使用冷門裝機助手/流氓軟件致使被捆綁安裝各類奇奇怪怪軟件的問題

本文首發於 lzcBlog，做者 lzc256，原文地址：https://www.lzcapp.cn/archives/600/。推薦轉移到原文閱讀，體驗更佳。

---

前幾天一個急用的軟件無法在 Deepin-Wine 上跑，再加上我對 Deepin 生態的深深怨恨，從新刷回了真香 Win10。可是前幾天開始出現捆綁安裝軟件的狀況，我立馬就看不下去了。電腦是個人，給一個後臺進程這樣玩弄，先不說隱私的問題，首先不爽就對了。回想幾天來的操做，逐一排查，根本沒下載流氓軟件或者破解版軟件，那隻能是在裝機的時候植入了。敲定是「黑鯊裝機助手」。

1.鬥智鬥勇

由於平時不多裝機，並且在外面拿不到家裏的鏡像，當初選這個裝機助手就是由於它打着不限速的旗號。下載的時候速度達到了 50M/s，剛開始還大呼良心，可是隨後發現來源不太對勁，還發現了「PE」字眼，內心有點奇怪，我下的是原版鏡像啊？而後把燒到 U 盤裏的文件打開一看，還真是 PE 系統。機智的我怎麼會被它忽悠呢，因而我把 PE 裏的裝機鏡像拷了出來，心想這下子你能拿我怎麼辦？可是我忘記了一點：沒有最流氓，只有更流氓。這個所謂的原版系統也是被改過的，坑啊。

因而我花費了寶貴的三天時間排查流氓軟件

2.排查啓動項

普通軟件不啓動就沒法進行流氓軟件的安裝，所以首先應該排查啓動項。這裏我使用了 CCleaner 進行排查，通常來講，應該優先篩查下面這類東西：

• 發佈商顯示爲「不明」可是名字和系統進程賊像的，好比假裝成 svchcst.exe（原進程名爲 svch[RainBowText]o[/RainBowText]st.exe）
• 軟件名帶有 install 字樣，可是此刻你並未安裝軟件

可是我瞪大了個人 48K 純液晶眼也沒發現什麼可疑啓動項。也不奇怪，畢竟是在裝機的時候夾帶安裝的，那時候系統尚未用戶概念，能達到最高權限，相似於記事本後門。（？

3.排查任務管理器

仍是純液晶眼，在任務管理器裏仔細地找啊找，也沒有結果。找這類流氓軟件的規則也和上面同樣。不過通常的流氓軟件最大隻能***到「後臺進程」一級，仔細分辨仍是可以認出的。

可是有的軟件能***到「服務」裏，神不知鬼不覺。

4.排查系統服務

通常來講可以***到服務裏的流氓軟件，要麼像我同樣裝機的時候就夾帶了，否則必定是隨意給了權限。排查服務真是個艱苦的奮鬥過程。給你們提供一個思路：優先篩查沒有描述的，再到描述中中文英文沒空格的，再按第 2 節所述的規則篩查。

爲何呢？由於國產流氓軟件走心的機率很小，要麼乾脆不寫描述，要麼亂寫一通。而 Microsoft 等外國公司的中文西文間通常會加個空格，提升辨識度，就像 我這篇文章 寫的同樣。篩查到的可疑服務直接禁用，假如真的是它在做怪，那就繼續禁用它吧，我也不知道怎麼刪掉（逃

果真篩查出了一個服務，大流氓！立刻進行了禁用，可是……昨天晚上，個人桌面上又多出了一個流氓軟件！

5.終極大殺器：修復系統 OR 重作系統

前面提到流氓軟件是在裝機的時候植入的，那麼流氓軟件極有多是假裝成了系統文件，在後臺默默地爲我推送着最新款的垃圾遊戲。這時候能夠嘗試修復系統。命令以下：

DISM.exe /Online /Cleanup-image /Restorehealth

它會聯網匹配每一個系統文件的 MD5 值並自動修復。因爲 MD5 的惟一性，流氓軟件就會暴露，並自動被健康的系統文件替換。掛了一夜，問題完全解決。

假如再次復現，那麼仍是選擇重作系統吧。注意！要下載安裝鏡像，只認準下面兩個途徑：

• Microsoft Windows10 媒體建立工具。微軟官方的鏡像下載工具下載的鏡像都是絕對純淨的。壞處是隻提供 Win10 的鏡像，不過對於大部分人來講已經夠了。
• 下一站，我告訴你。前身是大名鼎鼎的 MSDN，我告訴你，十幾年老站，口碑極好，絕對信賴。不過因爲站長是我的，只提供了 ed2k 磁力連接，速度可能較慢。

6.尾聲

這場大掃除行動持續了三天，浪費了我寶貴的三天作暑假做業的時間！今晚憤恨的我寫完這篇文章後，得創造奇蹟了……

最後給你們一個忠告：之後裝系統時，鏡像慢慢下，燒錄慢慢燒，安裝慢慢裝，千萬別信垃圾的一鍵工具。雖然麻煩，可是至少是保證了你可以用得爽。