发现过程：我的机器被www.4199.com恶意修改了首 页，无论在ie或是注册表中修改均无效，刚改完，马上被不明程序改回，后安装了一注册表监控软件后发现，是explorer.exe将www.4199.com]改回了注册表，而explorer.exe 又是一个系统正常的程序，那一定是有一个非法的动态连接库（*.dll）插到了explorer.exe里，经过对explorer.exe中的dll分析对比，发现最有可能的是一个user.dll的文件，想使user.dl不插入explorer.exe,须将user.dll改名或删除，或找到插入的方法，让其不插入。插入方法不好找到，将user.dll决定改名.

解决方法：

1、使user.dll 退出explorer.exe。此时user.dll正在被使用，不能改名，需要在任务管理器中将explorer.exe进程结束,若explorer.exe没有自动重启，用任务管理器的新任务（运行）explorer.exe，此时user.dll就自动退出了explorer.exe.

2、找到user.dll,将其改名或删除。此时user.dll就没有加载了，查找c盘上的所有user.dll发现在c:\user.dll ,c:\winnt\system32\下均有一个40k的user.dll,将user.dll删除或改名，

3、重启机器，重新设置首页就行了。

转自 360恶意软件举报 区

清除4199病毒--补充

前几天不知道为什么中了4199。。主页被修改。无论如何都改不过来。诺顿一直包有病毒，然后隔离，没法删。。上网搜索，很多朋友说是这个王八蛋捆了QQ的user.dll文件。可是搜索都没有这个文件。查看进程发现有一个是rundll32 rsrc.dll s这个命令。感觉是这个王八蛋可能改了原来的传播方式。于是把网线拔了。关闭这个启动项。重启进入安全模式，什么事情都不做先清空浏览器缓存、回收站和临时文件夹等等。然后搜索RSRC.DLL文件。在windows\system32\下面找到RSRC.DLL。查看时间。正好是2006.10.4修改的，文件大小41K。删除。继续搜索，其他地方倒是没有，为了安全还是搜搜user.dll等其他网友说的。也没有发现。处理完rsrc.dll。。搜索注册表中有关RSRC.DLL以及4199。。所有有关RSRC.DLL的全部删除。。4199的就要自己看了。。相信大家知道哪些是要删的。。最后把主页改过来。。重启。。插上网线。。搞定^_^。。这个王八蛋。。
漏了一段了，记得要把QQ删除，我是整个都删了，因为不知道是哪个文件出问题的

http://btbaicai.com/thread-htm-fid-5.html

[quote]我的系统是Xp sp2 PRO

首先打开 我得电脑 －工具 －文件夹选项－查看－隐藏受保护的系统文件（推荐）这里把构去掉

之后打开你的 C、D、E、N等盘找到 把一个隐藏的sms.exe的 文件删除调 （好像是这个名字，具体的我也忘记了 反正你一眼就能看到了）顺便用搜索下全盘都删掉

其次 重启电脑 F8进入安全模式

开始－运行－msconfig 里 看 这个 把这个构去掉

rundll32 user rundll32 user.dll s

在点开始-搜索 全盘搜索 user.dll 把找出来的 user.dll都删除掉 注意看只删除 user.dll 的应该有两个c盘下一个 system32下一个 其他地方也会又

最后在ie里属性设置成空白页重启搞定

[/quote]

那天不小心中了4199页面的锁定，怎么也搞不掉，所有的方法全部试验过，优化大师，360安全，卡巴，瑞星全部不管用，一怒之下重新装了系统，格式化了C盘，发现开机以后又成了4199，

我晕，这个鸟网站可真够强。于是，我先下载了个黄山IE修复专家，和hijackthis,两个软件结合起来用， 用hijackthis 清除一下里面的所有有网址的host选项 ，发现4199暂时没有了。为了确保安全我又用官方提供的那个江民7939专杀工具扫了一下，发现有一个病毒，是在QQ文件夹下的。于是联想起前几天我QQ（QQ我在D盘）老是莫明其妙出现‘XXXX号已经在别的地方登陆，您被强制下线“的东东，QQ卸载掉，重新装了个。现在就没事情了

怀疑4199这个网站是专门针对QQ用户的，所以大家一定要把QQ软件的那个目录用杀毒软件在安全模式下扫一次，或者干脆卸载了重新装一下。相关软件下载地址：

黄山IE修复专家 http://www.skycn.com/soft/14441.html

hijackthis: http://www.skycn.com/soft/15753.html

江民7939专杀工具 http://dl.pconline.com.cn/html_2/1/66/id=39860&pn=0.html

--------------------------------------------------------------------------------
Upiea V2 Beta 9 下载：http://www.lumix.cn/upiea/download.htm
恶意软件清理助手 2.17 Build 040 正式版（2006年9月26日版本更新）http://bbs.winzheng.com/viewthread.php?tid=1124767