自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)�����,自己的電腦中多了一些不明文件及程序�,并且搜索引擎被強(qiáng)行篡改�,隨即紛紛到優(yōu)化大師官方論壇提出問(wèn)題��、尋求解答���。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖�����。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文�,引起各方關(guān)注���,官方才匆匆發(fā)出一個(gè)公告�,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對(duì)網(wǎng)友反應(yīng)的其它問(wèn)題卻只字未提。 , E2 s9 ]! m- D! d
* ^! z; B, N! y. v3 j 做為多年的優(yōu)化大師使用者��,筆者也是第一時(shí)間趕到官方論壇��,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任���,積極提出問(wèn)題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而,卻遭受到了刪貼���、封IP、鎖ID的待遇����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見(jiàn)反應(yīng),不禁令筆者疑竇叢生����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試,并參考一些網(wǎng)友的反饋�����,得出結(jié)果令人大跌眼鏡�。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的: 0 `! D" e% S; N, b8 H
4 d0 F+ z0 F& t# t% ^" E) U2 j
1、強(qiáng)制安裝GAMEHALL游戲大廳: . |! \8 K$ R/ x% `8 s# X; W
# g1 D. Y# Z0 D) Q* V, e7 n- a) c. [
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�����,并在開(kāi)始菜單添加快捷方式��。
# w( ]+ M% u5 |. o( @+ P4 G% i+ Y4 U: B Z. m
2、強(qiáng)制添加并篡改IE搜索引擎: ' _+ W8 R$ T! |
6 `1 F% m+ s+ s' ^8 s$ h 安裝新版Windows優(yōu)化大師后����,即使不選擇任何設(shè)置,系統(tǒng)注冊(cè)表會(huì)被修改�,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): ' n) |6 k2 V8 t; ?4 B/ A- M3 r7 ^- S
, N5 i7 ]! G! d" E5 g
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
$ O J/ w3 Q$ {6 l) ]; t8 i F+ {/ c) D6 f/ c
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
% X2 S9 w# k' p. J7 m3 ~3 ]
; ?* A3 N1 n& ?- v1 {' N( P "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 9 T9 N9 M3 T/ d9 j5 E0 w5 `( }
* a! P' a4 Y4 f! g2 \. ?6 j
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom] . N7 d$ o# c& x; l& @$ E2 B8 n' Z
8 x/ R0 } T M' _+ l0 L
"Masters"="0F0F0F0F"
: F7 h5 S6 \4 l0 Y) P* A6 K
7 g, J" ~% a4 d# P: z# h, v; M( M "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
! e: E. j1 G/ Y- W
0 w! e) f! ^; v) P( Y/ | "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" # B3 U& ~0 i7 j, p/ f$ h1 H
9 e5 {( q# d5 L [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
6 x( m9 @' t8 s, q$ G+ I$ f1 a
* } Z; d5 g: y7 y4 _ "DefaultScope"="Baidu" * P3 K- G. o- G: E5 P0 K
# O8 E! n+ a" m) B
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
; ?3 f- l9 Z* c5 y/ G& O; D5 E2 L: e) n% A* s0 _# G' x" i( Z4 ~
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
; Y) m/ _# W0 K
z1 a+ R+ w- |$ S7 T [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 3 U+ x7 C- w5 L; c$ m, |
7 o4 c8 m' d H "Codepage"=dword:0000FDE9 $ x. ~7 `* z- Z& b. m" x
1 G( ~7 B# o* i* E" o8 E
"DisplayName"="百度搜索" + ~: u0 v9 A% M- P4 X9 }5 q; g4 M
5 Y: k# z8 T( ]9 f4 R "SortIndex"=dword:FFFFFFFD 9 w9 B+ o3 A. |$ [* e
$ w& Q$ J- K4 t* D) C' Y "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
* d( T, E% J5 Y/ z9 }% W( K, O+ f5 ^# e
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
7 u" ]$ s# {* o4 G+ j s
0 K+ P" V( ] R) J; ` "Codepage"=dword:000003A8
* ~" ^" G7 _, N+ A. _! G
" y/ n, k! R. v* }$ ]' ^ "DisplayName"="谷歌搜索" 2 S# q8 t( B0 }% D- g
& b' i, u$ n, D1 D" f/ J0 d8 x/ l "SortIndex"=dword:FFFFFFFE
: [; H* @( `# o1 u6 N) D0 A2 _% n1 q2 A; W- O
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
* q A# X3 A) M& F- ~
8 k. m/ h# b) r1 Z& y# L4 } [HKEY_CURRENT_USER\Software\Microsoft\Windows] # k/ X, h: ~. N) _& I
2 {8 ^3 E& D! C* M7 q4 M/ I- G6 S q V
"Verion"="0013E86C8919"
7 S4 x! f/ b% U- C# d$ d
1 Z# c+ K; m( T [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 2 h( t: j6 p" ]6 H/ `, Q+ `5 l9 y
6 m3 {5 s/ l) h
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 1 h4 \: o' P! |
. D2 Q/ F2 ~; S: P8 q1 e
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
) |5 l5 c9 U1 q1 l& b8 V- e* F* v0 p1 [; c2 y: b# z: o
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
1 P1 I, A* V. e& I. d. f0 p
9 u% f! |1 X5 x* k0 M [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
9 Z! h9 Q j( G+ Y! B, E. ?/ c" r' L7 P/ @7 {
"1803"=dword:00000001 3 \. O P6 D/ }" V2 {
& x6 D# y" I, }6 J K 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
# A" ?7 S l( a9 U
" @# |8 G+ y, R: T1 b- Q5 V$ K www.930930.com * b. l4 k ^- c' G) `' Y5 s
. `( O( c: w; i" A' A# a, A9 p www.304304.com 2 E I( m" d- X( a0 L- O2 G7 D
, m A: s4 p7 s2 D2 e8 }+ h www.072072.com
! {- p: M/ J9 }6 r
* O o( Q e" \- |3 x7 O/ Q 072072.com - W8 {2 |6 n0 T( [0 ]6 j8 I3 x
7 P5 V2 ^" ]& N6 ]- ]* _
www.146146.com
N$ G; a% ]6 O0 k
( F, s% a0 t2 U/ [! x 146146.com
E* W/ R; Y& B5 f8 G8 |, x- w8 A
# v4 U' H" `' W4 O 397397.com
" s, R* [6 r) I6 T0 a2 `
8 }) m1 R6 s, _9 t/ l, u$ W% w0 U 265.com 8 g' ?' h' F5 O
) r1 I4 m: U$ D& }0 X) A2 ?2 K6 i
liveupdate.baidu101.com
2 \- {, Q8 m5 p1 f; Q
$ V9 i0 O' ^' C; b) ?' k7 f6 e6 I 3、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
9 [' h2 c' s! r. o4 g0 J! _
; j. L8 F; }. t( g. z- B 安裝新版Windows優(yōu)化大師后��,會(huì)在用戶電腦系統(tǒng)盤(pán)及優(yōu)化大師安裝盤(pán)根目錄下生成無(wú)法刪除的文件夾Software�����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤(pán)符�����,下同)��,同時(shí)�,修改注冊(cè)表以下兩項(xiàng):
8 `3 k# m W: h. _+ M3 j1 r' v5 u c) e0 E
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
1 F2 c! M" |( L1 z* }2 X1 Q; H. G4 } k
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies $ @7 F8 t8 Y9 n' z( |8 `3 f& J
' L& r8 a b+ \" B" M' H* `
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat ) q2 R0 u4 k9 [9 K& U' P" A' l
2 p& R2 Z% a/ \& P4 x5 ~
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成���、快速增長(zhǎng)的cookies文件����,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾,只不過(guò)����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性�,才暴露無(wú)遺…… # C6 K* u l" Y5 g
* |0 L' Y3 |3 s8 l: v8 J 4、APIHOOK: ( Z9 w z+ n; l1 c! ?
& q" r* F. \* o5 }0 v# { H
安裝新版優(yōu)化大師后���,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。
" F E$ o1 J& P t+ Q8 e+ r' H0 q) l' S
此項(xiàng)為網(wǎng)友反饋��,因筆者水平有限�,對(duì)此不甚了解,搜索網(wǎng)絡(luò)也未見(jiàn)有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)��。
3 X/ ?' Q( u8 Y0 V/ r- M
2 p' z* _0 R# m9 N 至此����,真相大白…… k" b+ J1 J. W& D( o
& y: B7 A) e) Q4 F
我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行,侵犯用戶合法權(quán)益的軟件���,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外����。其具有如下特點(diǎn):強(qiáng)制安裝���、難以卸載�����、瀏覽器劫持����、廣告彈出�����、惡意收集用戶信息�、惡意卸載、惡意捆綁等�。
2 ]2 n& G; Z7 T: C( E
: z* Q+ |9 ~- p& w | 由此定義,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷��。
! S& _" H1 O. E: q9 L3 Y4 P! U+ y! Z @- A u8 Z1 L1 b6 u4 S7 j
在CNBETA發(fā)文之后��,優(yōu)化大師官方迅速推出了V7.93.9.305版本��,將游戲大廳修改為安裝可選項(xiàng)�,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我��,其它幾項(xiàng)暫未做檢測(cè)���,故不加評(píng)論。
1 n* ~6 K, T; A) a M
9 ]/ m' M9 [* f# Y' l: e* N8 \ 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡(jiǎn)單修復(fù)解決辦法��,僅供參考
$ M# k" R% Z- `" B- V: n
% b8 ]" u, o6 i* u/ Z/ I 當(dāng)然了��,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ 1 M% Y* A% z# F
( a$ M& H- Y h) q: P+ L 針對(duì)前文所述4項(xiàng)內(nèi)容�,進(jìn)行以下修復(fù):
" N6 n; i4 _; S K4 b: N+ d& p3 S' ?8 ^9 N
第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開(kāi)始菜單快捷方式����; 0 R) b! j# G$ p
* w5 X* V. G F 第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目�;
* P' W. s9 ^0 K$ g2 O7 o
- r$ V. {: m$ _5 u( _ 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): 8 Z! b: {$ Q( u* u* b
0 {1 R; ]' z2 E" X5 g1 m5 d( ^* T HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ]3 k% _% c3 c) k- Q
5 Q0 |1 N/ n- m: q
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
1 e& T! n0 l3 @/ N% L# _
8 t8 s& i- `5 i6 \& U& r VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
, |9 t# L* }# X- O& q" M+ r' |3 N/ |8 c6 x& o# ~: c1 R
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
. v& [2 v# S$ w% F9 @# S
9 q6 Q5 }, O7 R1 Z+ L4 D9 y 重啟電腦后刪除所有盤(pán)符要目錄下的Software文件夾�����; % O1 C7 O" ^2 f; q
$ T7 n) G @- s# G- q" V# v
第4項(xiàng)因筆者水平有限���,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
