8749(07072402)流氓软件解决方案
出处:DSW Avert 时间:2007年8月1日
一、病毒描述:
病毒运行后释放一个dll注入到非系统进程中,更改首页为8749。破坏安全模式,改写host文件。向QQ安装目录里释放
一个病毒文件并随QQ相关程序启动。监视并关闭一些窗体。
二、病毒基本情况:
病毒名称:8749(07072402)
病毒别名:8749
病毒类型:流氓软件
危害级别:5
感染平台:Windows
病毒大小:43086 (字节)
SHA1 :49c2ae96c5296f5297868cc611105b7640109aa8
加壳类型:NSPACK
开发工具:Borland C++
三、病毒行为:
1、病毒运行后会生成以下文件:
%windir%/system32/(随机八位文件名).dll
QQ安装目录/(随机八位文件名).dll
2、删除以下注册表项的所有项目来破坏安全模式:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
3、关闭含有以下字符的窗体:
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
4、修改主页和搜索页为www.8749.com,并且监视注册表,防止被修改。
5、改写HOST文件。
6、病毒还会向注册表内添加带有版本号的键值,本次分析的病毒版本号为07072402。
四、解决方案:
1、关闭QQ,打开超级巡警,升级到最新版本,然后查杀内存,超级巡警会查出此流氓软件并提示是否清除,选择清
除,然后重启,即可清除病毒文件。也可手动查杀,禁止进程创建后杀死所有被病毒注入的进程,然后删除病毒文
件即可。
2、删除删除以下注册表项:
HKEY_CLASSES_ROOT/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{62EA62EA-3FB7-51D9-D951-A62EA62EA62E}
HKEY_LOCAL_MACHINE/SOFTWARE/8749 technologies
3、修复安全模式启动。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动,然后修复就可以了。也
可手动修复,在正常机器上导出以下注册表文件,并导入到中毒的机器上即可。
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
4、修复host文件。
五、安全建议:
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,检查系统补丁,并及时安装补丁。
3、不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,另外不建议设置可写或可控制。
4、不要随便打开不明来历的电子邮件,尤其是邮件附件。
5、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
6、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
7、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
8749(07072402)流氓软件解决方案相关推荐
- 流氓软件卷土重来 8749上演黑吃黑
来源:金山 日期: 2007-7-25 来自金山毒霸反病毒中心最新消息,一名为8749的流氓软件正在互联网上大肆传播,并上演了一场"黑吃黑"的流氓软件大战,不但大量用户IE首页被篡 ...
- 流氓软件新技术 8749病毒详细分析报告
来源:华军资讯 日期: 2007-7-26 8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com.在短短几天之间,8749病毒已经出现了数个变 ...
- 流氓软件新技术,8749病毒详细分析报告
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为www.8749.com.在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很快在 ...
- 8749病毒详细分析报告 [转]
8749病毒是一个典型的病毒化的流氓软件,中8749病毒后的典型现象是主页被锁定为 www.8749.com .在短短几天之间,8749病毒已经出现了数个变种.以变种出现的速度来看,估计该流氓软件会很 ...
- 微软官方反间谍流氓软件WindowsDefender
最近电脑总是遭受间谍软件,流氓软件的骚扰,刚使用杀毒软件杀了一个晚上,杀掉20个间谍软件.看着这个列表真是担心那.就到网上找专杀工具.就找到了微软的免费的反间谍流氓软件.2006/10/23刚刚正式发 ...
- 关于勒索病毒 Ransom:Win32.WannaCrypt 解决方案的最后一次说明
2017/5/12 晚,勒索软件 Ransom:Win32.WannaCrypt 大面积暴发.比病毒爆发更火的,则是各类关于此病毒的新闻.解决方法在朋友圈等社交媒体的爆发. 其中,有主观善意但客观一知 ...
- 程序哨兵----誓把流氓软件赶出我们的电脑!
程序哨兵:誓把流氓软件赶出我们的电脑 写在前面的话 相信大家都有过类似的经历,电脑里经常会莫名其妙的被安装了一些自己不需要的程序,安装张三的程序有时搭进来李四甚至王五的程序,这都是国内电脑用户面临的应 ...
- 流氓软件广告屏蔽大师 处理方式
图片: 进入应用区首页,看到大家提出或者问题解决方案,我也来说说本人的处理方式,[本人全部部署在家用无线路由器上解决方式] 1 向流氓软件和流氓网站宣战 ----〉我的解决方式,部署广告屏蔽大师 ...
- 流氓软件与流氓系统的清理故事
流氓软件与流氓系统的清理故事 date: 2022-08-20 lastmod: 2022-08-20 前因后果 想起昨天发生的事情,我还是觉得不可思议,流氓们完全嘲讽了我的专业技能,卸载完重启几次就 ...
最新文章
- 领扣-26/27/80/283 数组专题 做好初始定义 双指针 MD
- mysql计算1天后的时间_mysql 计算某个时间,多少天后,多少个月后时间戳
- 下游传递唯一序列号如何实现幂等性?
- gateway动态路由_Java如何用Spring Cloud奇淫小技巧 来使用gateway作为服务网管
- 甘肃陇西雪后现雾凇 田野树林披“银装”
- VSS新建项目后导致项目组成员不能打开解决方案的解决方法
- Windows10下安装Tensorflow
- Session优缺点
- unity linerenderer在Game窗口中任意画线
- HTML网页设计:四、超链接
- 【056】历史性突破!翼辉信息助力星际荣耀火箭入轨!
- Android基础:ViewPage2
- 黎活明给程序员的几个经典的忠告!
- 华为牛人的十年工作感悟
- vue 解决跨域问题404问题
- Python爬取奇书网(用Python下载小说到本地)
- PVR图像文件格式初探
- wxid 微信号设置隐私 微信号搜不到 恢复好友总结
- verilog简单奇校验
- 迈向更灵活,贝壳 OLAP 平台架构演进
热门文章
- 配置两个java环境变量_java在一台电脑上装两个或多个jdk如何配置环境变量,并实现jdk切换...
- Http RFC总结
- 使用Foxmail管理邮件
- 文件加密,解密,解除加密
- 教师评计算机课缺点及建议,教师听课评课优缺点(教师听课记录评价与建议)
- 电子价签与动态价格调整算法与策略
- 倍福TwinCAT(贝福Beckhoff)常见问题(FAQ)-如何把FBD功能块转换成ST语言
- 免费typecho主题模板----joe原生原版
- openldap介绍和使用(转)
- Python 下载大文件,哪种方式速度更快