe

　　8749病毒

　　8749專殺

　　卡卡

　　安全衛士

　　IE修復

　　8749.com病毒

　　清除8749

　　刪除8749

　　7.子DLL，每20分鐘從http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下載一個要阻止訪問的網站列表，下載後的文件保存在%sys32dir%andttrs文件中。類似以下內容：

　　125.91.1.20 www.kzdh.com

　　125.91.1.20 www.7255.com

　　125.91.1.20 www.7322.com

　　125.91.1.20 www.7939.com

　　125.91.1.20 www.piaoxue.com

　　125.91.1.20 www.feixu.net

　　125.91.1.20 www.6781.com

　　125.91.1.20 www.7b.com.cn

　　125.91.1.20 www.918188.com

　　125.91.1.20 hao.allxue.com

　　125.91.1.20 good.allxue.com

　　125.91.1.20 baby.allxue.com

　　125.91.1.20 www.allxue.com

　　125.91.1.20 about.lank.la

　　125.91.1.20 www.x114x.com

　　125.91.1.20 www.37ss.com

　　125.91.1.20 www.7k.cc

　　125.91.1.20 www.73ss.com

　　125.91.1.20 www.hao123.com

　　125.91.1.20 www.81915.com

　　125.91.1.20 www.9991.com

　　125.91.1.20 www.my123.com

　　125.91.1.20 www.haokan123.com

　　125.91.1.20 www.5566.net

　　125.91.1.20 www.gjj.cc

　　125.91.1.20 www.2345.com

　　125.91.1.20 www.123wa.com

　　125.91.1.20 www.ku886.com

　　125.91.1.20 www.5icrack.com

　　125.91.1.20 www.jjol.cn

　　125.91.1.20 www.xinhai168.com

　　125.91.1.20 ooooos.com

　　125.91.1.20 www.ooooos.com

　　125.91.1.20 www.8757.com

　　125.91.1.20 4199.5009.com

　　125.91.1.20 www.13886.cn

　　125.91.1.20 www.8757.com

　　125.91.1.20 www.baidu345.com

　　125.91.1.20 www.dedewang.com

　　125.91.1.20 allxun.5009.cn

　　125.91.1.20 4199.5009.cn

　　125.91.1.20 yahoo.5009.cn

　　125.91.1.20 tom.5009.cn

　　125.91.1.20 zh130.5009.cn

　　125.91.1.20 piaoxue.5009.cn

　　125.91.1.20 3448.5009.cn

　　125.91.1.20 ttmp3.5009.cn

　　125.91.1.20 fx120.5009.cn

　　125.91.1.20 7939.5009.cn

　　125.91.1.20 99488.5009.cn

　　125.91.1.20 7333.5009.cn

　　125.91.1.20 www.ld123.com

　　125.91.1.20 www.anyiba.com

　　125.91.1.20 www.999991.cn

　　125.91.1.20 www.hao123.cn

　　125.91.1.20 www.3721.com

　　125.91.1.20 www.haol23.com

　　125.91.1.20 haol23.com

　　8.生成與子DLL同名的SYS驅動程序，驅動程序監控自身服務注冊項（獨立線程監控、WINLOGON啟動時監控），如果被安全軟件修改，病毒會再改回來。

　　9.IRP HOOK最底層的文件系統（IRP_MJ_SET_INFORMATION），保護文件，不能刪除，不能更名。

　　10.掛鉤ZwCreateFile，在其訪問system32driversetchosts時，將該訪問操作重定向到%sys32dir%andttrs。相當 於用這個andttrs取代了系統的hosts文件，達到跟修改HOST文件相同的效果，用戶只能通過修改andttrs或恢復HOOK阻止本地域名綁定。

　　11.掛鉤ZwLoadDriver,禁止ICESWORD（冰刃）的驅動加載。