Mi computadora está infectada con el virus 8749.

8749Los programas generados tras cada invasión son aleatorios. Diferentes computadoras encontrarán diferentes programas después de ser infectadas y también destruirán el modo seguro y monitorearán las entradas del registro. Incluso si utiliza la herramienta de eliminación AV Terminator de Kingsoft Antivirus, no podrá reparar el modo seguro que se destruye durante su funcionamiento, lo que resulta en.

La eliminación manual es muy difícil.

El siguiente es el informe de análisis de comportamiento del virus 8749:

Comportamiento del virus:

1. Borre el archivo host eliminando archivos, moviéndolos y escribiendo. información vacía.

2. Los virus utilizan tecnología de ocupación de archivos para proteger sus propios archivos de programa.

3. Modifique la clave de registro para deshabilitar Restaurar sistema XP.

Software\Microsoft\Internet Explorer\Search

Software\Microsoft\Internet Explorer\Main

4. Agregue el elemento de inicio del registro porque el nombre del virus es aleatorio. Los archivos infectados generados no son exactamente iguales en diferentes ordenadores. Modifique el registro hklm\software\Microsoft\Windows\current version\runonce para implementar el registro automático de componentes.

5. Destruya el modo seguro (borre todos los elementos en HKEY _ local _ machine \ system \ current control set \ control \ safeboot) para que no pueda ingresar al modo seguro para depurar el sistema. Al iniciar el sistema en modo seguro aparecerá una pantalla azul.

6. Finalice los procesos de todas las ventanas que contengan los siguientes caracteres.

btbaicai

wopticlean

Seguridad 360

Virus 8749

Exclusivo 8749

Olive Parrot

Personal de seguridad

Reparación de IE

Virus 8749.com

Borrar 8749

Eliminar 8749

7. Sub-DLL, una vez cada 20 minutos

125.91.1.20 www.918188.com

hao.allxue.com 1.1.20

good.allxue.com 1.1.20

baby.allxue.com 1.1.20

www.allxue.com 1.1.20

125.91. 1.20about.lan

125.91.1.20 www.x114x.com

www.37ss.com 1.1.20

125.91.1.20 www.7k.cc

www.73ss.com 1.1.20

125.91.1.20 www .Hao 123 com

125.91.1.20 www . p>125.91.1.20 www .9991 com

125.91.1.20 www . .5566.net 1.1.20

125.91.1.20 www .gjj cc

www.2345.com 1.1.20

125.91.1.20

p>

www.ku886.com 1.1.20

www.5icrack.com 1.1.20

www.jjol.cn 1.1.20

125.91.1.20 www .20

125.91.1.20 4199.5009 com

125.91.1.20 www . 20

www.baidu345.com 1.1.20

www.dedewang.com 1.1.20

allxun.5009.cn 1.1.20

125.91.1.20 4199.5009 cn

yahoo.5009.cn 1.1.20

tom.5009.cn 1.1.20

125.91.1.20 zh. 130.5009 .cn

piaoxue.5009.cn 1.1.20

3448.5009.cn 1.1.20

ttmp3.5009.cn 1.1.20

125.91.1.20 FX 120.5009

7939.5009.cn 1.1.20

>

99488.5009.cn 1.1.20

7333.5009.cn 1.1.20

125.91.1.20 www LD 123 com

www.anyiba. com 1.1.20

125.91.1.20 www .cn .

125.91.1.20 www .

www.haol23.com 1.1.20

haol23.com 1.1.20

8. Genere un controlador SYS con el mismo nombre que la sub-DLL. . El controlador monitorea sus propios elementos de registro de servicio (monitoreo de subprocesos independiente y monitoreo de inicio de WINLOGON). Si lo modifica el software de seguridad, el virus volverá a modificarse.

9.El sistema de archivos mínimo de IRP Hook (IRP_MJ_SET_INFORMATION) protege los archivos y no se puede eliminar ni cambiar de nombre.

10. Enganche ZwCreateFile y cuando acceda a system32\drivers\etc\hosts, redirija la operación de acceso a sys32dir\andttrs. Equivale a reemplazar el archivo HOSTs del sistema con este y trs, logrando el mismo efecto que modificar el archivo host. Los usuarios solo pueden detener los dominios de complementos locales modificando y restaurando enlaces.

11. Enganche ZwLoadDriver para desactivar la carga de Ice Sword.