本文分两部分,一部分是解除4199对浏览器的劫持,并提供病毒样本下载,供研究练习之用;另一部分是与4199相关的故事。
一、解除4199对浏览器的劫持
1.被劫持的症状
和其他浏览器劫持一样,中了招之后,IE首页会锁定为“www.4199.com”。在IE属性里面重新设置主页无效,会被自动恢复。每次打开IE都会访问默认首页“www.4199.com”。
据4199的站长在新浪的博客中称“4199除了锁定用户首页外,不会导致用户其它的问题。”笔者在实际的清除过程中,也确实没有发现4199有其他行为。
2.清除过程
根据dreamland的清除方法,笔者实验成功。
(1)运行"regedit"。如果运行不了,将regedit.exe改名为regedit.com就可以运行了。
(2)在注册表中,按“Ctrl-F”搜索“rsrc.dll”,删除和rsrc.dll相关的项目。笔者在清除过程中只看到了两三个项目。
这个步骤需要注意:确定光标是选中的图中“我的电脑”,这样“查找”的范围才是整个系统的注册表而不是其中的一部分,如图2。
(3)在注册表中搜索“www.4199.com”,删除相关项目,并删除。此步骤和步骤(2)没多大区别。
(4)"Win-F"启动windows搜索功能,在查找所有硬盘上的rsrc.dll文件,通常这个文件在 windows\system32\文件夹下面。
找到后,使用unlocker解除rsrc.dll的锁定,并删除。
(5)用Hijackthis修复其他所有可疑项目。建议只修复自己知道的项目。在此处,只针对性性地对有“rsrc.dll”和“www.4199.com”内容的条目进行修复。选中需要修复的条目,点击左下的“Fix checked”按键进行修复。
注:图4中,红色方框①中的条目都是以04开头,从其条目名称也可以看出,这些项目是计算机启动时会自动加载的项目。删除不需要的。红色方框②中的条目都是以08开头,从条目的内容很容易看出,这个是浏览器左键菜单的相关条目。可以顺便整理一下臃肿的IE右键菜单。
Hijackthis是一个很强大的浏览器修复工具,建议有兴趣的读者自行研究一下。Hijackthis的安全用法是,将其生成的信息,贴到论坛去,请知道的人来指点,哪些条目可以删除,哪些不可以删除。
(6)重启计算机。此时的DNS被清空,需要重新设置。
注意:4199好像有很多版本,笔者中的只是其中一个比较“纯洁”的版本。如果有需要的朋友,可下载反流氓软件联盟提供的4199样本,安装试验,锻炼动手能力。[下载4199病毒样本]
下载回来的样本是一个dll文件。使用方法:在运行对话框中运行如下命令:(x:\xx\ 为rsrc.dll所在目录名称)
rundll32 x:\xx\rsrc.dll s
解决4199.com病毒的最终方法:
(1).卸载你电脑系统中的QQ,同时最好删除QQ的安装目录。(注意是否保留你的QQ留天记录及QQ表情,如果保留,保留你的QQ号码目录即可。)
(2).重新启动电脑,点击F8,进入安全模式,采用ewido3.5绿色中文版(本站提供的下载地址),在安全模式下快速扫描杀毒。
(3).用雅虎助手,IE修复专家清除一下,同时最好清除HOSTs表,然后点击保存。
(4).如果你自己有杀毒软件,在安全模式下,建议也扫描杀毒一下,即使不用来杀4199.COM,用来检查一下系统也是有益无害。
重新启动电脑,看是否已解决。