优化大师流氓行径详细分析及修复方案

近日，曾经在国内猖獗一时、为人所痛恨不耻，而经过网络环境净化已渐趋消声匿迹的“流氓软件”一词，又在网络上大面积出现，而此次，这个词指向的却是一个久负盛名、在各大下载网站长期驻守下载量第一名、在国内收费软件中销量排名也是第一、很多人装机必备的系统检测、优化软件：WINDOWS优化大师。
        自优化大师推出V7.93 .9.303版本以后，不少安装此版本的用户随即发现，自己的电脑中多了一些不明文件及程序，并且搜索引擎被强行篡改，随即纷纷到优化大师官方论坛提出问题、寻求解答。但众多用户的反映却未收到官方任何回应，反而被一一删帖。直到有气愤不过的网友在CNBETA投递并刊发“强制百度搜索 添加可疑文件 优化大师全面转型流氓大师”一文，引起各方关注，官方才匆匆发出一个公告，但此公告却只是“正式”地声明并隆重介绍了一下它推出的新游戏程序，对网友反应的其它问题却只字未提。
        做为多年的优化大师使用者，笔者也是第一时间赶到官方论坛，本着对优化大师多年良好声誉的信任，积极提出问题现象并综合网友讨论提出了一些解决办法，然而，却遭受到了删贴、封IP、锁ID的待遇。一个“优秀”软件的官方论坛竟然这样对待用户的意见反应，不禁令笔者疑窦丛生，于是对此版本软件进行了详尽测试，并参考一些网友的反馈，得出结果令人大跌眼镜。下面我们就来看看这个新版的“优化大师”是怎样在用户毫不知情的情况下对用户电脑进行“优化”的：
          1、强制安装GAMEHALL 游戏大厅：
               默认安装在C:\Program Files\GAMEHALL，并在开始菜单添加快捷方式。

          2、强制添加并篡改IE搜索引擎：
          安装新版Windows优化大师后，即使不选择任何设置，系统注册表会被修改，添加和修改的内容如下（此项内容引用网友评测）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
"Masters"="0F0F0F0F"
"Wopti P2P Library"="V:\\WoptiUtilities\\WoptiP2P.dll"
"Wopti Utilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="Baidu"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Baidu]
"Codepage"=dword:0000FDE9
"DisplayName"="百度搜索"
"SortIndex"=dword:FFFFFFFD
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Google]
"Codepage"=dword:000003A8
"DisplayName"="谷歌搜索"
"SortIndex"=dword:FFFFFFFE
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"Verion"="0013E86C8919"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
   01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1803"=dword:00000001
同时中途可能会连接一些不明网址：


        3、强行修改注册表并劫持COOKIES：
         安装新版Windows优化大师后，会在用户电脑系统盘及优化大师安装盘根目录下生成无法删除的文件夹Software，里面都包含好几层文件夹及隐藏文件 X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat（X代表所在盘符，下同），同时，修改注册表以下两项：
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
为X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat
    此项内容的目的正是为了隐藏其在后台偷偷链接某些不明网站的行径，掩饰那些不停生成、快速增长的cookies文件，而强行将用户COOKIES劫持到新生成的Software文件夹，只不过，因为技术人员的一时马虎，忘了将最外层的Software文件夹也加上“隐藏”属性，才暴露无遗……

      4、API HOOK：
        安装新版优化大师后，会将系统入口点FindFirstFileExW挂钩至0xB8ED3A26模块。
       此项为网友反馈，因笔者水平有限，对此不甚了解，搜索网络也未见有相关模块信息，还希望有技术高手继续研究分析出其实质。

           至此，真相大白……

          我们再来复习一下流氓软件（恶意软件）的官方定义：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，但已被我国现有法律法规规定的计算机病毒除外。 其具有如下特点：强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等。

           由此定义，对比新版优化大师的行径，相信大家自会有所明断。

            在CNBETA发文之后，优化大师官方迅速推出了V7.93 .9.305版本，将游戏大厅修改为安装可选项，但据网友反馈，其篡改搜索引擎的行径却依旧故我，其它几项暂未做检测，故不加评论。

            因仍有许多已安装V7.93 .9.303版本的网友不知如何修复被篡改的系统，故在此提出简单修复解决办法，仅供参考

           当然了，修复的前提是先卸载掉此版本优化大师~~

          针对前文所述4项内容，进行以下修复：
          第1项可自行删除C:\Program Files\GAMEHALL文件夹及开始菜单快捷方式；
           第2项可在卸载优化大师后，在IE的INTERNET选项中自行修改（WIN7系统最好同时勾选“阻止程序建议对默认搜索提供程序进行的更改”），之后手动清理注册表以上所列项目；
         第3项需修复注册表以下两项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies

VISTA、WIN7下修改为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

XP下将两项分别修改为C:\Documents and Settings\LocalService\Cookies和%USERPROFILE%\Cookies

重启电脑后删除所有盘符要目录下的Software文件夹；

         第4项因笔者水平有限，暂无解决办法.【大家可以不安装，安装一些其它的系统设置软件】