浏覽器被劫持：解除4199威脅及其它

本文分兩部分，一部分是解除4199對浏覽器的劫持，並提供病毒樣本下載，供研究練習之用；另一部分是與4199相關的故事。

一、解除4199對浏覽器的劫持

1.被劫持的症狀

和其他浏覽器劫持一樣，中了招之後，IE首頁會鎖定為“”。在IE屬性裡面重新設置主頁無效，，會被自動恢復。每次打開IE都會訪問默認首頁“”。

據4199的站長在新浪的博客中稱“4199除了鎖定用戶首頁外，不會導致用戶其它的問題。”筆者在實際的清除過程中，也確實沒有發現4199有其他行為。

2.清除過程

根據dreamland的清除方法，筆者實驗成功。

(1)運行"regedit"。如果運行不了，將regedit.exe改名為regedit.com就可以運行了。

圖1運行regedit

(2)在注冊表中，按“Ctrl-F”搜索“rsrc.dll”，刪除和rsrc.dll相關的項目。筆者在清除過程中只看到了兩三個項目。
　　這個步驟需要注意：確定光標是選中的圖中“我的電腦”，這樣“查找”的范圍才是整個系統的注冊表而不是其中的一部分，如圖2。

·全國首發 非IE內核浏覽器橫向評測·有意思！你絕對想不到浏覽器還有這個功·徹底告別浏覽器彈出窗口·測評:主流浏覽器橫向大比拼·到底是誰控制了我們的浏覽器？·使用的浏覽器反映出了你的個性？·浏覽器彈出窗口清除全攻略·刪除浏覽器地址欄中的網址方法五則·聊天軟件被禁不用愁 浏覽器裡狂聊天·三大主流浏覽器對陣：誰更勝一籌？ 圖2 查找整個注冊表中關於“rsrc.dll”的記錄

(3)在注冊表中搜索“”，刪除相關項目，並刪除。此步驟和步驟(2)沒多大區別。

(4)"Win-F"啟動windows搜索功能，在查找所有硬盤上的rsrc.dll文件，通常這個文件在 windows\system32\文件夾下面。

圖3 搜索並找到rsrc.dll的位置

找到後，使用unlocker解除rsrc.dll的鎖定，並刪除。

　　(5)用Hijackthis修復其他所有可疑項目。建議只修復自己知道的項目。在此處，只針對性性地對有“rsrc.dll”和“”內容的條目進行修復。選中需要修復的條目，點擊左下的“Fix checked”按鍵進行修復。

·全國首發 非IE內核浏覽器橫向評測·有意思！你絕對想不到浏覽器還有這個功·徹底告別浏覽器彈出窗口·測評:主流浏覽器橫向大比拼·到底是誰控制了我們的浏覽器？·使用的浏覽器反映出了你的個性？·浏覽器彈出窗口清除全攻略·刪除浏覽器地址欄中的網址方法五則·聊天軟件被禁不用愁 浏覽器裡狂聊天·三大主流浏覽器對陣：誰更勝一籌？ 圖4 用Hijackthis修復浏覽器

注：圖4中，紅色方框①中的條目都是以04開頭，從其條目名稱也可以看出，這些項目是計算機啟動時會自動加載的項目。刪除不需要的。紅色方框②中的條目都是以08開頭，從條目的內容很容易看出，這個是浏覽器左鍵菜單的相關條目。可以順便整理一下臃腫的IE右鍵菜單。

Hijackthis是一個很強大的浏覽器修復工具，建議有興趣的讀者自行研究一下。Hijackthis的安全用法是，將其生成的信息，貼到論壇去，請知道的人來指點，哪些條目可以刪除，哪些不可以刪除。

(6)重啟計算機。此時的DNS被清空，需要重新設置。

圖5 筆者被4199清空的DNS

注意：4199好像有很多版本，筆者中的只是其中一個比較“純潔”的版本。如果有需要的朋友，可下載反流氓軟件聯盟提供的4199樣本，安裝試驗，鍛煉動手能力。[下載4199病毒樣本]

下載回來的樣本是一個dll文件。使用方法：在運行對話框中運行如下命令：（x:\xx\ 為rsrc.dll所在目錄名稱）

rundll32 x:\xx\rsrc.dll s

二、和4199相關的故事

在尋找4199病毒樣本和解決方法的過程中，筆者看到了一些現象。分享之，以提醒在網上漂的朋友——小心呀！

1.4199是個徹頭徹尾的模仿網站

首先介紹一個這個4199.com網站。4199是一個靠模仿生存的網站，在站點定位和形式上模仿hao123.com，在推廣上也模仿hao123，連hao123在初期使用的不良的推廣方式（浏覽器劫持推廣）也模仿（4199站長如此說，暫聽信之）。

這樣模仿了還不算，4199還模仿之前某位用浏覽器劫持做流氓推廣的站長的炒作手段，在新浪開個博客，發個名為《也許有一天4199也會從良的！》的日記讓眾多網友罵。

4199的站長在博客中很委屈：“我做站七年了，不比hao123早，在七年中，那怕再困難，我都堅持自己的原則，說簡單點，為了讓用戶有更好的體驗！我連漂浮廣告都不放的人！可是事實上！又如何！”

筆者想說，創意和定位相仿，說不定就是復制hao123，流氓推廣也模仿，連炒作手段的也是模仿別人的站長做出來的站，又要期望它做得如何呢？

2.小人別有用心，趁火打劫

此段內容引自中華閣，薛中華在尋找4199的解決方法的過程中，看到了一些人在趁火打劫……

“我打開搜索4199.com，從搜索的結果發現還有很多人都同樣中了這個煩惱的病毒，同時有些貼子給出了方法，而且在方法中會推薦一些軟件教你清理，其中很多個貼子，直接推薦給你幾個軟件教你如何按步驟下載清理，他會同時給出下載的地址，於是我下載下來。

其實這些工具中，部分軟件我電腦中也有，但我還是下載了它的版本，我有一個下載習慣，下載的軟件，一定會用卡巴查毒，結果不出所料，裡面有木馬N個，這種事情見多了，所以再次提醒朋友們，從網上下載的軟件一定不要忘記了先查毒然後再解壓安裝，安裝好後，也要看一下啟動項中有沒有多了什麼不正常的啟動程序。不要隨意的相信一些個人站點給出的解決問題的方法。

在各大網站上沒有找到有效的解決4199.com的病毒方法後，我又進入百度的貼吧，百度的貼吧信息比較全，於是我直接試著進入4199的貼吧，此吧不但存在，還興旺的很，中招的人真不少，求醫的人多，賣藥的更多，不過其賣藥者的居心就要注意了，我給大家看一組圖：

圖6 自賣自誇？

·全國首發 非IE內核浏覽器橫向評測·有意思！你絕對想不到浏覽器還有這個功·徹底告別浏覽器彈出窗口·測評:主流浏覽器橫向大比拼·到底是誰控制了我們的浏覽器？·使用的浏覽器反映出了你的個性？·浏覽器彈出窗口清除全攻略·刪除浏覽器地址欄中的網址方法五則·聊天軟件被禁不用愁 浏覽器裡狂聊天·三大主流浏覽器對陣：誰更勝一籌？ 圖7 小心下載後綴名為.exe的文件

這樣的惡意的用心良苦的貼子太多了，我就不一一貼出來了，只是提醒大家在看貼子的時候，注意多看幾個回復，也許你就會發現問題，還有一點就是下載的軟件一定要先查毒，否則病毒沒有殺到，反而又安裝了一個病毒包，就更麻煩了。同時還有一種更險惡的情況是，不排除病毒的制造著使用專業的寫手來寫一些並沒有效果的病毒清除方法來誤導中招的人。也不排除病毒的制造著根據大家有效的解決方法，升級病毒程序來應對的情況。

最後告訴大家本人幫朋解決4199.com病毒的最終方法，他的系統是winxp，此種方法，本人現已確認清除了4199.com的病毒，如果你使用後，還是沒有清除，請再采用其它的方法或檢查本方法是否使用正確！

(1).卸載你電腦系統中的QQ，同時最好刪除QQ的安裝目錄。（注意是否保留你的QQ留天記錄及QQ表情,如果保留，保留你的QQ號碼目錄即可。）

(2).重新啟動電腦，點擊F8，進入安全模式，采用ewido3.5綠色中文版（本站提供的下載地址），在安全模式下快速掃描殺毒。

(3).用雅虎助手,IE修復專家清除一下，同時最好清除HOSTs表,然後點擊保存。

(4).如果你自己有殺毒軟件，在安全模式下，建議也掃描殺毒一下，即使不用來殺4199.COM，用來檢查一下系統也是有益無害。

重新啟動電腦，看是否已解決。

文章的最後我想再次告訴大家，如果你不想經常被這些惡意的網站所侵襲，建議你除了少上個人站點以外，最好拒絕使用Internet Explorer浏覽器，用火狐或者其它第三方浏覽器皆可免去很多麻煩，現在互聯網上別有用心的太多，防不勝防。（引用內容結束）

3.反XX聯盟再次出現

當Google有了中文名“谷歌”的時候，有了反Google聯盟；當百度上市後，有了反百度聯盟；當流氓軟件橫行的時候有了反流氓軟件聯盟；當4199、7939和9505等浏覽器劫持行為瘋狂起來的時候，有了反4199、7939和9505聯盟……

互聯網很亂，未成年人請在父母指導下使用。