论坛: 病毒专区 标题: 求助(关于IE首页被蹿改的问题) 复制本贴地址    
作者: coolk [coolk]    论坛用户   登录
前些时候不小心进入了一个www.4199.com的导航网站,呵呵~~,通过N总IE修复工具却始终不得以修复,我修改了注册表,也卸载了QQ去修改还是不行。请有更好办法的朋友提出宝贵意见,谢谢!

地主 发表时间: 06-10-15 19:46
回复: zmdxl [zmdxl]   论坛用户   登录
附4199.com流氓软件清除方法:
首先用任务管理器结束 所有iexplore.exe 、rundll32.exe 和 Explorer.exe

之后在 任务管理器→文件→新建任务 开始运行里输入"Regedit"打开注册表编辑器,删除以下键值:

HKEY_LOCAL_MACHINE]
"?"="C:\\WINDOWS\\system32\\rundll32.exe rsrc.dll s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run"="C:\\WINDOWS\\system32\\rundll32.exe rsrc.dll s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.4199.com"
"CustomizeSearch"=http://www.4199.com


HOSTS文件也会被垃圾软件修改,被修改后的样式如下:
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7322.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 www.265.com
O1 - Hosts: 125.91.1.20 265.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 61.162.230.31 www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 218.201.94.20 down.Virussky.com
O1 - Hosts: 218.201.94.20 60.191.60.108
O1 - Hosts: 218.201.94.20 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 www.360safe.com
O1 - Hosts: 61.141.31.11 www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
请大家手动将这些全部删除就可以了。

之后删除 System32 目录下的 rsrc.dll

清除到此,系统已经干净了,但是只要一运行QQ,IE就又会被改为 www.4199.com ,经过仔细分析,
原来是这个垃圾流氓在QQ目录下边备份了一个DLL用做重做启动程序,此DLL为qqst.dll(很难发现吧?),大小和rsrc.dll一样大。
所以我们这里要增加一步,删除的时候一定要查找qqst.dll然后将其一起删除后再重新启动计算机,否则只要你运行了QQ,
就会再次中 www.4199.com 的圈套!!!

B1层 发表时间: 06-10-16 10:14
回复: rovecat [rovecat]   版主   登录
真TM魔高万丈呀,现在搞病毒的人真是越来越厉害了,这种败类不去写windows真是比尔大门的万幸呀

B2层 发表时间: 06-10-16 11:00
回复: saskatoon [saskatoon]   论坛用户   登录
方法是2楼自己解决的么?


在下佩服

我只是分析到QQ有.但是死活想不出哪个文件.只好全删了

B3层 发表时间: 06-10-21 22:58

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号