自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)�,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改�,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答��。但眾多用戶的反映卻未收到官方任何回應(yīng)����,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注�����,官方才匆匆發(fā)出一個(gè)公告�,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提��。 9 M3 M# r2 V3 ]" L c I- ]. `
% [* ~ X' o$ Q( [! U( x
做為多年的優(yōu)化大師使用者�����,筆者也是第一時(shí)間趕到官方論壇����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而,卻遭受到了刪貼���、封IP、鎖ID的待遇��。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)�,不禁令筆者疑竇叢生,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試�����,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡����。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
. Z$ I% N3 L- C. ^
2 q. ?! G- q" |- \0 { 1、強(qiáng)制安裝GAMEHALL游戲大廳:
7 y1 I$ c/ w% U* w- G7 e! O" ~7 A
* l8 R/ `: X) Q1 o9 Z) t 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL���,并在開始菜單添加快捷方式��。
/ ?3 J, Q( w) `& ~4 c( K4 H2 R' H" ~# z# ]8 r& V9 O
2��、強(qiáng)制添加并篡改IE搜索引擎: * U' x3 O, N, o
5 {* {" O/ _ ] V) m
安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置�����,系統(tǒng)注冊(cè)表會(huì)被修改���,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
3 Z9 J/ a5 B1 h
1 o5 o: {4 A1 o4 ?3 Z/ o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] , v( z2 v8 s& C& j; B
& c& y# o% S8 }9 w
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
* _) M) Z! w2 _9 c0 w6 e
A8 D' f; \ l "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" * ]5 J/ p# V$ b7 ?/ I& W" |7 P$ T# }2 z
2 D" z9 d2 U: s/ t+ ^
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
& T3 D* k! @, {% ]* U
# Z$ @7 P% e4 X! ?7 M1 b "Masters"="0F0F0F0F" 0 _4 b6 ^$ K$ o4 E: b
& R/ c* @8 P+ p3 K2 W
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" 6 v' o9 W' e4 i4 H
. f2 @- G2 V0 H2 Z9 E& I! { "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
' _( E6 w$ p! Q; m1 L
: w- ^( t A; ?. }6 g4 U4 i1 f [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
4 h, s8 P( n H0 k9 ?7 Y
# u G8 p3 ?$ @- f4 l "DefaultScope"="Baidu" 5 c3 b( Z" A9 d0 T$ B
; r+ o0 u! b4 Z6 }1 h5 _: D
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
5 q; i$ ^8 @4 k/ ?
0 i. i7 T7 p9 q! g% R: \* @ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
6 }6 X) q' j( v$ ~# i3 B& I' k
& t7 J! ^6 [) l/ P: U% n# x [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] - }0 N! W/ `& Z
+ K) X4 Y. ~% i3 c "Codepage"=dword:0000FDE9 - {" B) X$ w* d
) {' x3 f7 h5 V! L( c+ d& l, k" o
"DisplayName"="百度搜索" ! J2 a, o: K$ c
d- ~' [# |' m" [1 u* r "SortIndex"=dword:FFFFFFFD
- [. @1 L6 r" j. H) ^8 e& _- I2 B9 h+ ?# s6 E, i) q
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 7 S3 m0 r+ T; C7 w
) b% s: ^2 ?5 u i! C [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ! J8 _' M4 s% e" d% H
; ^6 s8 a: X1 r6 T "Codepage"=dword:000003A8 ' k$ _5 k+ E3 e& c! V
6 u2 |2 v: |+ ~, m
"DisplayName"="谷歌搜索" - k4 h$ e s V) y3 V9 e% ~/ i
7 b2 o* J0 ~% ~ e
"SortIndex"=dword:FFFFFFFE 7 P5 g x8 N2 t3 N
0 w5 x+ x; G5 |
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
7 Z7 l U" t. ?* k9 Y& I7 t; a, |$ ]# r; W
[HKEY_CURRENT_USER\Software\Microsoft\Windows] ! j! z! V) ]7 l# y8 T; O
& J) q8 |' c% W* ]# o "Verion"="0013E86C8919"
" D3 J# z& I; c: Y6 P- ?, @$ t: s) `. m+ @, l
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] / j6 |+ B _! a1 K' P
. ?+ }7 g4 M8 P' F! a
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ & H9 s' L% k' V4 M }/ c
* B. N# Z" m2 l- s, W
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
1 q L$ C0 U$ g
) {0 D' |5 W8 Y( X, K( l( C1 g 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 ; r7 |8 N) ~/ L7 Q
! l) j" F) V7 J* F8 o8 m- Q2 s' B
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
, x8 I! u7 H( A5 K$ M* r
5 n5 Z& t, C$ s* A$ s7 Z "1803"=dword:00000001 ; S1 S7 a8 z3 k, M- n
! [6 l: r& h) X$ y& k4 O 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
! m5 H/ x+ Y2 f9 ?) x+ i* A$ y J% P2 q' U+ j& p9 z
www.930930.com 0 w* k+ M5 @( W
2 G! H/ S/ ]( Q6 i* }0 ?8 S www.304304.com
, o( V: D# g6 j2 H5 D& Q7 C' b4 S4 _9 M6 \
www.072072.com
1 h' k7 {5 J2 c0 q# C/ r0 {4 R W+ [ q2 K& N
072072.com 3 ?& b$ q; C% z. a' q
, B1 p8 C& D" m www.146146.com
/ E' A% |' Y2 U1 w; q) W, i2 Q% W: K* h/ @
146146.com + J6 q, g4 V C3 r6 m3 P
0 c# y! K! L* K j" v
397397.com 6 x+ F, ~3 b z* P2 a* @
" h9 S" b' ]: W5 B0 I
265.com
5 p9 Z* W% v" R- Q4 s
" p% y/ r' s4 F, b5 Y0 u liveupdate.baidu101.com
# C& B/ C& c9 K3 c
( b- ~8 L. R+ a9 U, c, `' r 3、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
9 J0 h$ _6 g" V$ C: D: U- S4 D* T' e: X( k$ J
安裝新版Windows優(yōu)化大師后���,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software�,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符��,下同),同時(shí)��,修改注冊(cè)表以下兩項(xiàng):
6 m, \" C; w1 p' P9 d3 ~! Q1 n* J0 }$ s8 t
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ) A$ R; f$ j( Q- G( I* `* P
) t; g F4 f" I, h/ Y HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies + b. g7 ` {; t" |/ E3 K0 B
/ a4 S* P, w5 l! s& `) d' a7 v3 @
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 6 [4 I7 U4 a" x% I* X5 E5 P
: I5 L/ o; _8 k% q7 y 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑����,掩飾那些不停生成、快速增長(zhǎng)的cookies文件����,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾,只不過�����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎���,忘了將最外層的Software文件夾也加上“隱藏”屬性���,才暴露無遺…… ; a* i" E0 N% S$ y4 k# P5 `
3 Z2 P6 @5 G' H 4、APIHOOK:
, b3 Y1 g8 P) G+ j6 H) j) L4 G1 s" i; D
安裝新版優(yōu)化大師后���,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。 5 Q/ I+ g; q8 b- z4 B' ~
?& T J, x5 p/ ]! P8 ?& }
此項(xiàng)為網(wǎng)友反饋����,因筆者水平有限���,對(duì)此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�����。
' s9 p4 c% d7 z8 b( u0 s8 |( b' h3 o2 a( J& W
至此�����,真相大白……
; s6 O8 e/ g: }; @8 G2 u* \# @
9 s' X) R8 q" L5 m; x# h+ n 我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下���,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行,侵犯用戶合法權(quán)益的軟件��,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載�����、瀏覽器劫持、廣告彈出�、惡意收集用戶信息、惡意卸載�、惡意捆綁等。
c S5 g( m, s- R: a: Z& P! _3 R" x5 ]4 D# [% M2 X/ H# l7 s
由此定義����,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷���。 . X0 }+ L9 ]/ e8 K' A
9 V4 n2 }1 e$ }9 M3 u A
在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本���,將游戲大廳修改為安裝可選項(xiàng)�����,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我����,其它幾項(xiàng)暫未做檢測(cè)��,故不加評(píng)論���。 , m) l0 K+ l! ^. w0 z9 q
( _; W- U) a$ e. Q; w
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)�����,故在此提出簡(jiǎn)單修復(fù)解決辦法�,僅供參考
' g) \$ w) B; o! d& u$ A' ^
h+ H }( }# u3 h 當(dāng)然了����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
; M/ o: b# L+ v+ H! f+ p6 E$ C ~7 \" r- m; d& ^
針對(duì)前文所述4項(xiàng)內(nèi)容,進(jìn)行以下修復(fù): - [1 c: `! o& S3 t/ o0 y4 Y/ ^
) C9 W8 v+ l" U! R* t, x8 C" ~) l r 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�����; , W, X( T: y7 V; O
1 @9 J2 e# Q( h5 s6 p# O9 }
第2項(xiàng)可在卸載優(yōu)化大師后�,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目�����; - d2 D0 X; A* ^" e! n* S f& Q$ r! b
. a2 G# e( ]" R1 b 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): . F: v y9 U$ j7 w" `3 U& l/ z
. G% Y' h1 l: a8 B/ n
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies " b: \1 ]" {9 K; V
2 M$ ]- A4 J& {' ]1 I9 w0 t4 m
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
- n! K6 n l3 W( P+ E3 m) P p; f! M. i, y& ~3 f
VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 9 Y- X- B' n, k+ H4 g
0 ]6 e3 ?) k0 _1 l
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
2 M L% p) x5 h. X- ~8 S
( v! z: j$ S1 U1 a$ V) _ 重啟電腦后刪除所有盤符要目錄下的Software文件夾�����;
$ U: U T) H* h1 z; L$ `8 [, F: b5 d2 a7 R- T
第4項(xiàng)因筆者水平有限�,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
