以前碰到过一个 Win7 也是这样，很诡异，是点开的进程瞬间被 Suspend 。
感觉系统自己应该不会这么搞，可能是有不可描述的东西在活动。
Process Monitor 不能监控进程被挂起，否则也许可以找到是谁干的。

以前就碰到过，查了 whois ，确实是百度自己的，不是钓鱼。

PS ：贴吧还有其他子域名：
xingqu.baidu.com
1111.baidu.com
不知道 1111 是什么鬼……

也许可以用 strace -f 跟一下看看？

PCHunter ，可以显示所有进程的热键，不过这软件是对付 rootkit 的，需要加载驱动。

文件不一定丢了，你去 C:\Users\用户名里面找找看。
可能是读取用户配置目录时出错了吧……具体不懂。

大概就像软件界面上说的一样，关闭“闲置服务”吧。
还有游戏模式，有一次朋友发现 FTP 传文件慢时才发现，会利用驱动限制其他进程的上传速度。当然程序是写死的，可能比较笨，比如那一次只是在往局域网的另一台机器传文件，开着某卡牌游戏，它就给 FTP 限速了，实际上这个动作是帮倒忙……
一两句话说不完吧。虽然感觉可能帮倒忙，或者有“后遗症”，但是一味喷这类软件完全没用实在是过头了。

如果说仅仅是申请一大块内存再释放掉，这招也太过时了，可能也没啥效果……现在的电脑管家之类应用应该不是这么干的。

关于 GHOST 系统安不安全，我觉得很不安全。具体请搜素 surak.sys 。

不过国内的安全厂商说不定也会小题大作，比如上回那个 XX 神器，被说成超级病毒……

@xrlin
你可以用 Win8/10 的 boot.wim 启动，然后 SHIFT+F10 用命令安装 Win7 ——只是装完了大概也启动不了……
Win7 的文件可以用 dism /apply-image 命令解压出来， BCD 里的引导项目可以用 bcdboot 命令建立（ bcdedit D:\Windows /l zh-CN ）
不过这都不是关键……可能这么折腾完了，进 Win7 也是 SecureBoot 阻止启动 Win7 ，或者卡在启动 Logo 处。

不知道你有没有询问过联想的客服？


死马当活马医的话……可以试试这个？
https://technet.microsoft.com/en-us/library/cc749510(v=ws.10).aspx
bcdedit /import /clean 可以清除掉 NVRAM 里原有的引导项目，也许会把比较玄学的东西去掉。

不知道 AMIBCP 之类 BIOS 修改工具有没有用，不过折腾这个风险还是太大，砖了就麻烦了。

@kfg

可以尝试使用 FAT32 文件系统格式化 U 盘，然后使用 swm 文件让文件大小在 4GB 以下。

我只是提供我自己的经验——平时使用的文件放在 exFAT 大分区里， EFI 引导文件放在不被 Windows 挂载的 FAT32 分区里。

我记得是 UEFI 规范里写着从可移动媒体引导，使用 FAT32 文件系统，而且路径也是有规定的，一般电脑是 x64 架构，启动文件路径就是\EFI\Boot\Bootx64.efi 。
但也的确有不少 UEFI 固件自带 NTFS 等其他文件系统的支持，可以读取 NTFS 文件系统，只是似乎可能有工作不稳定之类问题。

@kfg 感觉这里是一个坑…… Windows 有个奇怪的限制：不允许 U 盘有多个分区。如果你用第三方分区软件创建了多个分区，那就只挂载第一个分区，后面的分区统统不让碰。使用 BOOTICE 时，分区管理里就有“设为可见”按钮，作用就是把选择的分区调到分区表里第一个位置。
你可以这么折腾一下：
1.使用 BOOTICE 、 DiskGenius 等第三方工具，使用 MBR 分区表，创建一个占用绝大多数空间的 exFAT 分区，再创建一个 100MB 的 FAT32 分区。
2.利用 BOOTICE 的这个“设为可见”功能，先将 exFAT 分区设为可见，拷入安装盘里的文件
3.再将 FAT32 分区设为可见，把安装盘中的 EFI 目录拷入
4.尝试是否可以通过 UEFI 启动。如果不行，尝试把 EFI 目录拷到硬盘上，使用 BOOTICE 的 BCD 编辑功能打开 EFI\Microsoft\Boot\BCD ，设置 Windows Boot Manager 和 Windows Setup 的 device 、 osdevice 值，指向 U 盘的 exFAT 分区然 5.关闭 BOOTICE 的 BCD 编辑功能，将 FAT32 分区设为可见
6.将修改 BCD 后的 EFI 目录拷入 FAT32 分区
7.重新将 exFAT 分区设为可见，尝试是否可以正常启动

还可以尝试将 FAT32 分区的分区 ID 设为 0xEF ，不过这样挂载分区、分配盘符会出现问题，需要调回 0x0B 才能正常分配盘符。

操作很繁琐，但我自己这样尝试还是很成功的，绝大多数电脑都可以通过 UEFI 启动我 U 盘里的 Windows Setup 和 WinPE ，而且也可以使用 exFAT 文件系统，避免 4GB 文件大小限制。

搜索了一下，感觉像是故意的限制，但也有可能是 Bug 。
似乎联想美国官网上有不受限制的 BIOS ：
http://blog.ich8.com/post/5127
不知道 LZ 尝试过没有。

@kfg 你关闭 SecureBoot 了么？

@xrlin 按住 SHIFT 点重启、 BOOTICE 试过没？

如果硬盘上还有 Windows 可以启动，按 SHIFT 再点开始菜单的重启，可以选择进入 UEFI 固件设置。也可以用 BOOTICE 设置下次重启时进入 UEFI 固件设置。

BIOS 有问题的话，可以先尝试一下恢复默认设置。
以前就碰到过一台联想 G 系列的，玄学问题，明明选择了 EFI 模式启动，却不能设置 EFI 启动项。恢复一下默认设置，就正常了。

LZ 只是想装 Win7 的话，可以把 Win8/10 安装盘里的 EFI 文件夹拷过来试试。
不过 UEFI 下启动 Win7 ，需要 BIOS 里开启 CSM （或者叫做 Legacy Support ），否则不能启动（实测在 Windows Logo 处卡住不动）

@mason961125 [email protected]

@mason961125
我还是觉得把文件数据放进注册表的行为太奇怪。
里面还有 svchost.exe 等内容。
看上去，好像是要用从这里释放 dll ，然后拉起 svchost.exe ，假冒正常系统服务干坏事。
驱动的数字签名证书也是被吊销的。

你有愿意逆向分析的朋友么？我从一台中招机上导出过那个注册表项。

貌似不少中招机上，那个注册表项里原本放着文件内容的 REG_BINARY 值都变成 1 字节了。这个键值在木马自我保护范围内，所以它被改应该是木马自己的行为。

@mason961125
哎……学生好欺负啊。

昨天 ClearVirus 都出 3.0 了，不知道现在是不是又更新了。

不过这个驱动的行为让人叹为观止，居然还在注册表里藏文件！？
电信这是要干啥？或者说，这破 rootkit 驱动果真是电信的杰作？