机器被www.4199.com恶意修改了首页,无论在ie或是注册表中修改均无效,刚改完,马上被不明程序改回,后安装了一注册表监控软件后发现,是explorer.exe将www.4199.com改回了注册表,而explorer.exe 又是一个系统正常的程序,那一定是有一个非法的动态连接库(*.dll)插到了explorer.exe里,经过对explorer.exe中的dll分析对比,发现最有可能的是一个user.dll的文件,想使user.dll不插入explorer.exe,须将user.dll改名或删除.
解决方法:1、使user.dll 退出explorer.exe。此时user.dll正在被使用,不能改名,需要在任务管理器中将explorer.exe进程结束,若explorer.exe没有自动重启,用任务管理器的新任务(运行)explorer.exe,此时user.dll就自动退出了explorer.exe.
2、找到user.dll,将其改名或删除。此时user.dll就没有加载了,查找c盘上的所有user.dll发现在c:\user.dll ,c:\winnt\system32\下均有一个40k的user.dll,将user.dll删除或改名,
3、重启机器,重新设置首页就行了。
清除4199--补充
公司的电脑前几天不知道为什么中了4199。。主页被修改。无论如何都改不过来。诺顿一直报有病毒,然后隔离,没法删。。上网搜索,发现这个木马捆绑了QQ文件夹下的user.dll或qqst.dll文件。可是搜索都没有这个文件。查看进程发现有一个是rundll32 rsrc.dll s这个命令。感觉木马可能改了原来的传播方式。
1、重启进入安全模式,什么事情都不做先清空浏览器缓存、回收站和临时文件夹等等。
2、然后搜索RSRC.DLL文件。在windows\system32\下面找到RSRC.DLL。查看时间。正好是2006.10.4修改的,文件大小41K。删除。继续搜索,其他地方倒是没有,为了安全还是搜搜user.dll等其他网友说的。也没有发现。
3、处理完rsrc.dll。。搜索注册表中有关RSRC.DLL以及4199。。所有有关RSRC.DLL的全部删除。顺便将QQ所在的目录及文件全部删除!
4、最后把主页改过来,重启。
标签: 网络安全
