轻轻松松解除4199对浏览器的劫持

　本文分两部分，一部分是解除4199对浏览器的劫持，并提供病毒样本下载，供研究练习之用；另一部分是与4199相关的故事。

　　一、解除4199对浏览器的劫持

　　1.被劫持的症状

　　和其他浏览器劫持一样，中了招之后，IE首页会锁定为“www.4199.com”。在IE属性里面重新设置主页无效，会被自动恢复。每次打开IE都会访问默认首页“www.4199.com”。

　　据4199的站长在新浪的博客中称“4199除了锁定用户首页外，不会导致用户其它的问题。”笔者在实际的清除过程中，也确实没有发现4199有其他行为。

　　2.清除过程

　　根据dreamland的清除方法，笔者实验成功。

　　(1)运行"regedit"。如果运行不了，将regedit.exe改名为regedit.com就可以运行了。

　　图1运行regedit

　　(2)在注册表中，按“Ctrl-F”搜索“rsrc.dll”，删除和rsrc.dll相关的项目。笔者在清除过程中只看到了两三个项目。

　　这个步骤需要注意：确定光标是选中的图中“我的电脑”，这样“查找”的范围才是整个系统的注册表而不是其中的一部分，如图2。

　　图2 查找整个注册表中关于“rsrc.dll”的记录