IE首页被锁定为 4199.com/9505.com 的问题和修复

专杀下载

http://my.mofile.com/system-soft 有4199_9505_Fix.zip

原作者：tkabc

近日四处看到不少有关IE首页被锁定为 4199.com 和 9505.com 的求助.....
先来一个小分析
1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader
2. 档案成功下载后,调用rundll32.exe运行那DLL
3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程
4. 主力是 explorer.exe 和 rundll32.exe
a) 检查更新
b) 下载Hosts档案 + 修改 Hosts 档案
c) 修改主页
d) 删除 7939.com 档案的启动项
e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马

图中是用我写的VBS检查 Riched32.dll
5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机
==========================================
花了两天时间写起来的,不好用不要见怪......
同时十分感谢以下的测试人员:
bbiverson,mopery,xbs,Cons,hzqedison,魔法学徒
虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题
使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件
2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat
c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情

请耐心等候,直到出现Finished!.....

4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了
PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\
The BFU script and the batches are written by Krazaf/tkabc
=====================
常见问题:
Q: 重启之后没有反应,没出现 BFU.exe is running??
A: 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始,.....

首先进入安全模式,然后运行regedit,删除注册表中的www.4199.com,
方法: (1) 运行注册表后,通过"编辑"里面的"查找",搜索一个删除一个,直到搜索完毕.
(2) 运行msconfig,禁用"启动"里面的"rundll32",然后重启电脑
(3) 重启后,进入系统运行浏览器,把主页先改回自己喜欢的网站.然后OK了,放心的浏览网页吧

一招搞定nb46.com这个超级流氓

这一段，笔者有种“劫后余生”的感觉，起因就是一个流氓站点——nb46.com(牛×死了)，中招之后，我几乎用尽了所有办法，这流氓硬是“跟定我了”，最后用360安全卫士才搞定，几乎把我折磨到断气……

　　那天在单位查资料，搜出一大堆站点，为了节约时间，我同时打开了多个搜索结果，其中就有这个nb46.com。哎，一失足成千古恨啊。不过当时并没有发现异常，等我重新启动，像往常一样打开IE，准备去新浪看看新闻时，发现首页被“劫持”了。噩梦也由此开始了……不仅首页被篡改，而且上别的网站时会弹出色情站点……要是被BOSS看到了，后果不堪设想。

　　首先当然是打开IE的设置选项，如我预料的那样，更改首页的按钮是灰色的。“算你小子还有点‘技术含量’”，我一边暗想，一边轻车熟路的点击“开始→运行→Regedit”，想从注册表中干掉这个流氓。我一般不怎么使用那些IE修复工具，比较自信我的手动清除能力(好象大虾都这样?^_^)。

　　首先在注册表里搜索了一下“nb46”，结果一圈下来居然一无所获。运行“msconfig”打开启动项，查看了一下，也没发现什么蛛丝马迹。再查了一下系统盘目录，的确发现了一个nb46的目录，试图删除之，未果。重新启动到安全模式下再删除，依然未果。

　　看来要祭出我的“杀手涧”——纯DOS手动删除，以往再强的木马病毒，我都是这种方法搞定的。用DOS启动盘进入纯DOS，进入系统盘的system32目录，发现几个异常文件——smflash.ocx、sql32.dll、group.dll、tasklist.dll，好家伙，编写这个病毒的程序员果然不是吃素的，带了驱动啊，跟病毒没啥两样了。赶紧删掉这四个文件，再次进入Windows XP，我顶你个肺啊——IE设置里依然灰色！

　　欲哭无泪啊！难道真的要用菜鸟的看家本领——重装大法？算了，还是试试IE修复工具吧。试试超级兔子？居然没查出来！看来“流氓”还是比“警察”动作快。对了，前一段不是有个干掉网络实名而炒得沸沸扬扬的360安全卫士吗？据江湖传闻，此软件比较牛×，那就用它来对付一下“牛×死了”吧。

　　下载、安装、运行、升级、扫描，走菜鸟就是好啊，什么都是那么轻松。果然，360安全卫士扫描到了这个流氓。扫描结果中有详细的描述，一目了然。点击“立即清除”按钮，一切搞定。不过还是有点不放心，切换到“诊断及修复”，这里会扫描我们的进程、启动项、BHO等可疑位置，还好，没有发现什么残留;再切换到“插件管理”，反正也不费劲，让360安全卫士扫描看看吧，结果一切正常。