金山毒霸已经紧急升级了有关8749的特征库,需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用,将8749清除掉。金山清理专家也正在紧急升级中,升级后,可顺利将8749清除。
 |
已经受8749困扰的用户,可参考以下步骤修复系统。
1、使用金山清理专家,程序会自动检测恶意软件,检测到8749病毒后,点击全选,再点清除选中项。
2、立即重启电脑,使用金山清理专家修复被病毒破坏的注册表,修复被病毒添加的加载项
3、访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式。
4、右键单击我的电脑,选择属性,点击“系统还原”标签页,把禁用的勾去掉。建议至少要选择保护C分区,在系统遇到紧急故障时,利用系统还原可以减少恢复系统的成本。
毒霸用户发现病毒无法处理时,推荐下载清理专家2.0,下载地址:
http://www.duba.net/zt/ksc/down.shtml。
----------------------------------------------------------------
8749病毒详细分析报告
病毒行为:
1、使用删除文件,移动文件,写入空信息等三种方式清空HOST文件
2、病毒利用文件占用技术,实现对自身程序文件的保护
3、修改注册表键,禁用XP的系统还原
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
4、添加注册表启动项,因病毒名是随机生成,不同的电脑,感染的文件并不完全一致。修改注册表HKLM\software\microsoft\windows\currentversion\runonce,实现自动注册组件。
5、破坏安全模式(清空注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下的所有项目),使你不能进入安全模式调试系统。启动系统到安全模式会蓝屏。
6、终止所有包含下列字符的窗口的进程。
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
7.子DLL,每20分钟从http://up.yinlew.com:8080/hellohost515.ini?p=%s&t=%d下载一个要阻止访问的网站列表,下载后的文件保存在%sys32dir%\andttrs文件中。类似以下内容:
125.91.1.20 www.kzdh.com
125.91.1.20 www.7255.com
125.91.1.20 www.7322.com
125.91.1.20 www.7939.com
125.91.1.20 www.piaoxue.com
125.91.1.20 www.feixu.net
125.91.1.20 www.6781.com
125.91.1.20 www.7b.com.cn
125.91.1.20 www.918188.com
125.91.1.20 hao.allxue.com
125.91.1.20 good
