自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序��,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問(wèn)題�、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖��。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文����,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�����,對(duì)網(wǎng)友反應(yīng)的其它問(wèn)題卻只字未提���。
0 f: M4 ?$ L) n# p' v& q% v& g5 X; j; p$ I9 h
做為多年的優(yōu)化大師使用者�,筆者也是第一時(shí)間趕到官方論壇����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任�����,積極提出問(wèn)題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法���,然而,卻遭受到了刪貼�、封IP、鎖ID的待遇�。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見(jiàn)反應(yīng),不禁令筆者疑竇叢生���,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試�����,并參考一些網(wǎng)友的反饋��,得出結(jié)果令人大跌眼鏡�����。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
, ?$ E+ }2 c# j7 }( h* _; g7 d
8 O; X/ i) r. O+ [ 1��、強(qiáng)制安裝GAMEHALL游戲大廳:
$ `; p) d& F i* X- H6 }, V
( T1 W: ~4 x4 T w2 Q% W 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL��,并在開(kāi)始菜單添加快捷方式�。 , |7 l# S, u% n7 _* r
3 m' y ^" p. i1 `
2、強(qiáng)制添加并篡改IE搜索引擎:
3 ?/ [; d% B6 l# j# A8 O6 z; l* }3 Z3 w
安裝新版Windows優(yōu)化大師后���,即使不選擇任何設(shè)置�,系統(tǒng)注冊(cè)表會(huì)被修改����,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): # M: I) C+ k0 t: Z, I( r8 A1 x
9 Y7 a. i$ i1 F4 u; A7 f4 P3 u$ A
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
& m ]' v* f9 g. p B" ?: {0 f2 q5 }0 C& W
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" M. k5 W( Q$ V) M$ J1 w
8 o3 b3 x2 x4 K7 X "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
6 U: c& m8 i+ o/ k: d
2 s( z$ |+ b/ }1 D8 @4 z [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 5 j6 y6 t o$ c. V
( L1 E1 {/ ?4 j7 w& T, {6 T
"Masters"="0F0F0F0F"
0 i+ R$ R Z* P& L, k, c e; [' l5 K/ h6 A- l
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" * V) B0 }" f9 N" N( M4 V( e. t( E: z5 ~
3 L- G- o4 U, s" n8 V/ c5 Z "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
- ?+ K6 k; z& G$ H
' n- j% v; x. m( ]9 F' o [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] ' H; J+ |! K o) `/ r3 |5 d
. e* j& ?5 K( G# ? ]
"DefaultScope"="Baidu" . E7 K) f# k7 j1 e+ Z
% ^& h4 r( A0 P, x$ |9 `5 A1 I' R# K [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
/ U4 W9 A& r5 s* u
& t! _ t$ b! j2 B4 v "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" * E9 O% O- d. E* i- c
' f: F4 x* m) T* O% ? [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
# ?& K* M% B& |$ y( H; Z! E9 Q
" ]3 r# D* P- `0 A4 f! W0 u "Codepage"=dword:0000FDE9
1 X% \! V8 I5 P2 }
( v6 _: D* d+ _2 z) M( R4 _ "DisplayName"="百度搜索" 1 k; Z+ d2 `4 k T# t% d& \5 Q
3 e1 X" v6 O A
"SortIndex"=dword:FFFFFFFD
, G O+ c/ U3 ^6 k: N/ R
; _7 X" [/ m$ m# k/ n3 h3 W: G "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
6 ?- O3 Q$ L. ~8 x! k& |+ Q% T9 k; _: ~% z. O8 ?
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ! ^& @$ C' `* K* c8 T9 [' ^+ c
& _9 d' D$ N& z0 A
"Codepage"=dword:000003A8
; l. v; ]8 s+ a; O) p' d2 u2 U% ~9 d# y+ s$ [5 a2 s/ q
"DisplayName"="谷歌搜索"
- ^' d( p+ y. O) U3 {7 _! I* M0 @: i& f6 F
"SortIndex"=dword:FFFFFFFE 0 q( g2 L7 w8 S0 s8 |; j2 v0 |
5 n i! \$ b. r/ q "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
0 D( U2 E- g5 t( l! g+ h' _- y9 B" d! x3 l5 b0 f3 G8 |
[HKEY_CURRENT_USER\Software\Microsoft\Windows] ' @& I% @$ ]: H$ G% J5 }* ^! ]2 A
6 Z% K8 }) M$ R8 v) z "Verion"="0013E86C8919"
- g& M( O! A% v* \2 N& q
+ _$ X9 X6 M9 }0 N8 r' V! Q [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
, |( ]! h1 {9 W: y. @0 B; H! ^: S6 A1 |- r- T! E0 }: a( t6 u5 C
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 3 R0 `/ B- k; ]6 x6 m
* K% T+ R2 k$ } 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
j# y0 c* h- f8 L( f) [: h
' [9 L) {1 D. e9 V9 ^ 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
, I3 U g! d8 D6 V
* S! l8 u; N5 A$ O4 i [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
9 T' W0 [7 Y9 y" {+ q4 x
2 V! D% Y9 k, X! B1 v j* w( Z, m "1803"=dword:00000001 % u6 O- V k( B! Z/ O' E7 g
: k1 A9 i. j5 L1 p
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
" n' q; D5 }! h) I* R* k" N# Q* [' x% o: D! x
www.930930.com * T) p2 W. |- z( s
1 g, Q3 M' m! e. T- K www.304304.com
) L# a; @: ^; X9 `6 g# s7 l v+ a, ^
7 `9 B C( w8 a+ u( O www.072072.com
2 o- _9 B% c4 g
y) }4 j. v4 b& j5 w. z, ` 072072.com
1 D: ]9 b6 c* J& f! n
0 f$ \6 G% y: a. J4 z, q/ _6 k www.146146.com ( h* p% q; @1 Q& v. N$ [
! `0 F# C* }5 d$ ^! [& d 146146.com % ~! d, F4 Z8 n" P5 N0 N; a
5 Y+ z3 c, w6 N+ L 397397.com
, M/ Q" A/ M: \! s/ U( s4 x# R' p6 r6 I3 D
265.com
6 g% p- s5 _% U( V* c9 E3 E6 A# d& ^0 P' t j
liveupdate.baidu101.com , r' H7 d% {, p
4 ?/ g" r p2 k 3、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
5 C9 G% ?; Q- I8 Z2 U: j9 B) n1 R- o/ r8 C7 F
安裝新版Windows優(yōu)化大師后���,會(huì)在用戶電腦系統(tǒng)盤(pán)及優(yōu)化大師安裝盤(pán)根目錄下生成無(wú)法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤(pán)符�,下同),同時(shí)��,修改注冊(cè)表以下兩項(xiàng): 4 V T- b; c/ C6 x
4 i! K; k$ g8 ?$ E2 o3 d2 V5 j HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ( _. b8 c0 X6 y; u2 e
9 d( ~; j* E# v
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 6 u' R' ], b0 |6 R
h# u& K/ N* X6 \) i 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
- R3 e: S0 u* E- f
7 w6 y' ~; M. s% X1 ^- m 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成���、快速增長(zhǎng)的cookies文件���,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾����,只不過(guò)����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無(wú)遺…… ) k) j9 o( F' D8 f! g/ A
5 ?8 h; s K) u 4���、APIHOOK: % w5 T, |9 T# e \* o/ Z' G
0 f7 M, `) [6 o- [% q- b7 X# [$ A" ]
安裝新版優(yōu)化大師后��,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊���。 - Q4 Z1 z5 H- o3 g8 T' Q8 Q h( d
6 b8 r4 [! m) M. Q/ e+ e
此項(xiàng)為網(wǎng)友反饋,因筆者水平有限�,對(duì)此不甚了解,搜索網(wǎng)絡(luò)也未見(jiàn)有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�。 5 s( t3 B k2 t/ u
+ C: \2 T$ G, m! ~8 P 至此����,真相大白……
/ U- _0 c1 P( r* Y8 V1 A/ _0 I: a! L) [7 ~3 Y2 N! B
我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下��,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行��,侵犯用戶合法權(quán)益的軟件����,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�����。其具有如下特點(diǎn):強(qiáng)制安裝�、難以卸載、瀏覽器劫持���、廣告彈出���、惡意收集用戶信息���、惡意卸載����、惡意捆綁等。 / t, a% I6 K4 t/ S$ R6 {9 [
1 w/ _" h. T3 a, w% ~ 由此定義���,對(duì)比新版優(yōu)化大師的行徑���,相信大家自會(huì)有所明斷。 ) A) X5 z3 F& ]" [( t3 X
$ j- f5 t. G5 }. a- i2 p 在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本�����,將游戲大廳修改為安裝可選項(xiàng)���,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我�����,其它幾項(xiàng)暫未做檢測(cè)�����,故不加評(píng)論���。
; K6 m _& E1 H
0 a) B- M9 m$ o( t0 n 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡(jiǎn)單修復(fù)解決辦法����,僅供參考 5 A# J2 P8 Y$ t& R' V
3 M2 T/ ~- E' ~1 V) \" @ 當(dāng)然了����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ 2 i' W; g$ V) H3 I$ S) t
0 Q: f* K) p" i% i @
針對(duì)前文所述4項(xiàng)內(nèi)容,進(jìn)行以下修復(fù):
9 W3 D* v/ {9 h; l2 ^3 J+ L5 i4 W
第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開(kāi)始菜單快捷方式�����; ! e4 t% h* {) z; G% H) V$ Z
) Q8 G1 X- y2 ^: M4 v, y3 @4 I. N1 N
第2項(xiàng)可在卸載優(yōu)化大師后����,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目����; / ?. s; F7 W0 m) Q7 ]1 W
' ^ i; h: m5 U" z9 K9 }
第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): " H6 p; l) X2 p( f( h
: w' B! s# o8 b a# q# P5 F HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
& t; U4 u* V8 L4 j m
+ T( s9 Q0 J; }! m& p HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
$ ~. i, ~- P) U% X2 \, ?- |
1 s5 z& E s' k6 J% A) B VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 8 B( ^' V. p0 S4 H
% m: h3 _" k- s* q3 k+ H z; U
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies ) O0 S$ F8 j5 d+ P a! J
! X8 B2 B6 C9 E7 K& F) i, _. Q 重啟電腦后刪除所有盤(pán)符要目錄下的Software文件夾���; - o2 U: U% d+ p. o& x: \" e; a
h& V6 S! t/ b; P* j/ U 第4項(xiàng)因筆者水平有限����,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
