9.IRP HOOK最底层的文件系统（IRP_MJ_SET_INFORMATION），保护文件，不能删除，不能更名。

　　10.挂钩ZwCreateFile，在其访问system32/drivers/etc/hosts时，将该访问操作重定向到%sys32dir%/andttrs。相当 于用这个andttrs取代了系统的hosts文件，达到跟修改HOST文件相同的效果，用户只能通过修改andttrs或恢复HOOK阻止本地域名绑定。

　　11.挂钩ZwLoadDriver,禁止ICESWORD（冰刃）的驱动加载。

8749病毒解决方案：

　　8749病毒每次入侵后生成的病毒程序是随机的，不同的电脑中毒后会发现不同的病毒程序。病毒还破坏了安全模式，并监视注册表键，即使您使用金山毒霸的AV终结者专杀工具，也不能在病毒运行时，修复被破坏的安全模式，造成手工解除病毒非常困难。

　　金山毒霸已经紧急升级了有关8749病毒的特征库，需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用，将病毒清除掉。金山清理专家也正在紧急升级中，升级后，可顺利将8749病毒清除。已经受8749病毒困扰的用户，可参考以下步骤修复系统。

　　1.使用金山毒霸检查系统盘，毒霸会提示病毒文件的位置，这时记录下病毒的具体路径。

　　2.使用金山清理专家，在百宝箱中调出文件粉碎器，将这几个文件添加到删除列表，点界面上的彻底删除。

　　3.立即重启电脑，使用金山清理专家修复被病毒破坏的注册表，修复被病毒添加的加载项

　　4.访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具修复被破坏的安全模式

　　5.右键单击我的电脑，选择属性，点击“系统还原”标签页，把禁用的勾去掉。建议至少要选择保护C分区，在系统遇到紧急故障时，利用系统还原可以减少恢复系统的成本。