写这篇的时候家贼已除,按照印象来的,可能有不准的地方~
(相关资料图)
---
事情经过:联想的笔记本,重新装机后为了让Nahimic音效生效,更新声卡驱动,因为懒得折腾,直接装了官方的电脑管家解决。装完驱动直接就把管家卸了,结果突然发现Edge主页变成了discovery_lenovo_com_cn/home/baidu/v7/c4,此页面随即自动跳转到垃圾百度,并带有 `?tn=15007414_12_dg`URL后缀。我刚提的新系统啊!
---
解决方案是有的,那就是把这个管家装回来,然后取消里面的主页锁定功能就好了。
---
不过,我就是不想装回来,凭什么呀,还得求它不成。家贼亲自动手来除!
- 首先自然是想到Edge自己的主页设置和IE主页设置,发现这两项是空的,管家没有从这里入手。
- 有点东西呀,根据经验,一些病毒会巧妙地劫持浏览器的快捷方式并在启动参数中加入私货。不过,管家并没有从这里下手,启动参数是空的。
- 注册表启动,在HKCU和HKLM下搜索discovery.lenovo字样,无果。
- 资源管理器的搜索功能带有检索文件内容的能力,所以在C盘试着搜索了相同的内容,无果。
- 火绒安装,火绒启动,先试着运行一下系统修复,这是因为火绒有可能会把部分已知的流氓行为拉黑,从而能够在系统修复里直接修复,不过无果。
- 火绒剑启动,Kernel和Driver选项卡筛选所有非系统文件的驱动(即使有合法签名)。揪出路径中带有Lenovo字样的驱动,定位到文件,借助Ring0的力量强制删除,重启Edge,居然还是没有效果,震惊。
- 注册表启动,无差别删了几乎所有带有Lenovo字样的键,毕竟有细微的可能联想用了一些别的手段来得到代码执行的机会并注入Edge什么的,不过我想多了。
- 查看了msedge.exe所加载的全部模块,发现LnvHelp, LnvHelp64, Lnvscenter三项。这个Lnv有点像Lenovo啊,查了数字签名意外发现Lnvscenter是火绒的东西,而另两个Help不是,大概率就是它了。删除后,Edge恢复正常。
---
如果动手能力稍差一些,用户的系统就算是和毒瘤管家锁死了。钱不是这么赚的
真闹心,火绒卸载,B站启动
关键词:
