本文分兩部分，一部分是解除4199對瀏覽器的劫持，并提供病毒樣本下載，供研究練習(xí)之用；另一部分是與4199相關(guān)的故事。

一、解除4199對瀏覽器的劫持

1.被劫持的癥狀

和其他瀏覽器劫持一樣，中了招之后，IE首頁會鎖定為“www.4199.com”。在IE屬性里面重新設(shè)置主頁無效，會被自動恢復(fù)。每次打開IE都會訪問默認(rèn)首頁“www.4199.com”。

據(jù)4199的站長在新浪的博客中稱“4199除了鎖定用戶首頁外，不會導(dǎo)致用戶其它的問題。”筆者在實際的清除過程中，也確實沒有發(fā)現(xiàn)4199有其他行為。

2.清除過程

根據(jù)dreamland的清除方法，筆者實驗成功。

(1)運行"regedit"。如果運行不了，將regedit.exe改名為regedit.com就可以運行了。

(2)在注冊表中，按“Ctrl-F”搜索“rsrc.dll”，刪除和rsrc.dll相關(guān)的項目。筆者在清除過程中只看到了兩三個項目。

這個步驟需要注意：確定光標(biāo)是選中的圖中“我的電腦”，這樣“查找”的范圍才是整個系統(tǒng)的注冊表而不是其中的一部分，如圖2。

(3)在注冊表中搜索“www.4199.com”，刪除相關(guān)項目，并刪除。此步驟和步驟(2)沒多大區(qū)別。

(4)"Win-F"啟動windows搜索功能，在查找所有硬盤上的rsrc.dll文件，通常這個文件在 windows\system32\文件夾下面。

找到后，使用unlocker解除rsrc.dll的鎖定，并刪除。

(5)用Hijackthis修復(fù)其他所有可疑項目。建議只修復(fù)自己知道的項目。在此處，只針對性性地對有“rsrc.dll”和“www.4199.com”內(nèi)容的條目進行修復(fù)。選中需要修復(fù)的條目，點擊左下的“Fix checked”按鍵進行修復(fù)。

注：圖4中，紅色方框①中的條目都是以04開頭，從其條目名稱也可以看出，這些項目是計算機啟動時會自動加載的項目。刪除不需要的。紅色方框②中的條目都是以08開頭，從條目的內(nèi)容很容易看出，這個是瀏覽器左鍵菜單的相關(guān)條目。可以順便整理一下臃腫的IE右鍵菜單。

Hijackthis是一個很強大的瀏覽器修復(fù)工具，建議有興趣的讀者自行研究一下。Hijackthis的安全用法是，將其生成的信息，貼到論壇去，請知道的人來指點，哪些條目可以刪除，哪些不可以刪除。

(6)重啟計算機。此時的DNS被清空，需要重新設(shè)置。

注意：4199好像有很多版本，筆者中的只是其中一個比較“純潔”的版本。如果有需要的朋友，可下載反流氓軟件聯(lián)盟提供的4199樣本，安裝試驗，鍛煉動手能力。[下載4199病毒樣本]

下載回來的樣本是一個dll文件。使用方法：在運行對話框中運行如下命令：（x:\xx\ 為rsrc.dll所在目錄名稱）

rundll32 x:\xx\rsrc.dll s

解決4199.com病毒的最終方法:

(1).卸載你電腦系統(tǒng)中的QQ，同時最好刪除QQ的安裝目錄。（注意是否保留你的QQ留天記錄及QQ表情,如果保留，保留你的QQ號碼目錄即可。）

(2).重新啟動電腦，點擊F8，進入安全模式，采用ewido3.5綠色中文版（本站提供的下載地址），在安全模式下快速掃描殺毒。

(3).用雅虎助手,IE修復(fù)專家清除一下，同時最好清除HOSTs表,然后點擊保存。

(4).如果你自己有殺毒軟件，在安全模式下，建議也掃描殺毒一下，即使不用來殺4199.COM，用來檢查一下系統(tǒng)也是有益無害。

重新啟動電腦，看是否已解決。