查看: 12723|回复: 36
收起左侧

IE锁定7939.com,7b.com.cn,9505.com,4199.com 清除工具

[复制链接]
起点
发表于 2006-10-11 01:47:32 | 显示全部楼层 |阅读模式
                                           看过请回帖方便决定置顶期限
7939.com,7b.com.cn,9505.com,4199.com 清除工具

7939.com,7b.com.cn,9505.com,4199.com 这四个流氓,相信这几个月大家都看过不少
不停进行更新想逃过不少安全软件,清除工具的清除操作!

特别是9505.com,4199.com, 十分恶心!
9505.com作者还把 mopery 同 我tkabc 个空间都加到9505.com的 hosts,想阻止中招用户下载清除工具

新的变种会修改瑞星安装目录下的一个文件(RegWhite.usr)

加上有一些使用者说用不了上次的4199.com/9505.com清除工具,这几天花了点时间,看了下Microsoft Script Center,用VBS重写一下
再把 7939.com,7b.com.cn 清除加进去,方便大家
-USE IT AT YOUR OWN RISK!!!
-不好用不要见怪......
-十分感谢以下的测试人员:
hahahababy,qqbeau,bbiverson,mopery,sxqqqq,Cons,hzqedison

由于这VBS用上WMI,所以....应该只支持以下的作业系统:
-Windows 2000 Pro
-Windows XP Pro
-Windows Server 2003

暂时发现不支持的:
-Windows XP Home

使用方法:
1. 请必先卸载QQ, 因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
(如果只是想清除 7939.com,7b.com.cn ,可以跳过这步 )

2.
a) 下载 9541_KickThemOut_v1.zip 并放到桌面, 解包 (感谢 轩辕小聪 提供空间)
http://krazaf.zip.io/9541_KickThemOut_v1.zip
http://yicong.hits.io/9541_KickThemOut_v1.zip

b) 之后在桌面会多了一个 9541_KickThemOut_v1 文件夹,打开这个文件夹,运行 KickThemOut.vbs
c) 按 Yes/是 开始,之后再提示你即将开始,按 OK/确定, 桌面将会消失 (如果桌面没有消失,应该是不支持)
d) 等两至三分钟 (这时你可以去弄个泡面) , 之后会提示将要重新启动电脑, 按 OK/确定
e) 重新启动电脑后,清除就完成了!

3. 你会发现 %SYSTEMDRIVE%\Suspicious file 这个文件夹, 没有文件的可以删除了,如果有DLL文件, 欢迎提交到
john31579@yahoo.com.hk


PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The VBScript is written by Krazaf/tkabc

如果清除不了,可以试试旧的清除工具:
4199.com/9505.com: http://forum.ikaka.com/topic.asp?board=28&artid=8188839





IE首页被锁定为 4199.com/9505.com 的问题和修复

(转自JM,感谢 Krazaf/tkabc)







近日四处看到不少有关IE首页被锁定为 4199.com 和 9505.com 的求助.....
先来一个小分析

1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader

2. 档案成功下载后,调用rundll32.exe运行那DLL

3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程

4. 主力是 explorer.exe 和 rundll32.exe
a) 检查更新
b) 下载Hosts档案 + 修改 Hosts 档案
c) 修改主页
d) 删除 7939.com 档案的启动项
e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马
1.png
图中是用我写的VBS检查 Riched32.dll

5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机

==========================================
花了两天时间写起来的,不好用不要见怪......
同时十分感谢以下的测试人员:
bbiverson,mopery,xbs,Cons,hzqedison,魔法学徒

虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题


使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件

2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招

3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包, 运行4199_9505 Fix.exe , 按 Extract 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat

c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情
2.png

请耐心等候,直到出现Finished!.....

3.png
4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk  文件夹就可以了

PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The BFU script and the batches are written by Krazaf/tkabc


下载地址:http://space.uwants.com/batch.download.php?aid=200154


常见问题:
Q: 重启之后没有反应,没出现 BFU.exe is running??
A: 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始,.....

如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version
http://space.uwants.com/batch.download.php?aid=200438

什么是 %SYSTEMDRIVE% ?
你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个.....
eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk


病毒扫描结果

STATUS: FINISHED
Complete scanning result of "4199_9505_Fix.zip", received in VirusTotal at 10.11.2006, 18:03:01 (CET).

Antivirus

VersionUpdateResult
AntiVir7.2.0.2510.11.2006 [td]no virus found
Authentium4.93.810.11.2006 [td]no virus found
Avast4.7.892.010.11.2006 [td]no virus found
AVG38610.11.2006 [td]no virus found
BitDefender7.210.11.2006 [td]no virus found
CAT-QuickHeal8.0010.11.2006 [td]no virus found
ClamAVdevel-2006042610.11.2006 [td]no virus found
DrWeb4.3310.11.2006 [td]no virus found
eTrust-InoculateIT23.73.1910.11.2006 [td]no virus found
eTrust-Vet30.3.312710.11.2006 [td]no virus found
Ewido4.010.11.2006 [td]no virus found
Fortinet2.82.0.010.11.2006 [td]no virus found
F-Prot3.16f10.11.2006 [td]no virus found
F-Prot44.2.1.2910.11.2006 [td]no virus found
Ikarus0.2.65.010.11.2006 [td]no virus found
Kaspersky4.0.2.2410.11.2006 [td]no virus found
McAfee487010.10.2006 [td]no virus found
Microsoft1.1603 10.11.2006 [td]no virus found
NOD32v21.179710.10.2006 [td]no virus found
Norman5.80.0210.11.2006 [td]no virus found
Sophos4.10.010.05.2006 [td]no virus found
TheHacker6.0.1.09510.11.2006 [td]no virus found
UNA1.8310.10.2006 [td]no virus found
VBA323.11.110.11.2006 [td]no virus found
VirusBuster4.3.7:910.11.2006 [td]no virus found

Aditional Information
File size: 343661 bytes
MD5: f3f57c5208ddb874517db7ff08302798
SHA1: 34fffa905860c84933acedec2fc91802bbf2f358
packers: UPX, UPX



[ 本帖最后由 ALEXBLAIR 于 2007-1-8 20:07 编辑 ]

4199_9505 Fix.zip

335.61 KB, 下载次数: 88

zuway
发表于 2006-10-11 21:09:28 | 显示全部楼层
支持咯
谢谢
qq389318871
发表于 2006-10-12 00:09:31 | 显示全部楼层
支持一个~~~
xpn282
发表于 2006-10-12 00:36:14 | 显示全部楼层
我也来顶一个........以后可能会论到我也不一定
tonkey
发表于 2006-10-12 20:56:53 | 显示全部楼层
非常感谢你~~!!
ltina
发表于 2006-10-13 22:02:48 | 显示全部楼层
顶个先~
快乐者来
发表于 2006-10-17 11:36:49 | 显示全部楼层
好!!!!!!!!!!!!!
童年
头像被屏蔽
发表于 2006-10-17 14:27:59 | 显示全部楼层
现在恶意东东太多啦。谢谢指导
20041230du
头像被屏蔽
发表于 2006-10-18 19:47:50 | 显示全部楼层
好啊,支持
rendagege
发表于 2006-10-19 17:54:36 | 显示全部楼层

支持

我也遇到了这个问题,苦恼死了,试试看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 19:28 , Processed in 0.138965 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表