本文分两部分,一部分是解除4199对浏览器的劫持,并提供病毒样本下载,供研究练习之用;另一部分是与4199相关的故事。
一、解除4199对浏览器的劫持
1.被劫持的症状
和其他浏览器劫持一样,中了招之后,IE首页会锁定为“www.4199.com”。在IE属性里面重新设置主页无效,会被自动恢复。每次打开IE都会访问默认首页“www.4199.com”。
据4199的站长在新浪的博客中称“4199除了锁定用户首页外,不会导致用户其它的问题。”笔者在实际的清除过程中,也确实没有发现4199有其他行为。
2.清除过程
根据dreamland的清除方法,笔者实验成功。
(1)运行"regedit"。如果运行不了,将regedit.exe改名为regedit.com就可以运行了。
图1运行regedit
(2)在注册表中,按“Ctrl-F”搜索“rsrc.dll”,删除和rsrc.dll相关的项目。笔者在清除过程中只看到了两三个项目。
·全国首发 非IE内核浏览器横向评测·有意思!你绝对想不到浏览器还有这个功·彻底告别浏览器弹出窗口·测评:主流浏览器横向大比拼·到底是谁控制了我们的浏览器?·使用的浏览器反映出了你的个性?·浏览器弹出窗口清除全攻略·删除浏览器地址栏中的网址方法五则·聊天软件被禁不用愁 浏览器里狂聊天·三大主流浏览器对阵:谁更胜一筹? 图2 查找整个注册表中关于“rsrc.dll”的记录
(3)在注册表中搜索“www.4199.com”,删除相关项目,并删除。此步骤和步骤(2)没多大区别。
(4)"Win-F"启动windows搜索功能,在查找所有硬盘上的rsrc.dll文件,通常这个文件在 windows\system32\文件夹下面。
图3 搜索并找到rsrc.dll的位置
找到后,使用unlocker解除rsrc.dll的锁定,并删除。
·全国首发 非IE内核浏览器横向评测·有意思!你绝对想不到浏览器还有这个功·彻底告别浏览器弹出窗口·测评:主流浏览器横向大比拼·到底是谁控制了我们的浏览器?·使用的浏览器反映出了你的个性?·浏览器弹出窗口清除全攻略·删除浏览器地址栏中的网址方法五则·聊天软件被禁不用愁 浏览器里狂聊天·三大主流浏览器对阵:谁更胜一筹? 图4 用Hijackthis修复浏览器
注:图4中,红色方框①中的条目都是以04开头,从其条目名称也可以看出,这些项目是计算机启动时会自动加载的项目。删除不需要的。红色方框②中的条目都是以08开头,从条目的内容很容易看出,这个是浏览器左键菜单的相关条目。可以顺便整理一下臃肿的IE右键菜单。
Hijackthis是一个很强大的浏览器修复工具,建议有兴趣的读者自行研究一下。Hijackthis的安全用法是,将其生成的信息,贴到论坛去,请知道的人来指点,哪些条目可以删除,哪些不可以删除。
(6)重启计算机。此时的DNS被清空,需要重新设置。
图5 笔者被4199清空的DNS
注意:4199好像有很多版本,笔者中的只是其中一个比较“纯洁”的版本。如果有需要的朋友,可下载反流氓软件联盟提供的4199样本,安装试验,锻炼动手能力。[下载4199病毒样本]
下载回来的样本是一个dll文件。使用方法:在运行对话框中运行如下命令:(x:\xx\ 为rsrc.dll所在目录名称)
rundll32 x:\xx\rsrc.dll s
二、和4199相关的故事
在寻找4199病毒样本和解决方法的过程中,笔者看到了一些现象。分享之,以提醒在网上漂的朋友——小心呀!
1.4199是个彻头彻尾的模仿网站
首先介绍一个这个4199.com网站。4199是一个靠模仿生存的网站,在站点定位和形式上模仿hao123.com,在推广上也模仿hao123,连hao123在初期使用的不良的推广方式(浏览器劫持推广)也模仿(4199站长如此说,暂听信之)。
这样模仿了还不算,4199还模仿之前某位用浏览器劫持做流氓推广的站长的炒作手段,在新浪开个博客,发个名为《也许有一天4199也会从良的!》的日记让众多网友骂。
4199的站长在博客中很委屈:“我做站七年了,不比hao123早,在七年中,那怕再困难,我都坚持自己的原则,说简单点,为了让用户有更好的体验!我连漂浮广告都不放的人!可是事实上!又如何!”
笔者想说,创意和定位相仿,说不定就是复制hao123,流氓推广也模仿,连炒作手段的也是模仿别人的站长做出来的站,又要期望它做得如何呢?
2.小人别有用心,趁火打劫
此段内容引自中华阁,薛中华在寻找4199的解决方法的过程中,看到了一些人在趁火打劫……
“我打开www.baidu.com.搜索4199.com,从搜索的结果发现还有很多人都同样中了这个烦恼的病毒,同时有些贴子给出了方法,而且在方法中会推荐一些软件教你清理,其中很多个贴子,直接推荐给你几个软件教你如何按步骤下载清理,他会同时给出下载的地址,于是我下载下来。
其实这些工具中,部分软件我电脑中也有,但我还是下载了它的版本,我有一个下载习惯,下载的软件,一定会用卡巴查毒,结果不出所料,里面有木马N个,这种事情见多了,所以再次提醒朋友们,从网上下载的软件一定不要忘记了先查毒然后再解压安装,安装好后,也要看一下启动项中有没有多了什么不正常的启动程序。不要随意的相信一些个人站点给出的解决问题的方法。
在各大网站上没有找到有效的解决4199.com的病毒方法后,我又进入百度的贴吧,百度的贴吧信息比较全,于是我直接试着进入4199的贴吧,此吧不但存在,还兴旺的很,中招的人真不少,求医的人多,卖药的更多,不过其卖药者的居心就要注意了,我给大家看一组图:
图6 自卖自夸?
·全国首发 非IE内核浏览器横向评测·有意思!你绝对想不到浏览器还有这个功·彻底告别浏览器弹出窗口·测评:主流浏览器横向大比拼·到底是谁控制了我们的浏览器?·使用的浏览器反映出了你的个性?·浏览器弹出窗口清除全攻略·删除浏览器地址栏中的网址方法五则·聊天软件被禁不用愁 浏览器里狂聊天·三大主流浏览器对阵:谁更胜一筹? 图7 小心下载后缀名为.exe的文件
这样的恶意的用心良苦的贴子太多了,我就不一一贴出来了,只是提醒大家在看贴子的时候,注意多看几个回复,也许你就会发现问题,还有一点就是下载的软件一定要先查毒,否则病毒没有杀到,反而又安装了一个病毒包,就更麻烦了。同时还有一种更险恶的情况是,不排除病毒的制造着使用专业的写手来写一些并没有效果的病毒清除方法来误导中招的人。也不排除病毒的制造着根据大家有效的解决方法,升级病毒程序来应对的情况。
最后告诉大家本人帮朋解决4199.com病毒的最终方法,他的系统是winxp,此种方法,本人现已确认清除了4199.com的病毒,如果你使用后,还是没有清除,请再采用其它的方法或检查本方法是否使用正确!
(1).卸载你电脑系统中的QQ,同时最好删除QQ的安装目录。(注意是否保留你的QQ留天记录及QQ表情,如果保留,保留你的QQ号码目录即可。)
(2).重新启动电脑,点击F8,进入安全模式,采用ewido3.5绿色中文版(本站提供的下载地址),在安全模式下快速扫描杀毒。
(3).用雅虎助手,IE修复专家清除一下,同时最好清除HOSTs表,然后点击保存。
(4).如果你自己有杀毒软件,在安全模式下,建议也扫描杀毒一下,即使不用来杀4199.COM,用来检查一下系统也是有益无害。
重新启动电脑,看是否已解决。
文章的最后我想再次告诉大家,如果你不想经常被这些恶意的网站所侵袭,建议你除了少上个人站点以外,最好拒绝使用Internet Explorer浏览器,用火狐或者其它第三方浏览器皆可免去很多麻烦,现在互联网上别有用心的太多,防不胜防。(引用内容结束)
3.反XX联盟再次出现
当Google有了中文名“谷歌”的时候,有了反Google联盟;当百度上市后,有了反百度联盟;当流氓软件横行的时候有了反流氓软件联盟;当4199、7939和9505等浏览器劫持行为疯狂起来的时候,有了反4199、7939和9505联盟……
互联网很乱,未成年人请在父母指导下使用。