优化大师流氓行径分析及修复方案

近日，曾经在国内猖獗一时、为人所痛恨不耻，而经过网络环境净化已渐趋消声匿迹的“流氓软件”一词，又在网络上大面积出现，而此次，这个词指向的却是一个久负盛名、在各大下载网站长期驻守下载量第一名、在国内收费软件中销量排名也是第一、很多人装机必备的系统检测、优化软件：WINDOWS优化大师。
自优化大师推出V7.93 .9.303版本以后，不少安装此版本的用户随即发现，自己的电脑中多了一些不明文件及程序，并且搜索引擎被强行篡改，随即纷纷到优化大师官方论坛提出问题、寻求解答。但众多用户的反映却未收到官方任何回应，反而被一一删帖。直到有气愤不过的网友在CNBETA投递并刊发“强制百度搜索添加可疑文件优化大师全面转型流氓大师”一文，引起各方关注，官方才匆匆发出一个公告，但此公告却只是“正式”地声明并隆重介绍了一下它推出的新游戏程序，对网友反应的其它问题却只字未提。
下面我们就来看看这个新版的“优化大师”是怎样在用户毫不知情的情况下对用户电脑进行“优化”的：
1、强制安装GAMEHALL 游戏大厅：
默认安装在C:\Program Files\GAMEHALL，并在开始菜单添加快捷方式。

2、强制添加并篡改IE搜索引擎：
安装新版Windows优化大师后，即使不选择任何设置，系统注册表会被修改，添加和修改的内容如下（此项内容引用网友评测）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
“CustomizeSearch”=”http://www.baidu.com/baidu?tn=youcome_pg”
“SearchAssistant”=”http://www.baidu.com/baidu?tn=youcome_pg”
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
“Masters”=”0F0F0F0F”
“Wopti P2P Library”=”V:\\WoptiUtilities\\WoptiP2P.dll”
“Wopti Utilities”=”V:\\WoptiUtilities\\WoptiUtilities.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
“DefaultScope”=”Baidu”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
“URL”=”http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3″
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Baidu]
“Codepage”=dword:0000FDE9
“DisplayName”=”百度搜索”
“SortIndex”=dword:FFFFFFFD
“URL”=”http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3″
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Google]
“Codepage”=dword:000003A8
“DisplayName”=”谷歌搜索”
“SortIndex”=dword:FFFFFFFE
“URL”=”http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=”
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
“Verion”=”0013E86C8919″
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
“SavedLegacySettings”=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1803″=dword:00000001
同时中途可能会连接以下不明网址：
www.930930.com
www.304304.com
www.072072.com
072072.com
www.146146.com
146146.com
397397.com
265.com
liveupdate.baidu101.com

3、强行修改注册表并劫持COOKIES：
安装新版Windows优化大师后，会在用户电脑系统盘及优化大师安装盘根目录下生成无法删除的文件夹Software，里面都包含好几层文件夹及隐藏文件 X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat（X代表所在盘符，下同），同时，修改注册表以下两项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
为X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat
此项内容的目的正是为了隐藏其在后台偷偷链接某些不明网站的行径，掩饰那些不停生成、快速增长的cookies文件，而强行将用户COOKIES劫持到新生成的Software文件夹，只不过，因为技术人员的一时马虎，忘了将最外层的Software文件夹也加上“隐藏”属性，才暴露无遗……

4、API HOOK：
安装新版优化大师后，会将系统入口点FindFirstFileExW挂钩至0xB8ED3A26模块。
此项为网友反馈，因笔者水平有限，对此不甚了解，搜索网络也未见有相关模块信息，还希望有技术高手继续研究分析出其实质。

下面是提供的解决方案:

针对前文所述4项内容，进行以下修复：
第1项可自行删除C:\Program Files\GAMEHALL文件夹及开始菜单快捷方式；
第2项可在卸载优化大师后，在IE的INTERNET选项中自行修改（WIN7系统最好同时勾选“阻止程序建议对默认搜索提供程序进行的更改”），之后手动清理注册表以上所列项目；
第3项需修复注册表以下两项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies

VISTA、WIN7下修改为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

XP下将两项分别修改为C:\Documents and Settings\LocalService\Cookies和%USERPROFILE%\Cookies

重启电脑后删除所有盘符要目录下的Software文件夹；

第4项因本人水平有限，暂无解决办法. 如果有人能提供解决方便,请与我联系.

儿童版Windows Live Messenger

微软三月初推出了 Windows Live Messenger for Kids.需要注意的是，Windows Live Messenger for Kids 并不是客户端，而是 Messenger Library 的一款应用.

可以确定的是，Windows Live Messenger for Kids 是微软面向儿童推出的安全即时通讯应用，但只是推出叻德语版，根据 Neowin 的Rebel Sean 的反应，该应用并不稳定(出现程序崩溃和自动掉线)。功能方面，只能发送文本和表情，不支持视频和文件发送，但支持换背景(适合儿童的)。
根据 Heise Online 的解释：家长需要为自己的孩子建立 Windows Live ID 帐号，添加联系人也需要通过家长的验证。若有人骚扰，也可点击紧急电话按钮告诉家长。看来这就是和 Windows Live Family Safety 同样策略的安全保护了.

更有趣的是，微软选择了通过程序隐藏了 IE 的地址栏、工具栏、状态栏等。其实，Live Mesh 也是能实现这样的效果的(可以在桌面环境运行的 Live Mesh 应用，还可以文件共享和视频聊天)，不过现在还不是推 Live Mesh 应用的时候。不过，或许是 Live Mesh 应用还不适合儿童使用吧.

All in One SEO Pack使用说明

很多朋友估计都听说过SEO,但是又不知道怎样优化自己的wordpress-BLOG.我推荐All in One SEO Pack这个插件,可以帮不会PHP语言的朋友实现简单的SEO.

1、首先下载All in One SEO Pack并解压，上传到你wordpress的目录.

2、登录wordpress后台控制面板激活该插件.

3、在选项菜单里面找到all in one seo选项,以下就是里面选项的介绍:

Home Title：填写博客标题，如“无心呢喃”；

Home Description：则填博客的描述；如“记录自己的成长”

Home Keywords：填写博客的关键词， 比如BLOG,wordpress,theme,SEO(建议填写和自己实际内容相关的关键词)

Rewrite Titles：指标题要不要重写，如果选中的话，标题的前半部分是博客文章的题目，后半部分则是博客的名则，用“|”分隔开(据说日志内容在BLOG名字的前面对搜索引擎友好)

Use Categories for META keywords： 把分类作为meta关键词，推荐选中.

Use Category Description as Title：把分类描述作为标题，不推荐选中.

Use noindex for Categories：分类页面不抓取，推荐选中.(避免搜索引擎认为你提交重复内容!)

Use noindex for Archives：存档页面不抓取，推荐选中.(同上)

Autogenerate Descriptions：自动生成摘要， 推荐选中.

取消Wordpress自动保存日志和清除重复日志

自从wordpress升级到2.6以后,加了一个很让人恼火的功能,自动保存.如果选择后台写文章的话,即使没编辑过的文章,也会因为自动保存功能,增加了很多无用的草稿.

这里推荐两个插件Disable autosave 和Delete-Revision

Disable autosave可以禁止wordpress的自动保存,这个安装好了即可工作.

Delete-Revision可以删除多于的重复日志,比如你编辑以前的文章.安装好了,在后台的”设置”里找到”Delete-Revision”,运行即可.

自从用上这两个插件以后,我的Mysql数据库精简了很多.

没有发现 PHP 的扩展设置mbstring 解决方法

在Windows服务器下,配置PHP 出现 "没有发现 PHP 的扩展设置mbstring".

解决方法为把 D:\PHP\EXT 文件夹下的(我的PHP装在D盘) php_mbstring.dll 复制到 系统 C:\WINDOWS\system32 文件夹下

修改D:\PHP\EXT文件夹下的php.ini文件,找到;extension=php_mbstring.dll 把;去掉 保存 php.ini文件即可,然后把修改过的 php.ini复制到c:\WINDOWS\下.

然后重新启动IIS服务,问题解决.

xrea最新空间申请攻略

需要下载日文火狐进行申请

官网下载地址:http://www.mozilla-japan.org/products/firefox/

大多数的服务器需要挂高匿80端口代理申请
s318 不需要使用代理，大家可以试一下~

可能转为永久免费的方法
在vd 注册个帐户，登陆后点
サーバーアカウントの登録・管理・購入

完了点
取得済み無料サーバーアカウントをデータベースに登録
输入你的帐户，密码

-------------------------------------------

申请攻略(一).申请部分
XREA空间的申请是地址是http://www.xrea.com/?action=signup1&server=www.\"sXX\".xrea.com
http://www.xrea.com/?action=signup1&server=www.\"KX\".xrea.com
KX\"sXX\"代表申请的服务器。现在暂时可申请的服务器是试用空间。S170-S217
如我的申请地址：http://www.xrea.com/?action=signup1&server=www.s201.xrea.com

（一）关于代理服务器
申请xrea的关键，是有可用的日本代理，只有找好了代理，申请极其容易。这个空间把很多代理都封了，找到一个不容易，所以申请起来不那么简单。
以前听有人说中国以外的都可以，我没有试过，也听说过必须是日本代理。据说用代理猎手搜到的日本代理成功率大，不过我没用过。我的代理全部在网上找到，下面是我找日本代理的网址：http://www.cyberSyndrome.net，（一小时更新一次） 大家不妨试试看。

（二）关于信箱
申请XREA的空间不一定要用日本邮箱，国内不知名的邮箱也可以

（三）关于xrea申请
如申请我的，进入http://www.xrea.com/?action=signup1&server=www.s201.xrea.com
后，申请表填法为：
お名前： 名字，中英都可，我都填的是英文或拼音，如jack jack等等
性別：随便
生年月日：随便
メールアドレス(携帯不可) ：你的邮箱
希望ID(小文字で3～10文字) 你希望的用户名
规则同意选项选法：
私は、ホームページを作ったことがありません。
私は、規約違反をしないとは断言できません。
不要打勾！ 其他全勾！ 没选对将出现同意項目に同意?遵守されない場合は、登録できません字样。

从S201开始，出现FLAsH数字验证码，要求全角输入，很简单的，如果没有FLAsH数字验证码，就是试用7天的空间。
最后按“规约同意反登陆“

▲如果出现仮登録が完了しました！　メールにしたがって今すぐ本登録をしましょう！
一時間経ってもメールが届かない場合は、アドレスの打ち間違えがあります。
同じIDを希望なされる場合は、２４時間以降に再度登録しなおしてください。
異なるIDでいい場合は、このあと再度登録してください，恭喜，你申请成功了，赶快收第一封信去吧。
▲如果出现登録ユーザー数が定員に達しております，好像是申请人数已满。
▲最常见的就是出现Status:X：登録できませんでした。一短行字，实际上是你的代理不行，重新找代理吧。

（四）关于收信及激活
申请成功后，立即在你的日本邮箱里收信，很简单，我就不细说了，复制密码后，点击那个长链接，填入你的用户名和刚才信里收到的密码，回车。
▲如果出现本登録を受け付け、メールを送信しました。
サーバーの準備(ウェブ?メール?データベース)まで通常１～２時間程度かかります。
それ以上たってもつながらない場合は、サポートまでご連絡下さい。几行字，恭喜，激活成功，快收第二封信去吧。
▲如果出现IDが正しくありません。javascript、Cookieを有効にして仮登録から行って下さい字样，可能是cookie问题，我也没有完美的解决办法，我重新在信箱里打开新窗口，大多数又可以了，有时还是不行。
▲如果出现既に他のアカウントを作成済みです。新規アカウント作成は時間を空けてお試し下さい字样，是同一代理短时间申请过了。