瑞星卡卡安全论坛

首先感谢TKabc（转自JM）
近日四处看到不少有关IE首页被锁定为 4199.com 和 9505.com 的求助.....

先来一个小分析

1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader

2. 档案成功下载后,调用rundll32.exe运行那DLL

3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程

4. 主力是 explorer.exe 和 rundll32.exe
a) 检查更新
b) 下载Hosts档案 + 修改 Hosts 档案
c) 修改主页
d) 删除 7939.com 档案的启动项
e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马

图1中是用我写的VBS检查 Riched32.dll

5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机

==========================================


虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题

使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件

2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招

3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包, 运行4199_9505 Fix.exe , 按 Extract 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat

c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情
  （ 图2  ）

请耐心等候,直到出现Finished!.....
（图3）

4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk  文件夹就可以了

PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The BFU script and the batches are written by Krazaf/tkabc

下载地址：http://space.uwants.com/batch.download.php?aid=200154


  常见问题:（加强说明）
Q: 重启之后没有反应,没出现 BFU.exe is running??
A: 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始,.....

如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version
http://space.uwants.com/batch.download.php?aid=200438

什么是 %SYSTEMDRIVE% ?
你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个.....
eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk

图1



附件: 7162552006109213417.png

图2



附件: 7162552006109213437.png

图3



附件: 7162552006109213459.png

怎么告诉我不能解压？

下载一个WINRAR的软件就可以解压
如果有效，请就地报上

我自己能行的，无邪

这个压缩文件格式未知者数据已经被损坏

引用:

【9505太可恶的贴子】这个压缩文件格式未知者数据已经被损坏 ………………

我自己能的，好多人试过，要不你去我的E盘下，我的E盘见我签名，在专杀盘里

更新了，网址换了，看能否下载，偶是能下的

可以用，我现在可以上hao123了
但是好C盘好象被动了……

先要卸QQ的，请仔细看帖子，C盘好象没改动的，如果有应该也是其他问题。。谢

QQ卸过了
没什么大毛病，有个别软件被删了！
谢谢你了！
也谢谢无邪和蓝天~~~~~~

谢谢楼主及各位大侠的努力，我刚刚用过了，目前一切正常了，有问题我会及时汇报，不知道该怎么感谢你们！

你们的感谢是偶们最好的回报

楼主的这个东东确实是个好东东,凡是中了"9505.com"的都可以来试试,效果好极了!!!!!!!!!!!1111

“你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了”
  这个去哪里找呀

引用:

【9505太可恶的贴子】“你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了”   这个去哪里找呀 ………………

你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个.....
eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk

=================

还有,
1. 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始.....

2. 如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version
http://space.uwants.com/batch.download.php?aid=200438

不行啊，一运行你给的软件，就关机了  啊~~~~


怎么办啊？

【回复“tkabc”的帖子】Zip version是什么？

用你给的连接下载了，运行之后还是关机

引用:

【卡卡拉卡卡的贴子】【回复“tkabc”的帖子】Zip version是什么？ 用你给的连接下载了，运行之后还是关机 ………………

是关机还是重新启动??

运行Fix.bat,按Y,按Enter会重新启动是正常的......

重新启动后如果没有BFU.exe is running,按照上面的做

我去试验下

tk 也来卡卡拉...呵呵。。。调查情况

关注一下，主题又更新了一下

我中了9505之后，将QQ卸载无法卸载（不能正确弹出对话框），按uninst是无效的（没反应，跟没按一样）。使用控制面板内的添加删除的时候凡是跟QQ相关的例如QQ在线播放/TM都无法卸载，但是我卸载real等其它软件的时候能够正确弹出卸载或者修复的对话框。
现在要出门了……

卸载不了，到安全模式下再试

不行就下载个优化大师卸载

QQ直接删除也没有关系，删除不了，可以进安全模式下删除、。

我机子中的是4199.COM.因为朋友机子中了这个..为了帮他杀只好自己也中了试试怎么删除...

下面是我用的方法....目前为止挺有效的..没在弹出来..
1,安全模式按F8进入。

2。打开IE。把主页地址改了把临时文件。删除COOKIES 删除文件。清除历史记录。

3。卡卡。启动项管理。把RUN前的对勾去了。确定。
4。进入C:\WINDOWS\system32\把rsrc.dll删除。看看有没有user.dll。。有也删除了。
5。开始-》运行。regedit 搜索有rsrc.dll 找到后。删除。
6。打开卡卡用全面修复
7。在桌面上建个记事本。打开C:\WINDOWS\system32\drivers\etc下的HOSTS。
把里面的东西清空。。保存。。。
8。在安装QQ的文件里找。QQST。DLL。。删除。。在注册表里也要删除。。
重启。。解决。。

谢谢楼主及各位大侠的努力,让我的IE灰复正常了.

貌似瑞星最新版本18.48.12可以删除mvlib.dll了！