今天很黄很暴力的干掉了Windows Genuine Advantage Notification

 

        无心插柳，因祸得福。

        一直以来深受ZoneAlarm的困扰——开机后一旦连上网络必定要死机5分钟以上方可正常工作，所以本本从来都是只休眠不关机。网上出现类似问题的朋友不少，原因各异。开始怀疑是和卡巴有冲突，后来发现不是。但习惯了使用ZoneAlarm，舍不得换，就一直忍着用。谁知因为昨天关了一次机，碰巧之前又将ZoneAlarm的开机自动加载关掉了，导致了被ZoneAlarm深厚内力压制了一年之久的情花剧毒——Windows Genuine Advantage Notification (WGA)在今日开机之时爆发了出来。

        还记得一年前，好友曾为这位不速之客头疼了很久，开始还以为是什么病毒，他妈的太小强了，怎么打都打不死。后来才知道是安装了微软补丁中的招。说实话，要是没有piracy，没有counterfeiting ，现在的家庭桌面操作系统早就是UNIX家族的天下了。丫微软应该感谢盗版才对，至少有点默契，就别老整这些东西来恶心人了。

        这个东西不好对付，它的可执行实体wgatray.exe不从应用程序常规的启动自动加载位置——注册表的Run下启动，而是将wgalogon.dll注入到系统的登陆进程winlogon.exe中。如果在任务管理器中强行中止wgatray，它马上能够重新启动，因而也无法删除其在C:/window/system32下的静态实体。另外，WGA从安全更新补丁安装后，会在系统文件的备份中存有备份，我的是在I386文件夹下（系统备份文件夹曾被我改动过），正常应该是在dllcache目录下吧，删除wgatray之后它还能马上从备份中恢复出来。所以要斩草除根才行。

        参考网友们提供的方法，一般都能够将WGA干掉。我用了很黄很暴力的方法：从任务管理器中终止wgatray.exe，弹出对话框后不点击确定，找到C:/window/system32下的wgatray.exe，删除，同样弹出确认对话框后不点击删除。然后很暴力地——————快速先后点击任务管理器弹出对话框的确定和删除确认对话框的确定。妈的，和电脑比谁动作快嘛，雷啊……不过还真能干掉之。对自己的敏捷程度没有信心的朋友可以尝试其他比较斯文的方法，可参考：http://www.stonemx.com/blog/archives/2007/20074119336.html，也很好用的，就是要修改注册表什么的稍微麻烦一点。

        为了达到标本兼治，永不复发的治疗效果，拔完了地面上的蘑菇，还需要把地下的菌丝全部除掉。察看系统进程加载的dll库发现，winlogon加载的dll模块列表里有一个wgalogon.dll，这个东东估计就是负责在系统启动用户登陆会话前显示You are the victim of counterfeiting那个东东的。妈的，应该改成You are the beneficiary of counterfeiting才对，呵呵。不扯淡了，怎么去掉它呢？还是得改注册表才行。在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Notify/WgaLogon（大概是这个位置吧，找不到就直接搜索winlogon，应该能找到这个键值或者表项）下把和wga有关的东东全部都删掉。然后把dllcache中的备份也都删掉。system32下的wgalogon.dll等注册表删除成功之后，下次启动时便可以删掉了。其他有关的需要删除的位置可以参考：http://zhidao.baidu.com/question/25289631.html

        全部删干净之后重起机器，微软的这个破玩意没有了，观察一段时间，希望它不要再来烦我了。没想到因祸得福，现在开机以后不再会有死机5分钟的现象出现了。我猜测大概机子自从被种上WGA之后，一直被ZoneAlarm压制着，每次开机以后，WGA试图通过可用的Internet连接连到微软的服务器，都被ZoneAlarm控制着，二者在后台进行了一番你死我活的争斗（开玩笑的，应该没那么夸张）之后，以ZoneAlarm的胜利而告终，而我则要先去干点别的，五分钟后再来用电脑了。

        真是无心插柳，因祸得福的一笔，仅以此文记之。