使用冷门装机助手/流氓软件致使被捆绑安装各类奇奇怪怪软件的问题

本文首发于 lzcBlog，做者 lzc256，原文地址：https://www.lzcapp.cn/archives/600/。推荐转移到原文阅读，体验更佳。

---

前几天一个急用的软件无法在 Deepin-Wine 上跑，再加上我对 Deepin 生态的深深怨恨，从新刷回了真香 Win10。可是前几天开始出现捆绑安装软件的状况，我立马就看不下去了。电脑是个人，给一个后台进程这样玩弄，先不说隐私的问题，首先不爽就对了。回想几天来的操做，逐一排查，根本没下载流氓软件或者破解版软件，那只能是在装机的时候植入了。敲定是“黑鲨装机助手”。

1.斗智斗勇

由于平时不多装机，并且在外面拿不到家里的镜像，当初选这个装机助手就是由于它打着不限速的旗号。下载的时候速度达到了 50M/s，刚开始还大呼良心，可是随后发现来源不太对劲，还发现了“PE”字眼，内心有点奇怪，我下的是原版镜像啊？而后把烧到 U 盘里的文件打开一看，还真是 PE 系统。机智的我怎么会被它忽悠呢，因而我把 PE 里的装机镜像拷了出来，心想这下子你能拿我怎么办？可是我忘记了一点：没有最流氓，只有更流氓。这个所谓的原版系统也是被改过的，坑啊。

因而我花费了宝贵的三天时间排查流氓软件

2.排查启动项

普通软件不启动就没法进行流氓软件的安装，所以首先应该排查启动项。这里我使用了 CCleaner 进行排查，通常来讲，应该优先筛查下面这类东西：

• 发布商显示为“不明”可是名字和系统进程贼像的，好比假装成 svchcst.exe（原进程名为 svch[RainBowText]o[/RainBowText]st.exe）
• 软件名带有 install 字样，可是此刻你并未安装软件

可是我瞪大了个人 48K 纯液晶眼也没发现什么可疑启动项。也不奇怪，毕竟是在装机的时候夹带安装的，那时候系统尚未用户概念，能达到最高权限，相似于记事本后门。（？

3.排查任务管理器

仍是纯液晶眼，在任务管理器里仔细地找啊找，也没有结果。找这类流氓软件的规则也和上面同样。不过通常的流氓软件最大只能***到“后台进程”一级，仔细分辨仍是可以认出的。

可是有的软件能***到“服务”里，神不知鬼不觉。

4.排查系统服务

通常来讲可以***到服务里的流氓软件，要么像我同样装机的时候就夹带了，否则必定是随意给了权限。排查服务真是个艰苦的奋斗过程。给你们提供一个思路：优先筛查没有描述的，再到描述中中文英文没空格的，再按第 2 节所述的规则筛查。

为何呢？由于国产流氓软件走心的几率很小，要么干脆不写描述，要么乱写一通。而 Microsoft 等外国公司的中文西文间通常会加个空格，提升辨识度，就像 我这篇文章 写的同样。筛查到的可疑服务直接禁用，假如真的是它在做怪，那就继续禁用它吧，我也不知道怎么删掉（逃

果真筛查出了一个服务，大流氓！立刻进行了禁用，可是……昨天晚上，个人桌面上又多出了一个流氓软件！

5.终极大杀器：修复系统 OR 重作系统

前面提到流氓软件是在装机的时候植入的，那么流氓软件极有多是假装成了系统文件，在后台默默地为我推送着最新款的垃圾游戏。这时候能够尝试修复系统。命令以下：

DISM.exe /Online /Cleanup-image /Restorehealth

它会联网匹配每一个系统文件的 MD5 值并自动修复。因为 MD5 的惟一性，流氓软件就会暴露，并自动被健康的系统文件替换。挂了一夜，问题完全解决。

假如再次复现，那么仍是选择重作系统吧。注意！要下载安装镜像，只认准下面两个途径：

• Microsoft Windows10 媒体建立工具。微软官方的镜像下载工具下载的镜像都是绝对纯净的。坏处是只提供 Win10 的镜像，不过对于大部分人来讲已经够了。
• 下一站，我告诉你。前身是大名鼎鼎的 MSDN，我告诉你，十几年老站，口碑极好，绝对信赖。不过因为站长是我的，只提供了 ed2k 磁力连接，速度可能较慢。

6.尾声

这场大扫除行动持续了三天，浪费了我宝贵的三天作暑假做业的时间！今晚愤恨的我写完这篇文章后，得创造奇迹了……

最后给你们一个忠告：之后装系统时，镜像慢慢下，烧录慢慢烧，安装慢慢装，千万别信垃圾的一键工具。虽然麻烦，可是至少是保证了你可以用得爽。