流氓软件与流氓系统的清理故事

流氓软件与流氓系统的清理故事

• date: 2022-08-20
• lastmod: 2022-08-20

前因后果

想起昨天发生的事情，我还是觉得不可思议，流氓们完全嘲讽了我的专业技能，卸载完重启几次就会自动满血秽土转生，还有的打着拒绝访问的名义残存在服务项里。这是一台 2015年的 TinkPad T450，外观九分良好（十分良好你就要怀疑是否翻新了），windows系统里养着一堆蛊，浏览器、管家、压缩、视频每种都安装了好几个，还都是臭名远扬的东西。

举个例子，管家蛊有tx、毒霸、lx，浏览器蛊有234x、36x、qx（edge已经被蛊打死了），压缩蛊有k压、好压…这些蛊占用为数不多的4g内存就算了，隔三差五就弹窗，这我哪能忍啊，逐个卸载逐个清理残留，这就花了不少时间，因为蛊把电脑整卡了。。。卸载的差不多了，我就重启玩玩（问就是玩），重启了四五次，血压飙升，刚才的尸蛊咋都借尸还魂秽土转生了捏？？？这不欺负老实人嘛，还欺负的是学计算机的老实人。要么是没有卸载干净，那个毒源又下蛊了？要么是这个蛊毒深入骨髓，识别到重启就劫持下载蛊。找蛊也属实有点麻烦，看了系统属性，一看吓一跳，激活那块信息咋有个xx系统xx家，好家伙，系统都是有问题的，问了下有啥资料需要备份没就着手重装系统，重装系统这个事情两只手都数不过来了，然而事情并没有我想的那么简单。

首先问题就是装11还是10,看了半天系统配置没看出来有没有TPM,下载WindowsPCHealthCheckSetup.msi进行检测吧，然后双击没有运行迹象？？？通过网络搜索大法启动服务进入控制台运行win11安装环境检测，检测后得知T450没有TPM,win11也不支持这个u。然而我手头上就只有11的包，于是去官方下载10,官网很正常，选择语言和版本就可以下载，就是下载速度和蜗牛大爷不相上下，然后通过私域流量把10下下来了。有Ventoy的支持，把iso复制到u盘即可，不需要刻盘，很方便。启动T450时按Enter/F12打断正常启动选择u盘临时启动，进入os选择后选10,选择语言、安装位置就开始安装了，可是我还没有选择版本、输入密钥、同意协议唉？这个安装包我可是进行了哈希校验了啊，怎么会这样？然后打开VB测试该安装包，是正常的流程啊。。。猜测有那么一下可能：一是u盘被蛊感染了，偷偷安装程序到u盘里，检测到安装win就启动程序劫持；二是T450的BIOS被感染了。。。这么搞下去我还用不用吃饭了哦

新装的win10很干净，系统不知道咋就装了专业版还激活了。。。不过好在没有看到明蛊，重启了好几次也还没有看到蛊，进入C盘，除了.old外还有好多奇奇怪怪的文件夹，目视检查后加上old全部删除，装了驱动、IM、音乐、视频软件，顺带下了个火绒开启勒索诱捕计划，弹窗自动拦截也是要开启的（装完就发现美图弹窗、lx驱动弹窗）。T450的官方驱动网页有45个驱动，没有一键下载所有驱动这一选项，而且存在着我难以区分的同类型驱动，只好下载ta的lx驱动管理进行适配驱动检测一键下载，驱动装完就把这玩意卸载了，不然长期自启占有内存，卸载还有残留。。。然后其它软件逐个设置弹窗、广告、加速计划、体验计划、右键菜单、最小化、资源管理器图标，有的还比较离谱，爱奇艺在资源管理器的图标需要借助注册表进行删除，恶心太恶心了，某些不提供右键菜单管理的需要借助第三方工具进行删除（优k、i奇艺、wpx,wps关闭方式较为隐蔽），最后启动项管理禁止非系统组件的项目，比如cxtv、优k、i奇艺、wpx、x图、tx、lx、edge。反复启动四五次继续禁止不知道从哪蹦出来的启动项，最后看一眼占用，有个很神奇的进程Alibaba Protect，阿里？我可还没装啊，于是搜索发现是上一位win10上的千牛的残留，可是我都覆盖C盘重装了啊。。。用不了不少办法没法禁止该服务，只好粉碎原文件，然后搜索了下上面几个软件是不是阿里系的，查到都不是，然后重启后该服务还在跑，定位发现y酷里也有个Alibaba Protect，CCTx里有个Ali static。。。我不理解。修改电源计划、关闭安全启动、开启高性能模式，测试了下流畅度可以接受就这样了。

Q&A

1. 我自己的电脑里会装视频播放器客户端吗？

yk、aqy、tx、cctv、bilibili一个都不会，vlc、potplayer二选一。能够在网页上实现的功能，为什么要转移矛盾给用户的客户端？难道能卸载干净吗？难道是收集数据吗？Ali static是收集数据的吗？

2. 音乐播放器呢？

kg、wyy、tx 一个都不会，vlc、potplayer、listen1 选一。原因同上。

3. 管家呢？杀毒不要了是吧？

杀毒可以使用windows自带的defender。使用j山毒霸，还充值的我无法理解，毒霸自己显示的“正在为您加载会员专属内容”，该内容加载严重影响了系统流畅度，j山db除了杀毒之外，还默认开启开机加速球、会员专属弹窗、系统菜单替换植入、资源管理器替换植入、桌面助手植入、右键菜单植入、看图软件、PDF阅读器植入。我都分不清这是杀毒还是下毒了，还越整越卡。那我整ta干啥。管家的其它功能比如垃圾清理、开机加速，清理谁的垃圾、加速谁的启动项，不都是上面的流氓们吗。品牌方lx管家唯一有价值的是驱动检测，T450的驱动七年了还在更新，一看发现大多是Intel、Rtk在更新，而驱动更新往往都是刚出货更新很快，二两年过去了更新是不可能更新的。如小新 Pro-13 2020(AMD平台：ARE版)中除去lx驱动管理共13个有效驱动，可以选择一键下载全部，驱动更新速度基本年更或者不更新了，BIOS更新是因为被曝存在重大安全漏洞。

4. Alibaba 服务项是个啥？清理不掉

阿里系残留项，同类还有lx电脑管家卸载的残留项，都很难清理，占据着系统资源，不定期突发高占用。

5. 笔记本BIOS里的secure boot control开启后不能进入windows？

hw：TP T450

情况：买来的盗版win10（不知名系统之家的）,edge被卸载干净了。测试win11不满足安装要求，重装win10.看了下bios默认关闭了安全启动。装完win10后、驱动、软件安装利索了，于是打开了安全启动，然后没法进入win10.

解决方案：关闭安全启动，依旧无法进入win10.到bios的的引导发现UEFI/Legacy boot setting不是原来的both,修改回原来的both即可启动