拒绝使用4199.com,不要访问这个网站，防止受到毒害！

前两天重装了系统，在没有防备下在网上裸奔了一下，结果就是用现在流行的话说IE被强奸了，每次打开IE默认首页就是www.4199.com，开始几天比较忙就没有管它，小三尝试几次没有搞定，今天在家无聊就来搞它。不搞不知道，一搞吓一跳，用周鸿祎这个大流氓搞的安全卫士360修复一下都搞不定，换到安全模式下一搞定，发现启动QQ就又出现了，并且发现hosts被修改成：

125.91.1.20 localhost
125.91.1.20 www.hao123.com
125.91.1.20 hao123.com
125.91.1.20 www.hao123.net
125.91.1.20 www.7322.com
125.91.1.20 www.265.com
125.91.1.20 www.5566.net
125.91.1.20 265.com
125.91.1.20 www.v111.com
125.91.1.20 www.gjj.cc
125.91.1.20 www.hao222.com
125.91.1.20 www.hao222.net
61.162.230.31 www.9505.com
61.162.230.31 9505.com
61.162.230.31 www.7939.com
61.162.230.31 7939.com
61.162.230.31 59.34.148.98
61.162.230.31 about:blank

真恶心啊。后来BAIDU一下发现，这个流氓不仅仅修改了注册表，还在系统文件夹和QQ目录中种了文件，如果QQ不在系统盘，用户即使重装系统都解决不了这个问题。现在知道了解决方法如下：

1. 删掉c:\window\sysrem32\user.dll

   如果存在下面文件也一并删除：
   c:\window\sysrem32\ravdm.exe
   c:\window\sysrem32\user.dll
   c:\window\sysrem32\netwindde.dll
   c:\window\sysrem32\xmlpros.dll
   c:\window\sysrem32\drivers\rimld.exe

2. 2、删掉QQ目录下：user.dll

   如果存再下面文件也一并删除：
   timplatform.exe、timplatfrom.exe
   当然有可能还会扩展到其他的QQ文件，所以建议把QQ完全重新安装一下

3. 用安全卫士360或者雅虎助手什么的把修改的hosts文件和注册表修复过来

以上过程最好在安全模式下进行，为了保险可以用江民的7939扫描一下。

• ps1，这里有个反7939,4199病毒联盟支持一下哈
• ps2，看了这家伙修改的hosts，真强悍啊，把所有的竞争对手都转向自己的网站，难怪hao123首页都提供相关的解决方案了。
• ps3，4199.com在新浪开博写了一篇《也许有一天4199也会从良的！》，好的不学学坏的，想先做婊子再立牌坊，我吐。或许这就是中国互联网的悲哀了吧。
• ps4，今天（2006.11.03）在网易上看到《浏览器被劫持：解除4199威胁及其它》，内容比较全，有需要的可以看看。

标签：4199, 流氓软件

作者：秦歌，时间:2006-10-02 4:37，归纳于：web2.0 & so on，订阅：RSS 2.0，引用：Trackback

« 快乐大轮盘

惨，这是Google破产之后的办公室吗？ »