http://www.4199.com老是成为IE主页,改都改不了!!【求助】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 http://www.4199.com老是成为IE主页,改都改不了!!【求助】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

http://www.4199.com老是成为IE主页,改都改不了!!【求助】

schedule 初生襁褓狮帖子:1 注册: 2006-10-09 来自:	发表于： 2006-10-09 19:06 \| 只看楼主短消息资料字号：小中大 1楼 http://www.4199.com老是成为IE主页,改都改不了!!【求助】可恶啊,流氓~ 2006-10-11 09:57:11
schedule 初生襁褓狮帖子:1 注册: 2006-10-09 来自:	分享到：

afdsafdsaf 初生襁褓狮帖子:3 注册: 2006-10-09 来自:	发表于： 2006-10-09 20:36 \| 短消息资料字号：小中大 2楼在安全模式下　结束　ＥＸＰＬＯＥＲＥ进程　　然后　查找　rsrl.dll好象是这个　　我忘了　　你查下ＲＵＮ进程后面多了项参数　就是那个ＤＬＬ文件　　然后把它删了　　再重新启动ＥＸＰＬＯＥＲＥ　　删掉注册表的　ＷＷＷ．４１９９．ＣＯＭ　和ＲＳＲＬ．ＤＬＬ键值
afdsafdsaf 初生襁褓狮帖子:3 注册: 2006-10-09 来自:

meng115179376 初生襁褓狮帖子:1 注册: 2006-10-10 来自:	发表于： 2006-10-10 02:17 \| 短消息资料字号：小中大 3楼就这个东西，昨天删了两小时没有删掉晕死还有EXE文件无关联了重新关联，过一会关联自己又没有啦差点郁闷死
meng115179376 初生襁褓狮帖子:1 注册: 2006-10-10 来自:

keweiye 初生襁褓狮帖子:4 注册: 2006-10-11 来自:	发表于： 2006-10-11 10:05 \| 短消息资料字号：小中大 4楼第一步。先把网线拔掉，以防2次感染。第二步。到C:\WINDOWS\system32\drivers\etc\目录，将hosts文件用记事本打开，除保留“127.0.0.1 localhost”以外，其他主机表记录全部删除。其实全部删除了也可以，记得修改后要保存哦（这步是修改有些网站被恶意定向，比如你输入是360safe 但是打开的却是4199）第三步。到注册表去搜索和删除有关4199 和 rsrc.dll 的项目。（不单单是run项里面的哦，发现单独删这个还是会出来的）第四步。重新启动进入安全模式，查找qqst.dll rsrc.dll user.dll 能查到的全删到回收站去（先删到回收站是怕万一系统出现问题可以回复回去，要是直接永久删除等下万一。。。。。哭死）第五步。重启电脑，插上网线，去上网吧。上面是方法一。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。先来一个小分析 1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader 2. 档案成功下载后,调用rundll32.exe运行那DLL 3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程 4. 主力是 explorer.exe 和 rundll32.exe a) 检查更新 b) 下载Hosts档案 + 修改 Hosts 档案 c) 修改主页 d) 删除 7939.com 档案的启动项 e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马图中是用我写的VBS检查 Riched32.dll 5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机 ========================================== 花了两天时间写起来的,不好用不要见怪...... 同时十分感谢以下的测试人员: bbiverson,mopery,xbs,Cons,hzqedison,魔法学徒虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题使用方法: 1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件 2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招 3. a) 下载 4199_9505 Fix.zip 并放到桌面, 解包, 运行4199_9505 Fix.exe , 按 Extract 解包 b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑 d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按确定 / OK 后, 这时请不要做任何事情请耐心等候,直到出现Finished!..... 4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了 PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\ The BFU script and the batches are written by Krazaf/tkabc 一些加强说明: 1. 什么是 %SYSTEMDRIVE% ? 你的系统放在哪个分区,%SYSTEMDRIVE%就会是那个..... eg. 我的系统装在 C:\ ,那backup_tk就会在 C:\Backup_tk 2. 如果重启之后,没提示BFU.exe is running? 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk 运行 bfu.exe ,按文件夹的图标选取 fix.bfu,按 Execute 开始..... 3. 如果你运行4199_9505 Fix.exe会被强制关机,请使用Zip version http://space.uwants.com/batch.download.php?aid=200438 --------------------------------------------------------------- 专杀下载地址: http://space.uwants.com/batch.download.php?aid=200154 http://mopery.hits.io/4199_9505 Fix.zip 在此感谢作者:tkabc
keweiye 初生襁褓狮帖子:4 注册: 2006-10-11 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT