优化大师恶意行为解决方案
曾经在互联网猖獗一时,的流氓软件。又在网络上大面积出现了。在各大下载网站长期驻守下载量第一名、在国内收费软件中销量排名也是第一、很多人装机必备的系统检测、优化软件:Windows优化大师。
1、强制安装GAMEHALL 游戏大厅:
2、强制添加并篡改IE搜索引擎:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
"Masters"="0F0F0F0F"
"Wopti P2P Library"="V:\\WoptiUtilities\\WoptiP2P.dll"
"Wopti Utilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="Baidu"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd=%7bsearchTerms%7d&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Baidu]
"Codepage"=dword:0000FDE9
"DisplayName"="百度搜索"
"SortIndex"=dword:FFFFFFFD
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd=%7bsearchTerms%7d&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Google]
"Codepage"=dword:000003A8
"DisplayName"="谷歌搜索"
"SortIndex"=dword:FFFFFFFE
"URL"="http://www.google.com/search?hl=zh-CN&q=%7bsearchTerms%7d&lr="
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"Verion"="0013E86C8919"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1803"=dword:00000001
同时中途可能会连接以下不明网址:
http://www.930930.com/
http://www.304304.com/
http://www.072072.com/
072072.com
http://www.146146.com/
146146.com
397397.com
265.com
liveupdate.baidu101.com
3、强行修改注册表并劫持COOKIES:
安装新版Windows优化大师后,会在用户电脑系统盘及优化大师安装盘根目录下生成无法删除的文件夹Software,里面都包含好几层文件夹及隐藏文件。
X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat(X代表所在盘符,下同),同时,修改注册表以下两项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
为X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat
此项内容的目的正是为了隐藏其在后台偷偷链接某些不明网站的行径,掩饰那些不停生成、快速增长的cookies文件,而强行将用户COOKIES劫持到新生成的Software文件夹。只不过,因为技术人员的一时马虎,忘了将最外层的Software文件夹也加上“隐藏”属性,才暴露无遗……
4、API HOOK:
安装新版优化大师后,会将系统入口点FindFirstFileExW挂钩至0xB8ED3A26模块。
此项为网友反馈,因笔者水平有限,对此不甚了解,搜索网络也未见有相关模块信息,还希望有技术高手继续研究分析出其实质。
至此,真相大白……
我们再来复习一下流氓软件(恶意软件)的官方定义:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。其具有如下特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等。
由此定义,对比新版优化大师的行径,相信大家自会有所明断。
在此文发出以后,优化大师官方迅速推出了v7.93 .9.305版本,将游戏大厅修改为安装可选项,但据网友反馈,其篡改搜索引擎的行径却依旧故我其它几项暂未做检测,故不加评论。
因仍有许多已安装v7.93 .9.303版本的网友不知如何修复被篡改的系统,故在此提出简单修复解决办法,仅供参考:当然了,修复的前提是先卸载掉此版本优化大师~~
针对前文所述4项内容,进行以下修复:
1、第1项可自行删除C:\Program Files\GAMEHALL文件夹及开始菜单快捷方式;
2、第2项可在卸载优化大师后,在IE的INTERNET选项中自行修改(WIN7系统最好同时勾选“阻止程序建议对默认搜索提供程序进行的更改”),之后手动清理注册表以上所列项目;
3、第3项需修复注册表以下两项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
VISTA、WIN7下修改为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
XP下将两项分别修改为C:\Documents and Settings\LocalService\Cookies和%USERPROFILE%\Cookies
重启电脑后删除所有盘符要目录下的Software文件夹;
4、第4项因笔者水平有限,暂无直接的解决办法。
目前优化大师已经更新了此版本。从强插恶意删改更新成可以选择安装大家可放心下载使用。
华军软件园下载地址:http://www.newhua.com/soft/4591.htm