首页被4199.com锁定的解决方案（转）

来源：http://blog.163.com/michael_lys/blog/static/5006202006921113758986/
病毒名称:诡秘下载器变种CXW(Trojan.DL.Delf.cxw)
病毒类型:流氓软件
病毒危害级别:★★★☆
病毒发作现象及危害:
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE浏览器的主页锁定为一个名叫“4199上网导航”的网站，以提高该网站的访问量.该病毒会试图禁止多种安全工具软件运行,并会造成一些主流杀毒软件运行不正常.它还会自动从http//down.Viru??ky.com下载新的病毒并运行。


清除内存中的病毒：

1、在任务管理器中找到名为"iexplore.exe" 、"rundll32.exe" 和 "Explorer.exe"的进程，单击鼠标右键，选择“结束进程”。 “Explorer.exe”进程被结束后将会看不到桌面图标和任务栏，这时按住Ctrl+Alt+Del键，启动任务管理器，点击菜单“文件”→“新建任务（运行…）”，输入“explorer.exe”，点击“确定”。

2、找到user.dll,将其改名或删除。此时user.dll就没有加载了，查找c盘上的所有user.dll发现在c:\user.dll ,c:\winnt\system32\下均有一个40k的user.dll,将user.dll删除或改名，

3、重启机器，重新设置首页就行了。
贴子相关图片:


二、修复注册表
在 任务管理器→文件→新建任务 开始运行里输入"Regedit"打开注册表编辑器，删除以下键值：

HKEY_LOCAL_MACHINE]
"?"="C:\\WINDOWS\\system32\\rundll32.exe rsrc.dll s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run"="C:\\WINDOWS\\system32\\rundll32.exe rsrc.dll s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.4199.com"
"CustomizeSearch"=http://www.4199.com

HOSTS文件也会被垃圾软件修改，被修改后的样式如下：
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7322.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 www.265.com
O1 - Hosts: 125.91.1.20 265.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 61.162.230.31 www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 218.201.94.20 down.Virussky.com
O1 - Hosts: 218.201.94.20 60.191.60.108
O1 - Hosts: 218.201.94.20 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 www.360safe.com
O1 - Hosts: 61.141.31.11 www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
请大家手动将这些全部删除就可以了。

三、删除病毒文件
1、打开“我的电脑”，选择菜单“工具”→“文件夹选项”，点击“查看”，取消“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。
2、进入:c:\user.dll ,c:\winnt\system32\,将user.dll删除，（部分变种dll文件的名称为rsrc.dll）.
3、在QQ图标上点击右键-属性-查找目标,进入QQ目录,找到"qqst.dll"删除.(此文件是病毒的启动程序).
4、重启电脑.

四、修复IE首页
打开IE浏览器，点击菜单“工具”→“Internet选项”，打开“常规”选项页，在“主页”处自行设置IE的主页地址。

用杀毒软件清除：
由于该病毒变种繁多，DLL文件名称不固定，手工清除有一定困难，建议用户使用瑞星杀毒软件进行清除。清除该病毒时需注意以下三点：
1、必须在杀毒软件的查杀目标中勾选“内存”
由于该病毒会注入到系统进程当中，因此查杀该病毒必须先对内存进行检查，否则可能出现查杀失败。
贴子相关图片:

2、一定要把QQ软件的那个目录用杀毒软件在安全模式下扫一次.

3、杀毒后需重新启动计算机
瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启动计算机即可清除该病毒。



也可用一下杀毒软件清除:
1.Wopti 流氓软件清除大师，官网http://www.wopti.net
2.360安全卫士，官网http://www.360safe.com
3.金山反间谍，官网http://db.kingsoft.com

另外也可以使用4199/9505专杀工具

→下载地址←

使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件

2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招

3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包, 运行4199_9505 Fix.exe , 按 Extract 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat

c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情




请耐心等候,直到出现Finished!.....




4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了

PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The BFU and the batches are written by Krazaf/tkabc

一些加强说明:

1. 什么是 %SYSTEMDRIVE% ?
你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个.....
eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk


2. 如果重启之后,没提示BFU.exe is running?
重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始.....

3. 如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version