首页 文章

前几天一个急用的软件没法在 Deepin-Wine 上跑,再加上我对 Deepin 生态的深深怨恨,重新刷回了真香 Win10。但是前几天开始出现捆绑安装软件的情况,我立马就看不下去了。电脑是我的,给一个后台进程这样玩弄,先不说隐私的问题,首先不爽就对了。回想几天来的操作,逐一排查,根本没下载流氓软件或者破解版软件,那只能是在装机的时候植入了。敲定是“黑鲨装机助手”。

1.斗智斗勇

因为平时很少装机,而且在外面拿不到家里的镜像,当初选这个装机助手就是因为它打着不限速的旗号。下载的时候速度达到了 50M/s,刚开始还大呼良心,但是随后发现来源不太对劲,还发现了“PE”字眼,心里有点奇怪,我下的是原版镜像啊?然后把烧到 U 盘里的文件打开一看,还真是 PE 系统。机智的我怎么会被它忽悠呢,于是我把 PE 里的装机镜像拷了出来,心想这下子你能拿我怎么办?但是我忘记了一点:没有最流氓,只有更流氓。这个所谓的原版系统也是被改过的,坑啊。

于是我花费了宝贵的三天时间排查流氓软件

2.排查启动项

普通软件不启动就无法进行流氓软件的安装,因此首先应该排查启动项。这里我使用了 CCleaner 进行排查,一般来说,应该优先筛查下面这类东西:

  • 发布商显示为“不明”但是名字和系统进程贼像的,比如伪装成 svchcst.exe(原进程名为 svchost.exe
  • 软件名带有 install 字样,但是此刻你并未安装软件

但是我瞪大了我的 48K 纯液晶眼也没发现什么可疑启动项。也不奇怪,毕竟是在装机的时候夹带安装的,那时候系统还没有用户概念,能达到最高权限,类似于记事本后门。(?

3.排查任务管理器

还是纯液晶眼,在任务管理器里仔细地找啊找,也没有结果。找这类流氓软件的规则也和上面一样。不过一般的流氓软件最大只能渗透到“后台进程”一级,仔细分辨还是能够认出的。

但是有的软件能渗透到“服务”里,神不知鬼不觉。

4.排查系统服务

一般来说能够渗透到服务里的流氓软件,要么像我一样装机的时候就夹带了,不然一定是随意给了权限。排查服务真是个艰苦的奋斗过程。给大家提供一个思路:优先筛查没有描述的,再到描述中中文英文没空格的,再按第 2 节所述的规则筛查。

为什么呢?因为国产流氓软件走心的概率很小,要么干脆不写描述,要么乱写一通。而 Microsoft 等外国公司的中文西文间一般会加个空格,提高辨识度,就像 我这篇文章 写的一样。筛查到的可疑服务直接禁用,假如真的是它在作怪,那就继续禁用它吧,我也不知道怎么删掉(逃

果然筛查出了一个服务,大流氓!马上进行了禁用,但是……昨天晚上,我的桌面上又多出了一个流氓软件!

5.终极大杀器:修复系统 OR 重做系统

前面提到流氓软件是在装机的时候植入的,那么流氓软件极有可能是伪装成了系统文件,在后台默默地为我推送着最新款的垃圾游戏。这时候可以尝试修复系统。命令如下:

DISM.exe /Online /Cleanup-image /Restorehealth

它会联网匹配每个系统文件的 MD5 值并自动修复。由于 MD5 的唯一性,流氓软件就会暴露,并自动被健康的系统文件替换。挂了一晚上,问题彻底解决。

假如再次复现,那么还是选择重做系统吧。注意!要下载安装镜像,只认准下面两个途径:

  • Microsoft Windows10 媒体创建工具。微软官方的镜像下载工具下载的镜像都是绝对纯净的。坏处是只提供 Win10 的镜像,不过对于大部分人来说已经够了。
  • 下一站,我告诉你。前身是大名鼎鼎的 MSDN,我告诉你,十几年老站,口碑极好,绝对信赖。不过由于站长是个人,只提供了 ed2k 磁力链接,速度可能较慢。

6.尾声

这场大扫除行动持续了三天,浪费了我宝贵的三天做暑假作业的时间!今晚愤恨的我写完这篇文章后,得创造奇迹了……

最后给大家一个忠告:以后装系统时,镜像慢慢下,烧录慢慢烧,安装慢慢装,千万别信垃圾的一键工具。虽然麻烦,但是至少是保证了你能够用得爽。




文章评论

    牙膏厂厂长 访客ChromeWindows
    2020-09-26 7:46   回复

    似乎不太有效啊,已经被烦哭了 总是托盘弹窗

      lzc256 站长SafariMac
      2020-09-26 11:39   回复

      托盘图标其实最好办了,点进 win 10 的“托盘图标管理”,找到弹图标应用名,everything 搜索定位,粉碎即可

TC