自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)����,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問(wèn)題���、尋求解答����。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖��。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對(duì)網(wǎng)友反應(yīng)的其它問(wèn)題卻只字未提��。 9 \4 G) \- B: c, S- p
- }( L" W/ t3 B( j5 d1 _9 @
做為多年的優(yōu)化大師使用者�,筆者也是第一時(shí)間趕到官方論壇,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任�����,積極提出問(wèn)題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法���,然而,卻遭受到了刪貼����、封IP、鎖ID的待遇���。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見(jiàn)反應(yīng)�,不禁令筆者疑竇叢生,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試����,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡���。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
8 a! |7 k! ~* O* A. Y/ U. p; c1 v, Q& P/ R7 S( D; h/ e5 `+ H
1��、強(qiáng)制安裝GAMEHALL游戲大廳: 6 Y; l0 z+ [ X0 z2 g( s% D0 e
2 L: N+ R* v7 ]; S* h1 _- \2 {# P
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL����,并在開(kāi)始菜單添加快捷方式�。 % w+ x! Z8 n9 L6 v% g5 ^! q- G5 G* L
% C) t( Y; w$ j; C 2、強(qiáng)制添加并篡改IE搜索引擎:
6 a4 g' Z! P# ]
( \. a$ W* h" W7 d# G# C 安裝新版Windows優(yōu)化大師后�,即使不選擇任何設(shè)置,系統(tǒng)注冊(cè)表會(huì)被修改�,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
- `$ c$ w R [4 ~3 R4 ~( X' j9 R7 u6 h+ U O5 T- @
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] , w* d3 N6 k* P# u4 `; n
2 o9 E, o; r; i- |9 t* Y "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" Z/ O9 u, B; q' I/ e
$ ^. @. @3 Q8 f$ T- X% _ u
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
: B( q; [+ ? w% \' ?4 h- g: ^$ i/ V
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
- k |2 j4 N3 q4 k! N
/ j6 n6 d# P. [" f "Masters"="0F0F0F0F" 4 ~& F+ W [/ ]$ i7 `5 n: J
, `4 ^* `" V# [! A; H. f0 j
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" ( x% @* E9 B% B& c5 t
2 b! P3 |8 L/ o$ |
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" " `" r. x5 T1 Q7 X$ x1 C
3 ^ N) u9 J' W8 B& ] ]9 J
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
9 b' X+ |0 J/ Q! a( L. f
5 g9 i! H' v. l+ H4 G9 ~ "DefaultScope"="Baidu"
( ?7 Q; m- w \1 x. v
. k( z/ |" _8 u, U* w5 R# U% } [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
$ z* W1 |" S3 j6 o5 g' \# L: v' c) u$ K3 d, [, h% W
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" : `" j# r4 |( w0 o( x5 q, ?
1 ^* a! a' ]$ B' L ?0 R
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
( b" E9 x! d4 y* f( r5 P" D* E& }6 p4 t, m8 b$ @' J
"Codepage"=dword:0000FDE9 8 [ x, |+ b3 A' q8 v. V
- U$ d$ u& X$ E4 H- e "DisplayName"="百度搜索"
# m& q, S. c8 B3 O$ Q7 W i* E; N# @3 v4 i: j; o6 B: [
"SortIndex"=dword:FFFFFFFD 7 [3 _; x% Q: t m$ }8 c
! s& |3 l( X: g7 `! T) S8 @ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
3 \; D$ ]4 x5 J6 K k$ ^% p9 k
/ S5 m# I g0 z" m6 P [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 2 ^7 A6 u# H! G/ `$ X
* V) G' D& I, `7 r
"Codepage"=dword:000003A8
1 {+ }0 [: N- i+ j' ]
# X; c& M4 e- z& |6 W "DisplayName"="谷歌搜索" 8 Z3 l2 L W/ R9 }3 S B+ O' a
8 q: b" M9 b: ~! H "SortIndex"=dword:FFFFFFFE , F! ^" W4 @) i; u0 v$ L- G4 D
/ N1 ?$ ~. G8 S Y; G0 l* t6 J, k "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" . S. X9 k i( D
" l3 v, ^8 R, _4 o2 R" M6 N4 [
[HKEY_CURRENT_USER\Software\Microsoft\Windows] ; E) z3 ?9 V6 s7 u( h4 Z
. C+ m2 s C" w( u, r
"Verion"="0013E86C8919"
& S5 ]9 f, s+ M5 F7 _
: b( S5 h$ N( M+ C- k2 ?, v, d [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] # x$ l. ~, Z! M% I8 I' u8 }% `+ m
\* ?; R% m% ]
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
3 d! l4 b2 d# U) i3 ^
# i5 v. a5 k7 R) M" n2 { 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ 8 R7 r- ^8 ?2 E" A
2 p. g. k# s7 X4 o3 e3 `
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
( ]9 ?2 u5 J( W2 R* c1 f$ M
' m3 y$ ?2 U& Q' X$ x [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] & ~8 B2 L- e+ ?4 j* g0 ~# `; G
9 `6 ]( y9 T; u1 P% I' l4 L- Z* N1 \/ v
"1803"=dword:00000001 * P8 M: p, \! h' m/ h' I
3 Y2 L" x' @2 K; x6 \3 R+ F
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: ' n7 n0 |. T* v, U- X
, [) |; c- m G7 m' C, V
www.930930.com " G+ c6 @1 W% p) j* l& W4 j5 }* Z
* ^, h5 C. y1 L: L7 s
www.304304.com $ K6 i% f2 ~ s6 o9 M$ o ?
( f: m0 @9 H& z
www.072072.com 1 r/ \, F( o8 i% I* U; ?3 H9 M
* ]7 s$ ~( \4 o- g
072072.com
2 a* C; F1 t6 R5 w4 s( _- A% d% N0 |% f' m
www.146146.com Q8 y* W: K/ j
2 a( ~2 v7 o! z/ ?
146146.com
3 Y M: ?. M) R4 A+ }
5 o% ~1 }8 q; [; \ 397397.com
. J, K X% S% S4 J$ F5 n6 o: D8 A# S/ P7 W0 a+ \- b. a$ q, B
265.com 3 Y$ n- O! W. i: H. D7 @
6 x$ @) ~9 l# X& J liveupdate.baidu101.com
! P/ p( p. I+ x; v9 b' r. ^( _0 ?$ |% _; M% f& Y+ A
3、強(qiáng)行修改注冊(cè)表并劫持COOKIES: 1 U. z0 r6 A/ C) e e1 I9 u! D
. u* B8 B. f5 ?; T, \3 W 安裝新版Windows優(yōu)化大師后�����,會(huì)在用戶電腦系統(tǒng)盤(pán)及優(yōu)化大師安裝盤(pán)根目錄下生成無(wú)法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤(pán)符���,下同)���,同時(shí),修改注冊(cè)表以下兩項(xiàng): * c0 {. ~7 {' Z, Y, j& y) F' N
0 z: @9 R! J1 B, D HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
) h) a0 } u0 k
& y. w, Q; D; ` HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
: N- z% [% S% U) g7 v3 [# v: B8 H: k& {, f, D. b% f
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat + E) [8 U7 [) t3 W# A) D7 ^3 z
g) }: X3 E5 l 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成�、快速增長(zhǎng)的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�����,只不過(guò)����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無(wú)遺……
& F7 H1 m) p: W" h: [5 P& I0 C9 c
: y! ?( O5 H1 f" P: d- ]+ o) k' U 4��、APIHOOK: 5 w7 A; T2 j4 T5 M, Y
% @$ a; o3 \: ~8 E8 J( V
安裝新版優(yōu)化大師后�����,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊����。
% c) N7 I% o: g5 B2 \! b* N7 H/ h9 L+ h" V5 p. o! I
此項(xiàng)為網(wǎng)友反饋,因筆者水平有限��,對(duì)此不甚了解����,搜索網(wǎng)絡(luò)也未見(jiàn)有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)����。 # `/ O# p% l+ K
3 M1 {6 g# N" ^3 y5 w# C 至此,真相大白…… 5 K# }5 E d& Z8 S& }
# I/ B& R: K- ?6 \/ } k1 b
我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下���,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行�,侵犯用戶合法權(quán)益的軟件��,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外����。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載���、瀏覽器劫持����、廣告彈出、惡意收集用戶信息����、惡意卸載、惡意捆綁等��。
& Y" \, ]+ R9 K1 `) S, g" |8 T+ H6 @: t7 [
由此定義����,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷�����。
9 b8 l$ d" S" y l5 h
o) p+ Z" [3 o' k 在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)��,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我����,其它幾項(xiàng)暫未做檢測(cè),故不加評(píng)論�。
6 u$ ?9 x8 B _4 {6 C5 q" w5 |
# p9 j) T" p1 g: g: d' B6 l 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法��,僅供參考
% d6 |, \1 T9 C& O6 J2 m) W- g9 I, p& g
當(dāng)然了���,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
/ c( ?$ z/ y3 o" l4 Y
$ h9 @# \7 ~$ u1 S/ k1 }' ~ 針對(duì)前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù):
, m0 j: J1 e- M+ {. ^% V" e$ W3 I! N y/ l4 v) N3 G- ^
第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開(kāi)始菜單快捷方式�;
8 R# i* c, ?4 q# p; e! L
* p3 p9 i& Y6 k+ H+ P& } 第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目; : o5 K- I2 m: ^3 e
$ D# d* s+ j; s, m9 ? 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng):
) |: g* [1 w) q- L2 w" y
4 \- J4 y1 T* G4 i1 K HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
. z/ Y, y' r% z$ [, q U2 M# y# p3 } ?- @, j
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies & G, W& y7 E' [( L5 U* E, R F. w% v
+ v, _! h3 {0 h! X) G/ ]
VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
3 s' f o6 M7 o1 ^! m/ G/ a; M( J& s' D! Z. n
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 0 f0 C* Y! t/ l% I/ S
6 I b: K+ T* {9 J9 M 重啟電腦后刪除所有盤(pán)符要目錄下的Software文件夾����; ! n, r' K( |! S$ \& q% U9 F( U9 z+ U: {
9 F# l A9 z6 v% J/ y- W* D" k 第4項(xiàng)因筆者水平有限��,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
