自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題��、尋求解答���。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖��。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文����,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序���,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提��。
' G2 s$ v' z% ] K. U1 V
$ g' e# G6 m* X& b" N! ~" R9 A4 Y 做為多年的優(yōu)化大師使用者���,筆者也是第一時(shí)間趕到官方論壇�,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而���,卻遭受到了刪貼�����、封IP�、鎖ID的待遇�。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng),不禁令筆者疑竇叢生����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試,并參考一些網(wǎng)友的反饋���,得出結(jié)果令人大跌眼鏡����。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的: - h8 k: ?) W# V& D {
5 E3 a {& L2 X+ p# d4 y. d/ c 1���、強(qiáng)制安裝GAMEHALL游戲大廳: 6 z9 K3 o- X8 h0 j$ h
6 N) _ e5 s/ V
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�,并在開始菜單添加快捷方式����。 4 A' C5 L( M" G8 t
. h& X1 ~+ H, C/ v$ B: k. z0 P
2、強(qiáng)制添加并篡改IE搜索引擎: ) Y# o- q& D/ _6 w( m; B" v
# b4 \) E8 E2 a* M! G* o& @% v 安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置����,系統(tǒng)注冊(cè)表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): % e# |3 x$ z# S2 n& V
# r; y! T2 Y+ [" a, ?) i0 U [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] ( t1 {# H1 C* o/ G$ B3 f
* \4 o, z4 S% V "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" ! ^: W% X& ^' {% i
6 I; B; ]; t- \4 o "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" - C, f& D3 W3 X- ~" _& N! p
) H8 G* ]- T0 M0 k C8 w+ P
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 5 T( I. T: P+ N: F! q6 m& ]
3 M+ k( j" h4 m0 b4 Q/ L' Y
"Masters"="0F0F0F0F"
$ \7 F! F: P3 Q4 h7 n4 @; q7 z* w9 R6 h/ A' d
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
7 c( ]( K7 G& t8 g. p0 ]( ?' f G6 J; ~5 M
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" " z2 D. O! x" R
( `2 g, s# d3 |: k! }$ \2 | [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
# y' r" R6 b, k3 C
( I: d, P$ A# E. r- j "DefaultScope"="Baidu"
$ u1 ~) K9 V3 X# b0 d; B
- e7 s: m# I3 Z! Z. ` [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
1 P* k" s" N0 p6 q* v; `
3 s( L W5 q) H- I- s "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 6 [3 }6 o: d) `! }! c2 c$ P: {! s
$ ?/ Z( d/ F+ u5 c) N
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] ' o6 E; a' Q! x6 g. r) k) I
F5 D7 k9 I d% j2 s3 ~ "Codepage"=dword:0000FDE9 / g$ a9 d7 ` \0 l7 E' P) A( h$ N
, k' W% @. q. [" u- b
"DisplayName"="百度搜索" + L6 o! \9 r' `3 _
+ q( ?: O0 j; d+ n$ z- l
"SortIndex"=dword:FFFFFFFD & \+ Q. \ m9 b2 f
7 I% Y( Z3 e; q8 V1 W# p0 r "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
/ S6 A0 n# E: G: \+ o N/ _% }1 [
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ( h) Y5 \0 w& A9 u2 b6 b
. M/ {, v% P$ k! C; Z "Codepage"=dword:000003A8 # {1 {/ V" s8 _
0 q. v; `5 @- M
"DisplayName"="谷歌搜索" 8 j; N6 `# T6 A4 t: P, n8 ~
. M0 B( G$ J! C
"SortIndex"=dword:FFFFFFFE
: J& F( f0 T6 k7 Y* Q1 [
7 C, N/ c/ `2 q9 A "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
1 M7 \- [- _) F: u4 a
0 p9 N. f% K' ~' y) P [HKEY_CURRENT_USER\Software\Microsoft\Windows] / n% U% h) O- P5 [1 V/ t* F! C
. H$ m" q" ^6 F) r* Q "Verion"="0013E86C8919"
- `0 }2 y" M4 H+ k
% K/ W. z6 l$ d8 X8 @/ c [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
9 x \5 X) H: j, ^& G5 B% s6 ^' H) {" N
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ . a4 o4 @6 A1 X- W% F
& A$ o5 A1 j( q$ U9 l. n 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
$ M* i) Y$ Y7 _4 k/ |0 g1 Z* X( W6 [- j8 f
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 / H) j# m& ~' k; }) r5 M
5 J! ]+ Q9 O' n! d, x- C [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] , H8 R8 A* r) _
' q: u D# e! j1 Y! `
"1803"=dword:00000001 $ t: k" b8 _) H! r* E0 k0 h# J/ m. l
4 ~( n- V0 o: \+ s& f
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
7 \ |) k. k' W- i% Y* @6 j2 x! B; U" a. t4 q
www.930930.com 0 _ u9 J6 c$ v+ g# k
- b0 c3 T* `. A3 D( [
www.304304.com ! n- A+ b0 {. N6 \0 Y i
1 B% ~1 U$ U! f1 q1 g) f4 C$ s www.072072.com ) v) v* `( @0 [" {' t
* s6 b" G, v K+ F# V d2 _ 072072.com
. E# [1 Y% J& D$ P) r0 d: q+ @
$ \' W5 A' n9 N0 Q- w6 P9 } www.146146.com
) l, v! G8 ~' E. l5 T! R6 H! k. d. Q9 u+ ?6 b6 ^, A8 i8 O. @' E
146146.com 8 Q, m* D) d# y2 i# e8 C; C
/ o7 y& j& T3 Y, s7 B
397397.com # E0 ]- O8 U2 k5 Z! C+ O
' B1 }: U$ h* F2 v! K
265.com 9 ^9 l( T9 r( @6 t; F9 u M
4 @ L7 @# _5 v7 I& A3 q5 W# ]5 { liveupdate.baidu101.com / k- Y% j3 c+ x I
" e; S( j! z) g; {4 E 3����、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
/ e$ D t6 T3 P3 _# [, ~% n- t3 } ^) O# [* ?/ ~: t
安裝新版Windows優(yōu)化大師后,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無(wú)法刪除的文件夾Software���,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符��,下同)����,同時(shí),修改注冊(cè)表以下兩項(xiàng): . T0 X G/ V$ H
- z# u f: e8 ^4 Z" K- E" W
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
8 c$ D' M, |) w! V: n* W
3 A+ ^5 r! B4 _) y; R HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 A) p1 S, s7 k: s% {0 G4 \( }
0 O; N$ ]# E4 n3 Y- E3 J$ q
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
3 W$ x% R0 I* _$ t* l/ d
/ E' z5 O$ D$ w# a: F# y9 a 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成����、快速增長(zhǎng)的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾��,只不過(guò)�,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性�,才暴露無(wú)遺…… - k0 R# s5 Z% v7 U- e! P+ w/ c
/ c$ q0 z& l1 q
4、APIHOOK: ' [2 ]. T5 I$ Q4 f
6 F; y* Y3 R3 A0 H5 x
安裝新版優(yōu)化大師后��,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊�。
" t0 J5 v. q; u- ~- U7 w3 d# ? h9 U4 \- K, z- Z. [
此項(xiàng)為網(wǎng)友反饋,因筆者水平有限���,對(duì)此不甚了解�,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�����,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。 6 x& A7 R- d* j+ Z9 g* a" {0 P1 \( e
# `- V( i1 m$ A( i) H! O- v; S
至此���,真相大白…… - }0 p3 t' x6 |5 s
! ~" r" [8 j* ^ 我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行����,侵犯用戶合法權(quán)益的軟件,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載���、瀏覽器劫持�、廣告彈出���、惡意收集用戶信息����、惡意卸載��、惡意捆綁等�����。 ( i9 f: y; }( e
% F7 y" Y5 l2 W2 B1 o 由此定義,對(duì)比新版優(yōu)化大師的行徑�����,相信大家自會(huì)有所明斷����。
3 m# e& }6 g6 d! ?- l# i# G- h; ^2 }0 Y; @3 A9 ^
在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本����,將游戲大廳修改為安裝可選項(xiàng),但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測(cè)��,故不加評(píng)論�����。 ) s9 H: g2 m' Y- L- a
: V( |5 p3 L- w 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)�,故在此提出簡(jiǎn)單修復(fù)解決辦法����,僅供參考
2 g2 {; Y( s2 @4 w' `# z8 Y9 U
. I. u1 z4 C. S, }: \9 p% _ 當(dāng)然了����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
5 R" Y' i3 j; p4 g
' {! U$ q" s2 L Q& B$ d ] 針對(duì)前文所述4項(xiàng)內(nèi)容,進(jìn)行以下修復(fù):
7 m: c7 ]- G1 s% L& F
) O$ ?5 y. s: _$ N# `7 r9 O$ S: n: L0 Y 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式���;
$ l! v7 `. v/ d, w; ?8 K1 ~. w( R9 F3 B4 f {
第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目; ' ^7 J. X. d% }6 S& l: |- ]
* i% t/ D6 U$ S5 j" Q
第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): % c5 _ D$ N- I( C0 T. F& b
8 D, V7 v1 c( M/ D; x" x HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies * d% m" H0 X0 W! B# l
8 M9 F. j* s4 R+ I5 Z/ u4 p! H HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ) L/ C; g+ Y# J8 K- v
" ~+ R! U) q$ x9 T
VISTA����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
7 S7 m' }2 N- b0 m7 Y! {4 t
* F" Q9 \9 |4 N# D& Z* K XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
1 e5 |. o( d) c2 n5 `
! ?3 x# w' h: I. G) [+ P* e) f 重啟電腦后刪除所有盤符要目錄下的Software文件夾;
" o% D# K' q" r6 k* A
8 ?( [, i2 Q T9 Z. S' ^ 第4項(xiàng)因筆者水平有限���,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
