使用冷门装机助手/流氓软件导致被捆绑安装各种奇奇怪怪软件的问题

本文首发于 lzcBlog，作者 lzc256，原文地址：https://www.lzcapp.cn/archives/600/。推荐转移到原文阅读，体验更佳。本文不采用 Creative Commons 版权模板，转载协议请以原文文尾为准。

前几天一个急用的软件没法在 Deepin-Wine 上跑，再加上我对 Deepin 生态的深深怨恨，重新刷回了真香 Win10。但是前几天开始出现捆绑安装软件的情况，我立马就看不下去了。电脑是我的，给一个后台进程这样玩弄，先不说隐私的问题，首先不爽就对了。回想几天来的操作，逐一排查，根本没下载流氓软件或者破解版软件，那只能是在装机的时候植入了。敲定是“黑鲨装机助手”。

1.斗智斗勇

因为平时很少装机，而且在外面拿不到家里的镜像，当初选这个装机助手就是因为它打着不限速的旗号。下载的时候速度达到了 50M/s，刚开始还大呼良心，但是随后发现来源不太对劲，还发现了“PE”字眼，心里有点奇怪，我下的是原版镜像啊？然后把烧到 U 盘里的文件打开一看，还真是 PE 系统。机智的我怎么会被它忽悠呢，于是我把 PE 里的装机镜像拷了出来，心想这下子你能拿我怎么办？但是我忘记了一点：没有最流氓，只有更流氓。这个所谓的原版系统也是被改过的，坑啊。

于是我花费了宝贵的三天时间排查流氓软件

2.排查启动项

普通软件不启动就无法进行流氓软件的安装，因此首先应该排查启动项。这里我使用了 CCleaner 进行排查，一般来说，应该优先筛查下面这类东西：

发布商显示为“不明”但是名字和系统进程贼像的，比如伪装成 svchcst.exe（原进程名为 svch[RainBowText]o[/RainBowText]st.exe）
软件名带有 install 字样，但是此刻你并未安装软件

但是我瞪大了我的 48K 纯液晶眼也没发现什么可疑启动项。也不奇怪，毕竟是在装机的时候夹带安装的，那时候系统还没有用户概念，能达到最高权限，类似于记事本后门。（？

3.排查任务管理器

还是纯液晶眼，在任务管理器里仔细地找啊找，也没有结果。找这类流氓软件的规则也和上面一样。不过一般的流氓软件最大只能***到“后台进程”一级，仔细分辨还是能够认出的。

但是有的软件能***到“服务”里，神不知鬼不觉。

4.排查系统服务

一般来说能够***到服务里的流氓软件，要么像我一样装机的时候就夹带了，不然一定是随意给了权限。排查服务真是个艰苦的奋斗过程。给大家提供一个思路：优先筛查没有描述的，再到描述中中文英文没空格的，再按第 2 节所述的规则筛查。

为什么呢？因为国产流氓软件走心的概率很小，要么干脆不写描述，要么乱写一通。而 Microsoft 等外国公司的中文西文间一般会加个空格，提高辨识度，就像我这篇文章写的一样。筛查到的可疑服务直接禁用，假如真的是它在作怪，那就继续禁用它吧，我也不知道怎么删掉（逃

果然筛查出了一个服务，大流氓！马上进行了禁用，但是……昨天晚上，我的桌面上又多出了一个流氓软件！

5.终极大杀器：修复系统 OR 重做系统

前面提到流氓软件是在装机的时候植入的，那么流氓软件极有可能是伪装成了系统文件，在后台默默地为我推送着最新款的垃圾游戏。这时候可以尝试修复系统。命令如下：

DISM.exe /Online /Cleanup-image /Restorehealth

它会联网匹配每个系统文件的 MD5 值并自动修复。由于 MD5 的唯一性，流氓软件就会暴露，并自动被健康的系统文件替换。挂了一晚上，问题彻底解决。

假如再次复现，那么还是选择重做系统吧。注意！要下载安装镜像，只认准下面两个途径：

Microsoft Windows10 媒体创建工具。微软官方的镜像下载工具下载的镜像都是绝对纯净的。坏处是只提供 Win10 的镜像，不过对于大部分人来说已经够了。
下一站，我告诉你。前身是大名鼎鼎的 MSDN，我告诉你，十几年老站，口碑极好，绝对信赖。不过由于站长是个人，只提供了 ed2k 磁力链接，速度可能较慢。

6.尾声

这场大扫除行动持续了三天，浪费了我宝贵的三天做暑假作业的时间！今晚愤恨的我写完这篇文章后，得创造奇迹了……

最后给大家一个忠告：以后装系统时，镜像慢慢下，烧录慢慢烧，安装慢慢装，千万别信垃圾的一键工具。虽然麻烦，但是至少是保证了你能够用得爽。