IE首页被锁定为 4199.com/9505.com 的问题和修复
专杀下载
http://my.mofile.com/system-soft 有4199_9505_Fix.zip
原作者:tkabc
近日四处看到不少有关IE首页被锁定为 4199.com 和 9505.com 的求助.....
先来一个小分析
1. 主要透过漏洞传播,都是用上多重加密的VBS,还原后都可看到MS06-014 Downloader
2. 档案成功下载后,调用rundll32.exe运行那DLL
3. 运行后,下一个 CallWndProc Hook, 插DLL到很多进程
4. 主力是 explorer.exe 和 rundll32.exe
a) 检查更新
b) 下载Hosts档案 + 修改 Hosts 档案
c) 修改主页
d) 删除 7939.com 档案的启动项
e) 加启动项到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
f) 修改 QQ 安装目录下的 Riched32.dll,在Import Table 加入 4199.com/9505.com的 dll, 令到运行 QQ 就会运行木马
图中是用我写的VBS检查 Riched32.dll
5. 当运行 360Safe 或者 BFU(Brute Force Uninstaller) 时,系统会被强制关机
==========================================
花了两天时间写起来的,不好用不要见怪......
同时十分感谢以下的测试人员:
bbiverson,mopery,xbs,Cons,hzqedison,魔法学徒
虽然经过本人和上面的测试人员多次测试,但不能保证用后100%不会有问题
使用方法:
1. 请先关闭你的杀软,因为杀软会报4199_9505 Fix.exe内的进程结束工具为风险软件
2. 请必先卸载QQ,因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
3.
a) 下载 4199_9505 Fix.zip 并放到桌面, 解包
b) 之后在桌面会多了一个4199_9505 Fix 文件夹,打开这个文件夹,运行 Fix.bat
c) 按 Y ----> 按 Enter 开始,之后会重新启动电脑
d) 重新启动电脑后,BFU会自动运行,并会提示 BFU.exe is running.....按 确定 / OK 后, 这时请不要做任何事情
请耐心等候,直到出现Finished!.....
4. 你会发现 %SYSTEMDRIVE%\Backup_tk 内有 4199.com / 9505.com 的 DLL 和 Fix的档案,删除整个 Backup_tk 文件夹就可以了
PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\
The BFU script and the batches are written by Krazaf/tkabc
=====================
常见问题:
Q: 重启之后没有反应,没出现 BFU.exe is running??
A: 重启之后如果没有反应,请到%SYSTEMDRIVE%\backup_tk
运行 bfu.exe ,按 文件夹 的图标选取 fix.bfu,按 Execute 开始,.....
首先进入安全模式,然后运行regedit,删除注册表中的www.4199.com,
方法: (1) 运行注册表后,通过"编辑"里面的"查找",搜索一个删除一个,直到搜索完毕.
(2) 运行msconfig,禁用"启动"里面的"rundll32",然后重启电脑
(3) 重启后,进入系统运行浏览器,把主页先改回自己喜欢的网站.然后OK了,放心的浏览网页吧
一招搞定nb46.com这个超级流氓
这一段,笔者有种“劫后余生”的感觉,起因就是一个流氓站点——nb46.com(牛×死了),中招之后,我几乎用尽了所有办法,这流氓硬是“跟定我了”,最后用360安全卫士才搞定,几乎把我折磨到断气……
那天在单位查资料,搜出一大堆站点,为了节约时间,我同时打开了多个搜索结果,其中就有这个nb46.com。哎,一失足成千古恨啊。不过当时并没有发现异常,等我重新启动,像往常一样打开IE,准备去新浪看看新闻时,发现首页被“劫持”了。噩梦也由此开始了……不仅首页被篡改,而且上别的网站时会弹出色情站点……要是被BOSS看到了,后果不堪设想。
首先当然是打开IE的设置选项,如我预料的那样,更改首页的按钮是灰色的。“算你小子还有点‘技术含量’”,我一边暗想,一边轻车熟路的点击“开始→运行→Regedit”,想从注册表中干掉这个流氓。我一般不怎么使用那些IE修复工具,比较自信我的手动清除能力(好象大虾都这样?^_^)。
首先在注册表里搜索了一下“nb46”,结果一圈下来居然一无所获。运行“msconfig”打开启动项,查看了一下,也没发现什么蛛丝马迹。再查了一下系统盘目录,的确发现了一个nb46的目录,试图删除之,未果。重新启动到安全模式下再删除,依然未果。
看来要祭出我的“杀手涧”——纯DOS手动删除,以往再强的木马病毒,我都是这种方法搞定的。用DOS启动盘进入纯DOS,进入系统盘的system32目录,发现几个异常文件——smflash.ocx、sql32.dll、group.dll、tasklist.dll,好家伙,编写这个病毒的程序员果然不是吃素的,带了驱动啊,跟病毒没啥两样了。赶紧删掉这四个文件,再次进入Windows XP,我顶你个肺啊——IE设置里依然灰色!
欲哭无泪啊!难道真的要用菜鸟的看家本领——重装大法?算了,还是试试IE修复工具吧。试试超级兔子?居然没查出来!看来“流氓”还是比“警察”动作快。对了,前一段不是有个干掉网络实名而炒得沸沸扬扬的360安全卫士吗?据江湖传闻,此软件比较牛×,那就用它来对付一下“牛×死了”吧。
下载、安装、运行、升级、扫描,走菜鸟就是好啊,什么都是那么轻松。果然,360安全卫士扫描到了这个流氓。扫描结果中有详细的描述,一目了然。点击“立即清除”按钮,一切搞定。不过还是有点不放心,切换到“诊断及修复”,这里会扫描我们的进程、启动项、BHO等可疑位置,还好,没有发现什么残留;再切换到“插件管理”,反正也不费劲,让360安全卫士扫描看看吧,结果一切正常。
