本文分两部分,一部分是解除4199对浏览器的劫持,并提供病毒样本下载,供研究练习之用;另一部分是与4199相关的故事。
一、解除4199对浏览器的劫持
1.被劫持的症状
和其他浏览器劫持一样,中了招之后,IE首页会锁定为“www.4199.com”。在IE属性里面重新设置主页无效,会被自动恢复。每次打开IE都会访问默认首页“www.4199.com”。
据4199的站长在新浪的博客中称“4199除了锁定用户首页外,不会导致用户其它的问题。”笔者在实际的清除过程中,也确实没有发现4199有其他行为。
2.清除过程
根据dreamland的清除方法,笔者实验成功。
(1)运行"regedit"。如果运行不了,将regedit.exe改名为regedit.com就可以运行了。
(2)在注册表中,按“Ctrl-F”搜索“rsrc.dll”,删除和rsrc.dll相关的项目。笔者在清除过程中只看到了两三个项目。
