7939.com,7b.com.cn,9505.com,4199.com 这四个流氓,相信这几个月大家都看过不少
不停进行更新想逃过不少安全软件,清除工具的清除操作!
特别是9505.com,4199.com, 十分恶心!
9505.com作者还把 mopery 同 我tkabc 个空间都加到9505.com的 hosts,想阻止中招用户下载清除工具
新的变种会修改瑞星安装目录下的一个文件(RegWhite.usr)
使用方法:
1. 请必先卸载QQ, 因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
(如果只是想清除 7939.com,7b.com.cn ,可以跳过这步 )
2.
a) 下载 9541_KickThemOut_v1.zip 并放到桌面, 解包
b) 之后在桌面会多了一个 9541_KickThemOut_v1 文件夹,打开这个文件夹,运行 KickThemOut.vbs
c) 按 Yes/是 开始,之后再提示你即将开始,按 OK/确定, 桌面将会消失 (如果桌面没有消失,应该是不支持)
d) 等两至三分钟 (这时你可以去弄个泡面) , 之后会提示将要重新启动电脑, 按 OK/确定
e) 重新启动电脑后,清除就完成了!
下面附件是最新的清除工具,感谢tkabc
附件: 
9541_KickThemOut_v1.zip (65 K)
如果清除不了,可以试试旧的清除工具方法:在此感谢作者:tkabc的无私奉献,网民们会感激你的
1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader
2. 档案成功下载后,调用rundll32.exe运行那DLL
3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程
4. 主力是 explorer.exe 和 rundll32.exe
a) 检查更新
b) 下载Hosts档案 + 修改 Hosts 档案
c) 修改主页
d) 删除 7939.com 档案的启动项
e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马
图中是用我写的VBS检查 Riched32.dll
5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机
==========================================
花了两天时间写起来的,不好用不要见怪......
同时十分感谢以下的测试人员:
bbiverson,mopery,xbs,Cons,hzqedison,魔法学徒
虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题
使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件
2.
请必先卸载QQ
,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包, 运行4199_9505 Fix.exe , 按 Extract 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat
c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情
请耐心等候,直到出现Finished!.....
4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了
PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\
The BFU script and the batches are written by Krazaf/tkabc
一些加强说明:
1. 什么是 %SYSTEMDRIVE% ?
你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个.....
eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk
2. 如果重启之后,没提示BFU.exe is running?
重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始.....
3. 如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version
专杀4199_9505 Fix下载地址:
描述:专杀2
附件: 
4199_9505 Zip version .rar (211 K)
描述:专杀1
附件: 4199_9505 Fix.rar (266 K)
