小弟的电脑不知为什么一支去，如果我用了瑞星卡卡上网安全助手就会自动关机，进不了安全模式，都不知道怎么办。我是用朋友的电脑发这个帖子，求各位大大可以帮小弟解决问题。
下面的内容是关于这个病毒的转帖，以供各位大大参考：


【转帖】google,yahoo变百度病毒解决方案

昨日牙龈发炎，无心正事，遂在网络闲逛之，百度搜索“酷站导航”，逐个点之，不知哪方神仙，对小弟厚爱有佳，firefox乃小弟首选browser，仍 遭黑手。只见360safe曰：“360safe模块遭到破坏”，小弟不知何意，computer已被强制关机。心中不祥，预感中招。

第一回合
开机查看进程，两异常进程“iexplore.exe” “rundll32.exe”，吾以为病毒之兆，遂强结束之。久经沙场，病毒/木马已司空见惯，按部就班，打开卡巴斯基，扫描关键地带，结果显示2木马程 序，删除之，启动360safe作系统扫描，不料360safe主程序被删，并自动强制关机。深感此木马之强大。开机又来，进程仍有 “iexplore.exe” “rundll32.exe”，强制结束进程后，打开大名鼎鼎的SREng，不料这位老兄也被该病毒“强奸”（删除），然后系统又自动关机。此乃吾平生之 所见，最牛氓的牛氓软件。某位名人说过，“懒惰是推动人类进步的动力！” 遂决定为人类的进步贡献我的绵薄之力，开机“一键还原”，15min后，系统正常，窃喜之。启动qq。片刻，“iexplore.exe” “rundll32.exe”再次如幽灵般现身！点击“超级兔子”，该程序也遭受了360safe，SREng同样的命运，主程序被删，自动关机。小弟恼 羞成怒，决定与此牛氓软件决一死战，岂能让该牛氓软件洋洋得意焉？
第二回合
开机再来，兵法有云，“知己知彼，百战百胜”，为了了解该病毒的来头，小弟上百度搜索它的X档案，查了半天，一头雾水，仍不知该病毒底细，只隐约有点 viking变种病毒的味道。以前从未遇到过这种情况。遂下载viking专杀，扫描完毕，无果。根据常识，杀毒应进安全模式，并断网。遂关机重启，拔掉 网线，F8，选择xp安全模式，不料根本无法进入安全模式，系统蓝屏(小弟不得不佩服该病毒的作者)。重启后，进入xp,仍然先结束 “iexplore.exe” “rundll32.exe”，并以“迅雷不及掩耳之势”启动SREng，不知是小弟运气好，还是该病毒作者疏忽，这次SREng正常启动，甚悦！犹如一 个正在作战的人，突然多了一个很强大的武器！运行SREng的BootItems，看到注册表有2异常隐藏启动项，删之！又运行360safe清除系统中 的牛氓软件，病毒终于现身！原来是一牛氓软件，名曰“4199/9505/3448”，如此怪异之名字，想必该牛氓软件作者也是怪异之人也！大获全胜，开 qq，不料片刻该牛氓软件再次如幽灵般现身！吾心有余悸，莫非此乃传说中的史上最牛氓的牛氓软件乎？欲知后事如何，且看第三回。
第三回合
开机再来，总结经验，在第二回合中，小弟心浮气躁，导致功亏一篑，常有名士告诫吾曰：“做人要低调”，看来对付病毒也得低调。不过古人有云，“失败乃成功 它妈妈”，“亡羊补牢，为时未晚“，遂小弟决定潜心研究该牛氓软件。上百度，查询半天，一头雾水，小弟正一筹莫展时，决定向google老兄求救，不料该 牛氓软件给我来了一招更绝的，www.google.com直接导向到了cn.yahoo.com ，而这个页面不是雅虎中国的，却是百度公司的（其实并不是百度公司的主页，此乃恶意软件用百度主页的模版写的一个页面而已，和百度主页极为相似）。正如陆游 同学说的，“山穷水复疑无路,柳暗花明又一村”，小弟又找到了一条线索！又在百度里查询cn.yahoo.com，不查不知道，一查吓一跳，原来网上也有 很多遭到该牛氓软件毒手的同胞，顺藤摸瓜，终于查清了该病毒的冰山一角，刚才出现的情况，叫“域名劫持”，原来在C:\WINDOWS\system32 \drivers\etc目录下的hosts文件里保存了域名与IP地址的映射关系，小弟保存了该文件，内容如下：
127.0.0.1          localhost
218.83.161.65      www.hao123.com
218.83.161.65      hao123.com
218.83.161.65      www.7939.com
218.83.161.65    www.360safe.com
218.83.161.65      360safe.com
218.83.161.65      update.360safe.com
218.83.161.65      dl.360safe.com
218.83.161.65    bbs.360safe.com
218.83.161.65      www.btbaicai.com
218.83.161.65      btbaicai.com
218.83.161.65    www.pctutu.com
218.83.161.65      www.7322.com
218.83.161.65      www.5566.net
218.83.161.65      www.9991.com
218.83.161.65      9991.com
218.83.161.65    forum.ikaka.com
218.83.161.65      www.ikaka.com
218.83.161.65      update.ikaka.com
218.83.161.65      www.piaoxue.com
218.83.161.65      forum.jiangmin.com
218.83.161.65      update.jiangmin.com
218.83.161.65    post.baidu.com
218.83.161.65      update.rising.com.cn
218.83.161.65    online.rising.com.cn
218.83.161.65      dl.pconline.com.cn
218.83.161.65      space.uwants.com
218.83.161.65      www.pcav.cn
218.83.161.65      mopery.hits.io
218.83.161.65      www.goodmv.cn
218.83.161.65      www.5566.net
218.83.161.65      www.piaoxue.com
218.83.161.65      www.luosoft.com
218.83.161.65      luosoft.com
218.83.161.65      www.7255.com
218.83.161.65      dl.pconline.com.cn
218.83.161.65      www.spjoy.com
218.83.161.65      www.adanywhere.cn
218.83.161.65      ip.adanywhere.cn
218.83.161.65      ip1.adanywhere.cn
218.83.161.65      ip2.adanywhere.cn
218.83.161.65      www.bannerbox.cn
218.83.161.65      www.caiqiyue.com
218.83.161.65      www.2t2t.cn
218.83.161.65      3.a.kal.cn
218.83.161.65      ip.alexaanywhere.com
218.83.161.65      go.ipcenter.cn
218.83.161.65      www.2yin.cn
218.83.161.65      wwww.systeel.com.cn
218.83.161.65      go.baibaoxiang.cn
218.83.161.65      www.gao58.com
218.83.161.65      www.2tu.cn
218.83.161.65      www.91tu.cn
218.83.161.65      www.haotop.com
218.83.161.65      www.ycdy.com
218.83.161.65      ycdy.com
218.83.161.65      www.maipao.com
218.83.161.65      www.sina-baidu.com
218.83.161.65      www.maohehe.com
218.83.161.65      www.1717kan.cn
218.83.161.65      www.feixue.net
218.83.161.65      www.xingkongitv.com
218.83.161.65      about-blank.cc
218.83.161.65      www.xfkz.com
218.83.161.65      xfkz.com
218.83.161.65      www.365tan.com
218.83.161.65      cg.9e3.com
218.83.161.65      www.qqplayer.net
218.83.161.65      www.sosok.com
218.83.161.65      img.zhangxiu.com
218.83.161.65      www.okeaa.com
218.83.161.65      www.winopen.cn
218.83.161.65      dnl-eu1.kaspersky-labs.com
218.83.161.65      dnl-eu2.kaspersky-labs.com
218.83.161.65      dnl-eu3.kaspersky-labs.com
218.83.161.65      dnl-eu4.kaspersky-labs.com
218.83.161.65      dnl-eu5.kaspersky-labs.com
218.83.161.65      dnl-us1.kaspersky-labs.com
218.83.161.65      dnl-us2.kaspersky-labs.com
218.83.161.65      dnl-us3.kaspersky-labs.com
218.83.161.65      dnl-us4.kaspersky-labs.com
218.83.161.65      dnl-us5.kaspersky-labs.com
218.83.161.65      dnl-ru1.kaspersky-labs.com
218.83.161.65      dnl-ru2.kaspersky-labs.com
218.83.161.65      dnl-ru3.kaspersky-labs.com
218.83.161.65      dnl-ru4.kaspersky-labs.com
218.83.161.65      dnl-ru5.kaspersky-labs.com
218.83.161.65      dnl-jp1.kaspersky-labs.com
218.83.161.65      dnl-jp2.kaspersky-labs.com
218.83.161.65      dnl-jp3.kaspersky-labs.com
218.83.161.65      dnl-jp4.kaspersky-labs.com
218.83.161.65      dnl-jp5.kaspersky-labs.com
218.83.161.65      dnl-kr1.kaspersky-labs.com
218.83.161.65      dnl-kr2.kaspersky-labs.com
218.83.161.65      dnl-kr3.kaspersky-labs.com
218.83.161.65      dnl-kr4.kaspersky-labs.com
218.83.161.65      dnl-kr5.kaspersky-labs.com
218.83.161.65      ishare.sina.com.cn
218.83.161.65      www.my123.com
218.83.161.65      www.58.com
218.83.161.65      www.zhaomeimei.cn
218.83.161.65      banzou6.wo99.com
218.83.161.65      dv.ku6.com
218.83.161.65      www.33943.com
218.83.161.65      zhongbaoscissors.cn
218.83.161.65      www.3w663.com
218.83.161.65      www.wg668.com
218.83.161.65      www.zewq.com
218.83.161.65    www.google.com
218.83.161.65      google.com
218.83.161.65      www.google.cn
218.83.161.65      www.sogou.com
218.83.161.65      www.yahoo.com.cn
218.83.161.65    cn.yahoo.com
218.83.161.65    www.iask.com
218.83.161.65      iask.com
218.83.161.65      search.tom.com
218.83.161.65      page.so.163.com
218.83.161.65      www.soso.com
218.83.161.65      sou.china.com
218.83.161.65      wod.shancunn.com
218.83.161.65      love911.com.cn
218.83.161.65      www.588wy.com
218.83.161.65      news.ruihang.net
218.83.161.65      8.62oo.com
218.83.161.65      www.588wy.com
218.83.161.65      www.369.com
218.83.161.65      www.netv3g.com
218.83.161.65      www.775999.com
218.83.161.65      www.xuedao.net
218.83.161.65    www.9505.com
61.152.244.167    www.qq2525.com
61.152.244.167    toolsbar.kuaiso.com
61.152.244.167    www.kuaiso.com
218.83.161.65      keyword.vnet.cn
218.83.161.65      mtv.fzzv.com
61.152.244.167    29.av366.com

从该hosts文件的内容可见，该牛氓软件的作者用尽心机，阻止受害用户访问国内的很多病毒论坛，怪不得很多时候有些域名就转向到了 cn.yahoo.com这个地址（内容为伪百度的首页）。所有所列网站都被指向了218.83.161.65 这个IP，小弟查过，此乃“上海电信”IP也（莫非作者意图是想给这个IP地址带来巨大流量？）。小弟把该hosts文件删除，不想几分钟后又自动生成，内容和原来的相同。把hosts文件的内容，除了 127.0.0.1          localhost ，其他全部删除，并保存hosts文件属性为“只读”，不想，该文件在没有通知小弟的情况下，活生生的被牛氓软件替换为原文件，小弟纳闷，只读文件焉能被 覆盖？想必该牛氓软件作者功力之深！接着，小弟又查到其在qq安装目录下，自动生成q.dll文件（属性为 系统隐藏），估计核心就在这个dll文件里，难怪小弟系统正常后，启动qq，又感染该牛氓软件！小弟赶忙用unlock把q.dll删除，不料该文件比老顽童还顽固，删除又自动生成！小弟已被该牛氓软件气得吹胡子瞪眼睛！
第四回合
怎么办？小弟已黔驴技穷了！-_- 此时，一切都处于异常状态！决定第二次“一键还原”，希望该牛氓软件作者不要把小弟的ghost文件也感染了，god bless me! amen! 15Min后，系统再次还原，查看进程，一切正常，小弟这次吸取了前三次的教训，用“冰刃IceSword”找到q.dll文件，删除之而后快！还好，系 统是被感染前的好系统，这次删除q.dll文件尤为顺利！小弟重新安装了qq，启动qq，一切正常。时至此刻，小弟仍不知道该牛氓软件作者对小弟的系统做 了如何改动，导致hosts,q.dll都无法正常删除，使用360safe，SREng等还自动关机，故小弟把该q.dll文件上传至网上，望各位大虾 分析（地址：http://www.box.net/shared/fx962gdftb）希望能把分析结果发一份给小弟。另，十分同情被该牛氓软件困扰的兄弟姐妹们，遂将小弟在这次 战役中的几员猛将（软件）也一并给出下载地址（http://www.box.net/shared/hb27pm45vx），希望各位兄弟姐妹能早日脱 离该牛氓软件的魔爪！
      吾思本文乃长篇大论，只可茶余饭后，休闲观赏，对于心急如焚正在找解决方案的您来说，未必合适，索性给出简单解决方案。您只需要两个 步骤：
1、如果满足下列条件中的几条则说明已中招：
      1、在IE或firefox地址栏中输入www.google.com或www.360safe.com，却一律顽固出现百度的网页，地址栏显示地址：cn.yahoo.com
      2、启动按F8无法进入安全模式（蓝屏或重启）。
      3、黄山IE修护专家 、 安全卫士360、瑞星卡卡、超级兔子、SREng、windows优化大师，无法打开，只要一打开就被删除主程序，并自动关机。VIKING杀虫剂（作者：农夫）运行显示，VC++ 运行时错误，异常终止。卡巴斯基报告没有病毒。
        4、打开一个网页后能跟着跳出无数个网页。
        5、C:\WINDOWS\system32\drivers\etc里的hosts文件，用记事本打开，出现如上所述地址，文件大小由正常的1K变为5K.
        6、在qq的安装目录下出现隐藏的q.dll文件。（您可以通过以下方式查看隐藏文件： 看菜单栏:工具--文件夹选项 .然后切换到"查看"选项卡,把里面的"隐藏文件及文件夹"里面的"显示所有文件和文件夹"的勾选上，并去掉“隐藏系统文件”前的勾去掉，就可以了. ）
      7、双击打不开C、D、E盘，说什么少了pif.exe文件，必须要用右键才能打开。
      8、任务管理器里，在没有开IE的情况下，出现iexplore.exe进程（大写或小写）和2个rundll32.exe进程。强行结束后，又会自动生成。
      9、卡巴斯基最先报告，有RichDLL.dll和C:\WINDOWS\wow.exe木马。
2、简单解决方法：
      1、快速结束“iexplore.exe” “rundll32.exe”，并打开SREng.exe，如果电脑没有自动关机，那么请删除可疑启动项。
      2、用 冰刃 删除q.dll文件（一定要先设置隐藏文件可见，可以在安装目录下，按搜索按钮，搜索q.dll文件，先把搜索选项里的“搜索隐藏文件“前的勾选上哦）然后重装qq。
      3、用360安全卫士，清除牛氓软件。
        如果您在第一步中被自动关机，那么我也没有更好的办法，只能重装系统并接着执行第二步。（如果不执行的话，新系统在你启动qq后，又会感染上这个牛氓软件。）
      搞定！
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
      如果你安装了ghost还原那就更简单了，还原后，执行上边的第二步。（我就安了一键还原的，呵呵）
    如果还有问题，请给我发email或者博客（http://hi.baidu.com/paredox）留言，谢谢！
    衷心祝愿各位兄弟姐们的computer早日康复！在一切正常后，请对C盘做一次全面杀毒。对了，听说制造“熊猫烧香”病毒的作者李俊已经给公安机关抓获。（点击这个网址可以看到http://www.cnetnews.com.cn/2007/0216/378182.shtml）
                                                                 
    作完此文，小弟忐忑不安，深恐该牛氓软件作者在下一个版本中，加入破坏我的ghost文件的新特性，故留下小弟的email（paredox@gmail.com），望这位大虾在加入该新特性之前能提前告知小弟一声，感激涕零!

PS:此文乃小弟原创，已发布在我的博客上，引用请著名出处，thanks~
此文在小弟博客上的坐标是：http://hi.baidu.com/paredox/blog/item/c49a092d520f2e35349bf78e.html