7939.com,7b.com.cn,9505.com,4199.com 这四个流氓,相信这几个月大家都看过不少
不停进行更新想逃过不少安全软件,清除工具的清除操作!

特别是9505.com,4199.com, 十分恶心!
9505.com作者还把 mopery 同 我tkabc 个空间都加到9505.com的 hosts,想阻止中招用户下载清除工具

新的变种会修改瑞星安装目录下的一个文件(RegWhite.usr)

加上有一些使用者说用不了上次的4199.com/9505.com清除工具,这几天花了点时间,看了下Microsoft Script Center,用VBS重写一下
再把 7939.com,7b.com.cn 清除加进去,方便大家
-USE IT AT YOUR OWN RISK!!!
-不好用不要见怪......

由于这VBS用上WMI,所以....应该只支持以下的作业系统:
-Windows 2000 Pro
-Windows XP Pro
-Windows Server 2003

暂时发现不支持的:
-Windows XP Home

使用方法:
1. 请必先卸载QQ, 因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
(如果只是想清除 7939.com,7b.com.cn ,可以跳过这步 )

2.
a) 下载 9541_KickThemOut_v1.zip 并放到桌面, 解包

专杀工具下载：http://www.motoyi.com/Down/Specialized/200705/Down_26.shtml

b) 之后在桌面会多了一个 9541_KickThemOut_v1 文件夹,打开这个文件夹,运行 KickThemOut.vbs
c) 按 Yes/是 开始,之后再提示你即将开始,按 OK/确定, 桌面将会消失 (如果桌面没有消失,应该是不支持)
d) 等两至三分钟 (这时你可以去弄个泡面) , 之后会提示将要重新启动电脑, 按 OK/确定
e) 重新启动电脑后,清除就完成了!

3. 你会发现 %SYSTEMDRIVE%\Suspicious file 这个文件夹, 没有文件的可以删除了,如果有DLL文件, 欢迎提交到john31579@yahoo.com.hk

PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The VBScript is written by Krazaf/tkabc
BFU.exe - 由Merijn.org,HijackThis 作者编写