Mi computadora tiene el virus 8749

8749 Los programas generados después de cada intrusión son aleatorios. Diferentes computadoras encontrarán diferentes programas después de ser infectadas. También destruye el modo seguro y monitorea las claves de registro incluso si usa la herramienta de eliminación especial de Kingsoft Antivirus AV Terminator. no puede reparar el modo seguro dañado mientras está en ejecución, lo que dificulta la eliminación manual.

El siguiente es el informe de análisis del comportamiento del virus 8749:

Comportamiento del virus:

1. Utilice tres métodos para eliminar archivos, mover archivos y escribir información vacía. . Archivo HOST

2. El virus utiliza tecnología de ocupación de archivos para proteger sus propios archivos de programa

3 Modifique la clave de registro y desactive la restauración del sistema XP

. \Microsoft\Internet Explorer\Search

Software\Microsoft\Internet Explorer\Main

4. Agregue elementos de inicio del registro Debido a que el nombre del virus se genera aleatoriamente, diferentes computadoras pueden estar infectadas. Los archivos no son del todo consistentes. Modifique el registro HKLM\software\microsoft\windows\currentversion\runonce para realizar el registro automático de componentes.

5. Destruya el modo seguro (borre todos los elementos del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot) para que no pueda ingresar al modo seguro para depurar el sistema. Iniciar el sistema en modo seguro provocará una pantalla azul

6. Termine los procesos de todas las ventanas que contengan los siguientes caracteres.

btbaicai

woptiquen

360safe

virus 8749

8749 muerte especial

Kaka

Guardia de seguridad

Reparación de IE

Virus 8749.com

Borrar 8749

Eliminar 8749

p>

7. Sub-DLL, cada 20 minutos desde

125.91.1.20 www.918188.com

125.91.1.20 hao.allxue.com

125.91.1.20 good.allxue.com

125.91.1.20 baby.allxue.com

125.91.1.20 www.allxue.com

125.91.1.20 acerca de.lank.la

125.91.1.20 www.x114x.com

125.91.1.20 www.37ss.com

125.91.1.20 www.7k.cc

125.91.1.20 www.73ss.com

125.91.1.20 www.hao123.com

125.91.1.20 www.81915.com

125.91.1.20 www.9991.com

125.91.1.20 www.my123.com

125.91.1.20 www.haokan123.com

125.91.1.20 www.5566.net

125.91.1.20 www.gjj.cc

125.91.1.20 www.2345.com

125.91.1.20 www.123wa.com

125.91.1.20 www.ku886.com

125.91.1.20 www.5icrack.com

125.91.1.20 www.jjol.cn

125.91.1.20 www.xinhai168.com

125.91.1.20 ooooos.com

125.91.1.20 www.ooooos.com

125.91.1.20 www. 8757.com

125.91.1.20 4199.5009.com

125.91.1.20 www.13886.cn

125.91.1.20 www.8757.com

125.91.1.20 www.baidu345.com

125.91.1.20 www.dedewang.com

125.91.1.20 allxun.5009.cn

125.91. 1.20 4199.5009.cn

125.91.1.20 yahoo.5009.cn

125.91.1.20 tom.5009.cn

125.91.1.20 zh130.5009.cn

125.91.1.20 piaoxue.5009.cn

125.91.1.20 3448.5009.cn

125.91.

1.20 ttmp3.5009.cn

125.91.1.20 fx120.5009.cn

125.91.1.20 7939.5009.cn

125.91.1.20 99488.5009.cn

125.91.1.20 7333.5009.cn

125.91.1.20 www.ld123.com

125.91.1.20 www.anyiba.com

125.91.1.20 www.999991.cn

125.91.1.20 www.hao123.cn

125.91.1.20 www.3721.com

125.91.1.20 www.haol23.com

125.91.1.20 haol23.com

8. Genere un controlador SYS con el mismo nombre que el sub-DLL, y el controlador monitorea sus propios elementos de registro de servicio (monitoreo de subprocesos independiente, Monitoreo de inicio de WINLOGON), si lo modifica el software de seguridad, el virus volverá a cambiar.

9. El sistema de archivos más bajo de IRP HOOK (IRP_MJ_SET_INFORMATION) protege los archivos y no se puede eliminar ni cambiar de nombre.

10. Enganche ZwCreateFile y, cuando acceda a system32\drivers\etc\hosts, redirija la operación de acceso a sys32dir\andttrs. Es equivalente a usar este andttrs para reemplazar el archivo de hosts del sistema, logrando el mismo efecto que modificar el archivo HOST. Los usuarios solo pueden evitar la vinculación del nombre de dominio local modificando andttrs o restaurando HOOK.

11. Enganche ZwLoadDriver para desactivar la carga del controlador ICESWORD (Ice Blade).