该专杀工具可完全清除3448、4199、7939等流氓软件，该类流氓软件是一些更改IE浏览器首页地址的病毒，它们会不断的修改用户IE浏览器的主页，给用户带来极大的不便，并通过HOOK技术隐藏自己。主要有以下特点：

　　1.文件注册

　　病毒是一个DLL格式的文件，它利用DLL的一个函数名为Rundll32的函数把自己注册到系统中。

　　并且把系统中的Rundll32.exe复制一份副本，改名为8yo.exe(随机文件名)

　　之后病毒把自己复制到以下的地方:

　　%system%j9zpf.dll(随机文件名)

　　并释放另外一份病毒文件

　　%system%driversd3t.sys (随机文件名)

　　2.更改注册表

　　病毒会更改以下两处注册表，使自己能依靠Rundll32随Windows启动。

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVerionRun

　　5v(随机) -> C:WINDOWSsystem32rundll32.exe j9zpf.dll Rundll32

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVerionRun

　　8yo.exe(随机) -> C:WINDOWSsystem328yo.exe C:WINDOWSsystem32driversd3t.sys Rundll32

　　3.在QQ的安转目录拷贝病毒文件的一个副本，并替换掉QQ目录下的文件TIMProxy.dll，达到启动病毒的目的。

　　4.中止指定进程

　　病毒会不断的检测系统中的窗口，一但发现窗口标题栏上包含以下字符的，

　　或系统中进程名包含以下字符串的进程时，强行关闭计算机。

　　字符包括:

　　kill

　　3448

　　7939

　　4199

　　360save

　　专杀

　　yaass

　　filemon

　　regmon

　　wopticlean

　　4199_9505

　　4199 9505

　　41999505

　　9505专杀

　　4199.com/9505.com

　　icesword

　　3448专杀

　　unlocker

　　killbox

　　hijack

　　ollydbg

　　ewido anti-spyware

　　taskmgr

　　5.注入HOOK

　　两个病毒文件(j9zpf.dll与d3t.sys)会注入到系统中每一个进程的空间，

　　并使用了HOOK技术，隐藏了病毒添加的注册表项目。

　　使用户在注册表编辑器或一些用户级的系统软件中无法看到病毒添加的项目。

　　6.更改IE主页

　　病毒会不断的更改IE的主页为www.3448.com 或www.4199.com或www.7939.com

　　严重影响了用户的工作。