查看: 3215|回复: 23
收起左侧

[技巧] 【原创】如何规避《鲁大师》的流氓行径!

  [复制链接]
羊羔助手
发表于 2024-10-25 21:00:10 | 显示全部楼层 |阅读模式
本帖最后由 羊羔助手 于 2024-10-30 21:40 编辑

  《鲁大师》本是“鲁锦”开发的一款驱动管理软件,本为互联网初代的良心之作。但是自从《鲁大师》被“奇虎360”收购后便继承了360的本性,近年来越做越流氓。许多明面上不能通过《360安全卫士》安装的流氓软件就会通过《鲁大师》来安装,而且这个背锅侠《鲁大师》替360当得还很称心!

  现在直接进入主题正文,如何通过修改、删除《鲁大师》的安装目录来让这个“流氓大师”重新做回“鲁大师”。本文推荐以下方法,经测试,有效!

1.png



软件名称:《鲁大师》

问题版本:6.1024.4080.1009

危害等级:★★☆

危害平台:Windows 7+

非法行为:通过虚假弹窗强行安装第三方软件和强行篡改浏览器主页为《360导航》。

软件定义:流氓软件。



  首先,退出《鲁大师》,或是在“任务管理器”里结束“ComputerZTray.exe”和 “guardhp.exe”这两个《鲁大师》的主要进程;亦或是重启电脑进入“安全模式”直接进行如下操作。

  在《鲁大师》的安装目录下删除下列各个文件和文件夹,并利用同名文件不能在同目录下共存的原理在原目录下创建与之同名的“防再生补丁”。如果删除的是文件夹,就在其目录创建一个与之同名的文件,注意去掉文件扩展名。如果删除的是文件,就在其目录下创建一个与之同名的文件夹。也可以使用一些“文件粉碎机”删除这些文件和文件夹后勾选“防止文件再生”。





清除“SuperApp”文件夹:

  路径:“*:\LuDaShi\SuperApp”。

  “SuperApp”指向的是《鲁大师》软件界面中的“工具市场”。因为《鲁大师》会在不经过用户同意的情况下,不定期的在这个文件夹里强制、静默安装各种“小工具”。这些小工具的进程加起来有数十个,并能够脱离《鲁大师》的主体程序单独运行,且占用大量电脑内存,使电脑卡顿变慢,甚至蓝屏死机。而且随着用户使用时间的推移,这些各色各样的小工具会在“SuperApp”文件夹内越积越多,占用磁盘空间大小甚至超过了《鲁大师》安装目录的一半之多。

2.png

  其实《鲁大师》的这些所谓的小工具都是一些挂羊头卖狗肉的广告软件,它们会在桌面右下角随机弹出一些美女、游戏、电商之类的垃圾广告。其每个弹窗都是陷阱,所以一定要将该文件夹整个删除!

3.png





清除“update”或“V6”文件夹:

  路径:“*:\LuDaShi\update”。
  路径:“*:\LuDaShi\update\V6”。

  “update”是《鲁大师》自动更新、自我修复的文件夹,同时也是《鲁大师》给用户强制安装各类流氓软件的缓存目录。而且“update”是删不掉的,哪怕是创建了“防再生补丁”也是如此,因为《鲁大师》的后台程序会自动修复它。不过其子目录“V6”是可以被补丁屏蔽的,屏蔽“V6”文件夹依旧可以防止《鲁大师》的“工具市场”。





清除“update.exe”文件:

  路径:“*:\LuDaShi\update.exe”。

  “update.exe”是《鲁大师》的更新程序,也用于对《鲁大师》的修复。如果能够使用“文件粉碎机”屏蔽《鲁大师》的更新目录“update”防止其再生,那么该程序作废,可删可不删。





清除“computercenter.exe”文件:

  路径:“*:\LuDaShi\computercenter.exe”。

  “computercenter.exe”看似是《鲁大师》内置的壁纸美化工具,实则是《小鸟壁纸》的钓鱼推广程序。该程序会在用户桌面右上角弹出一个动漫小猫的动态头像,形象非常可爱动人,并提示用户“拉一拉换壁纸”。如果用户点击了更换壁纸,那么目前正与360合作的流氓软件《小鸟壁纸》就会被强制安装到用户的电脑中去。

4.png

  《小鸟壁纸》是目前国内以非法手段获得安装量最多的流氓软件!该流氓软件以弹窗、捆绑、病毒、木马、后门等各种方式推广自己,可以说是无孔不入,其流氓手段甚至堪比当年的《3721上网助手》!此前一段时间《小鸟壁纸》曾借助《360安全卫士》入侵美国特勤局内部计算机,现已被美国国防部点评为头号间谍软件并列入黑名单!





清除“RunIcon.exe”文件:

  路径:“*:\LuDaShi\Utils\RunIcon.exe”。

  “RunIcon.exe”在名义上是《鲁大师》的桌面图标启动程序,然而实际上它完全就是一个安置在《鲁大师》目录下的垃圾广告程序,甚至可以说是木马病毒程序。至于为什么这么说,看看《鲁大师》在桌面上创建的那些游戏图标的配置信息就知道了,它们的启动路径都统统指向了“RunIcon.exe”。

5.png





清除“guardhp.exe”文件:

  路径:“*:\LuDaShi\Utils\guardhp.exe”

  “guardhp.exe”是《鲁大师》的一个防护程序,该程序在关闭、退出、甚至是卸载《鲁大师》后依然会继续驻留内存。它的主要作用是保护《鲁大师》的软件功能不被破坏。但是它保护的并不是《鲁大师》,而是保护被《鲁大师》篡改的“360导航”。该程序会时刻监视“ComputerZ12.dll”或“ComputerZ12_x64.dll”的运行,如果加载这两个模块的“explorer.exe”被终止,那么下次启动运行“explorer.exe”时“guardhp.exe”就会重新将该模块加载到“explorer.exe”中去继续将用户的浏览器主页强行篡改为“360导航”。





清除“ComputerZ12.dll”和“ComputerZ12_x64.dll”文件:

  路径:“*:\LuDaShi\Utils\ComputerZ12.dll”。
  路径:“*:\LuDaShi\Utils\ComputerZ12_x64.dll”。

  “ComputerZ12.dll”和“ComputerZ12_x64.dll”是《鲁大师》劫持用户浏览器主页为“360导航”的核心模块,分别作用于32位和64位Windows系统。通常被其流氓进程“guardhp.exe”和流氓服务“Hardware ProtectionService”加载到“explorer.exe”中去运行。因此被《鲁大师》劫持的“explorer.exe”也就随之变成了流氓进程,只要它检测到用户打开浏览器,那么就会强行将浏览器主页跳转至“360导航”。





清除“HpSvc.dll”文件:

  路径:“*:\LuDaShi\lpi\HpSvc.dll”。

  “HpSvc.dll”是《鲁大师》服务“Hardware ProtectionService”的核心模块,它会随系统启动被加载到一个“svchost.exe”进程中去运行。从该服务的描述上来看,它是保护用户硬件驱动的,而实则它却是保护“360导航”的。该服务的行为和《鲁大师》的蛀虫程序“guardhp.exe”的行为类似,都是强行将用户的浏览器主页锁定为“360导航”,并同时保证“ComputerZ12.dll”和“ComputerZ12_x64.dll”这两个流氓模块是否在“explorer.exe”中正常运行。

6.png

  《鲁大师》的服务随系统自动启动,并经常在桌面右下角弹出“为保护用户浏览器而将主页锁定为360导航”的窗口提示。其实明眼人都知道,现在好多流氓软件都是以防护浏览器主页被流氓网站篡改的方式将自己的流氓网站篡改到用户的浏览器主页上的,这对用户而言无非就是一个流氓以“正义”的名义赶走了另一个流氓而已。

7.png

  另外附上屏蔽“360导航”的方法,依次打开“C:\Windows\System32\drivers\etc”文件夹,使用“记事本”打开“hosts”文件在其中一行输入“127.0.0.1 hao.360.com”后保存即可。





清除“ComputerZTray.exe”文件:

  路径:“*:\LuDaShi\ComputerZTray.exe”。。

  “ComputerZTray.exe”是《鲁大师》的托盘程序,也是《鲁大师》的流氓核心程序。《鲁大师》对用户的各种欺诈弹窗、恐吓弹窗、钓鱼弹窗……等等所有弹窗行为都是由该程序作用。同时该程序还是一个病毒下载器,它会在用户不知情的情况下偷偷在系统后台下载安装各种流氓软件和广告程序。

8.png

  “ComputerZTray.exe”在《鲁大师》初次运行时会伪造一个“安全防护”的弹窗诱导用户安装《鲁大师Browser Guard》。该软件是《鲁大师》功能之外的一个附属软件,也是《鲁大师》安装完毕后必然强装的一个流氓软件,如果未能安装在日后的使用中还会反复弹窗提示。这款软件的主要目的就是将用户的浏览器主页强行锁定为“360导航”,并且拥有自己独立的进程和服务。同时《鲁大师》的服务“HardwareProtection Service”还会辅助该软件的运行,因此《鲁大师Browser Guard》会同《鲁大师》对“360导航”进行双重锁定。卸载《鲁大师》并不会卸载《鲁大师Browser Guard》,这也是为什么许多用户在卸载《鲁大师》后依然无法解决浏览器主页被“360导航”强制篡改的原因。

9.png

  即便用户在《鲁大师》的设置中关闭了“主页防护”功能,也没有受到《鲁大师》的欺骗去安装《鲁大师Browser Guard》。那么“ComputerZTray.exe”一些恫吓用户的弹窗提示也会把用户的浏览器主页重新锁定为“360导航”。

10.png

  《鲁大师》通过“ComputerZTray.exe”制造的流氓弹窗无数,甚至有一些弹窗界面上的“不再提示”和“×”按钮都有可能变为摆设,例如《Win权限管理》的流氓弹窗!所以无论是用户关闭弹窗还是确认弹窗,只要用户的鼠标指针稍微触碰到这些弹窗上的任何一个角落,那么这些弹窗中的流氓软件就都会被强行安装到用户的电脑中来,而唯一解决它们的方法只有重启电脑。

11.png

  根据一些用户的反馈,除了百分之百被强装的《鲁大师Browser Guard》之外。被《鲁大师》通过弹窗偷偷安装在电脑上的第三方软件还有十余款,他们分别是《Win权限管理》、《Win优化大师》、《Ultra卸载器》、《简桌面》、《超级书签》、《启动项管理》、《广告拦截大师》等等……所以一定要删掉“ComputerZTray.exe”,删除该程序几乎可以斩断《鲁大师》的一切流氓行为。





清除《鲁大师》注册表:

  路径:“HKEY_CLASSES_ROOT\CLSID\{34B3C588-D06C-4F92-929C-2C3A0BC7F821}”。
  路径:“HKEY_CLASSES_ROOT\CLSID\{7AA4E7E8-4F76-6CBC-CE0D-749C41F8208B}”。
  路径:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Cached " {34B3C588-D06C-4F92-929C-2C3A0BC7F821}{EB0FE172-1A3A-11D0-89B3-00A0C90A90AC} 0xFFFF "”。
  路径:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Cached "{7AA4E7E8-4F76-6CBC-CE0D-749C41F8208B}{EB0FE172-1A3A-11D0-89B3-00A0C90A90AC} 0xFFFF"”。
  路径:“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34B3C588-D06C-4F92-929C-2C3A0BC7F821}”。
  路径:“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AA4E7E8-4F76-6CBC-CE0D-749C41F8208B}”。
  路径:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " ComputerZ-Tray"”。
  路径:“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\HpSvc”。

  以上这些均是《鲁大师》的一些服务项和启动项的注册表项值,为防止其随系统启动务必将其删除!





  删除上述这些文件和文件夹并不会导致《鲁大师》被破坏。因为《鲁大师》的各个功能本来就是由单一的程序组件独立运行的,其本身就是一个由各种小组件和小工具搭建拼凑出来的“积木软件”。而删除的这些文件和文件夹也都是《鲁大师》的广告模块和后门程序,所以删除它们并不影响《鲁大师》的原本功能。以后要是想打开已被祛除“流氓”性质的《鲁大师》,直接在其安装目录下打开运行“ComputerZ_CN.exe”就可以了。

12.png

  不过在清除《鲁大师》流氓组件的过程中,可以看到在其安装目录下还有许多带有“360”文件名的文件或文件夹。其实这并不是《鲁大师》给用户偷偷安装了《360安全卫士》,而是因为《鲁大师》在自身软件中嵌入了《360驱动大师》的部分程序模块。访问其软件界面中的“驱动检测”功能其实就是打开了《360驱动大师》。该情报在“*:\LuDaShi\DrvMgr”目录下查看“驱动检测”主体程序“DrvMgr.exe”的属性便可得知。

13.png

  据360内部人员透露,如今的《鲁大师》就是一个披着“硬件”和“驱动”皮囊的流氓软件下载器,而真正的《鲁大师》早在2010年被“奇虎360”收购之后就被360更名为《360驱动大师》了。至于《鲁大师》为什么还继续在市场上存在,是因为其母公司“奇虎360”想靠着曾经《鲁大师》的老本和名号继续在用户电脑中“挖矿”。

  同一家企业的两款同类产品,《360驱动大师》就非常纯洁,《鲁大师》就流氓到家!通过收购其它软件公司的产品将其产品功能整合到自己的软件产品中来提升自己,然后再把自己曾经在行业中的丑陋行为甩锅给这些被自己收购的子公司去做,最后再以“反流氓软件”的名义用自己那所谓的“杀毒软件”去查杀这些替自己顶罪的流氓软件!这也是360在周鸿祎领导下的一贯流氓作风。

  所以如果你按照以上步骤成功删除并屏蔽了《鲁大师》的各个文件和文件夹;那么恭喜你,此时你电脑上的这个“流氓大师”已经重新变回了曾经那个师道尊严的“鲁大师”了,同时你也成功规避了《鲁大师》的所有流氓行径了,可以安全放心的使用了。

14.jpeg





—— 羊羔助手(Lamb Assistant)

评分

参与人数 3人气 +9 收起 理由
wjy19800315 + 3 一直用绿色版5.1021老版
ninjagaocc + 3 精品文章
yyds_x + 3 版区有你更精彩: )

查看全部评分

不喜抽烟
发表于 2024-10-25 21:22:55 | 显示全部楼层
大神,收下我的膝盖。我觉得不用它就能完美的避开了。高手太寂寞吗
yyds_x
发表于 2024-10-25 22:06:09 | 显示全部楼层
感谢大佬分享!
KF-CHEN
发表于 2024-10-26 23:49:35 | 显示全部楼层
感谢分享!还是用绿色版省事
huabanyu
发表于 2024-10-27 11:31:56 | 显示全部楼层
鲁大师原名”优化大师“,网友则戏称其为”油滑大师“,诞生之初就是个流氓软件。
羊羔助手
 楼主| 发表于 2024-10-27 14:52:10 | 显示全部楼层
huabanyu 发表于 2024-10-27 11:31
鲁大师原名”优化大师“,网友则戏称其为”油滑大师“,诞生之初就是个流氓软件。

  不是,《鲁大师》原名是《Z武器》,2009年才改名《鲁大师》的。你说的“油滑大师”应该是当年的“Windows 优化大师”,那是1999年的远古付费软件。不过这两款软件的作者确实都是同一个人“鲁锦”。
yzydys
发表于 2024-10-27 15:56:20 | 显示全部楼层
多谢楼主提供
hf1986110
发表于 2024-10-27 17:17:48 | 显示全部楼层
这把实在是把大师妥妥儿的拿捏了
英九
发表于 2024-10-27 18:46:06 来自手机 | 显示全部楼层
最简单的办法,下绿色版或者不用
ninjagaocc
发表于 2024-10-27 20:28:29 | 显示全部楼层
珍藏了多年的windows优化大师
187ce4d9-5251-49f9-a974-574e46a6ed75.png
QQ20241027-202053 - frame at 0m2s.jpg
QQ20241027-202053 - frame at 0m32s.jpg
QQ20241027-202053 - frame at 1m2s.jpg
QQ20241027-202053 - frame at 1m32s.jpg
QQ20241027-202053 - frame at 2m2s.jpg

评分

参与人数 1人气 +1 收起 理由
roguekiller + 1

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-12 04:02 , Processed in 0.132775 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表