这个问题困扰我很久了,最开始发现的时候是在微信接收同事发过来的Excel文件,打开的一瞬间,鼠标就不动了,发现竟然死机了,还不是假死,连numberlock都按不灭了,只能强制关机重启。一直知道这问题,只是接文件的频率不高,所以也就没在意。如今疫情期间,在线传文件的频率明显提高,这三天两头的死机谁吃的消,所以下定决心找一下原因看看能否解决。
因为接收图片文件什么的倒是没啥,都是office文件死机,所以第一个直觉必然是文件中毒,毕竟早些年被office中毒坑怕了。所以第一要务就是全盘杀毒,保证系统没有中毒的情况。然后接收到的文件也右键查杀,但是当打开这些文件的时候,依然嘎嘣脆,秒死。
一直没查到原因,只好万能百度,原来网上一大堆人遇到类似问题,但似乎都没有合理的原因分析和解决方案。有很多人说卸载了阿里旺旺问题就解决了,也有人跟帖说卸载旺旺没用,该死机照死机不误。所以就刻意留意了一下我公司的办公电脑到是接收文件死机概率印象中确实没自己的电脑这么高,显然办公电脑上没有旺旺。所以罪魁祸首如果是旺旺有一定的置信度。
在百度知道中看到这样一段文字:“是阿里巴巴\AliPaladin64.sys文档导致,此文件pre_read回调,判断user mode使用了错误的函数,与管家无关,建议反馈给对应软件方,谢谢。您可以修改该文件名验证(修改不影响功能),路径为C:\Windows\system32\drivers\AliPaladin64.sys”这段描述来源很像是从某个软件BUG反馈里面的专业回答。不知道百度知道这个到底是搬运的还是高人回复。
简单有效的验证下死机会不会是这个问题,很简单,把这文件改个名字,再用微信试了下接收文件。打开文档神奇竟然没有死机,所以问题或许就出在这里。然后去打开了下旺旺,发现这文件改了名字以后没啥影响,旺旺正常使用,所以也就没有改回去了。
原以为昨天已经解决了这个问题,哪知道今天又死机了,所以马上去看了下这个文件,发现又出现了一个新的AliPaladin64.sys文件,和改名后的那个并列了。所以我敢肯定,死机确实和它有关。只是昨天的处理方式太小儿科了。以为打个针吃个药,病就好了,是我太天真。
其实知道这文件能自行生成,那就知道如何对付它了,我写一个我自己的AliPaladin64.sys文件,并拒绝任何程序对它进行修改不就好了。
1、删了AliPaladin64.sys这个文件。当然直接删除肯定是干不掉了,我电脑上原本用的是电脑管家 ,用管家粉碎,虽然提示粉碎成功,但是文件依然还在,所以卸了管家,上火绒,火绒的口碑这两年确实好的不得了,下载安装后,粉碎AliPaladin64.sys。
2、新建一个txt文件,重命名为AliPaladin64.sys,将这个文件拖到C:\Windows\system32\drivers\目录中,好久不去倒腾组策略,干脆用火绒做策略保护算了。火绒的防护中心有一个高级防护,开启自定义防护。
3、自定义防护规则。添加规则,规则名称不填就叫自定义吧,发起程序默认星号(也就是所有程序),添加保护对象,就是刚才我们自己新建的AliPaladin64.sys文件。保护动作勾选创建、读取、修改、删除,触犯规则的动作选择直接阻止。
4、监控触发规则的幽灵。没多久,火绒安全日志就有新内容了,没想到第一个触发规则的竟然是explorer,触发类型是读取,艹,莫不是我还是中毒了,再用火绒来一遍杀毒,万幸,没有中毒。想了想,因为drivers是一个驱动文件夹,所以当有新文件生产,explorer去读取似乎是合理的。又多了一段时间,终于又产生了新的告警日志。这次触发的类型终于是写入了,触发规则的是一个叫AlibabaProtect.exe的程序。很显然这个程序发现文件已经存在,但是因为是一个空文件,所以尝试接入它自己的内容被拦截了。
5、格杀罪魁祸首。根据日志提示目录找到C:\Program Files (x86)\AlibabaProtect\这个目录下,是有多个版本号的子目录,直接一并用火绒粉碎。等等,为什么不把上一级AlibabaProtect这个目录一起干掉?别急,得利用它创建自定义规则。
6、更新自定义防护规则。上面第四步中我们创建了一个没有命名的自定义规则,这次我们更新一下规则内容,顺道给这个自定义规则命个名吧,就叫它AlibabaProtect。添加一个规则,保护对象就是刚刚这个目录:C:\Program Files (x86)\AlibabaProtect\。保护动作勾选创建、读取、修改、删除,触犯规则的动作选择直接阻止。最后保存退出。
7、株连九族。因为昨天改了文件,今天我没开旺旺,这玩意儿到底是哪儿来的,并且这个AlibabaProtect应该也不单单是旺旺一个人在用,可能是阿里的一个通用基础程序。不管它,看下启动项和计划任务,和阿里有关的全部禁止。我这里还真是看到计划任务里面有个AliUpdater的任务。直接禁止掉。
8、检验下旺旺,淘宝能否正常使用。旺旺打开,沟通都没问题,淘宝也能正常下单购买支付。所以做了上述措施后,不影响使用。
到此这个问题终于被根除了,后面就去百度了一下AlibabaProtect.exe,网上也有一些删除教程,包括操作注册表等。原理都差不多,需要的朋友不妨也可以试试。水完,碎觉,继续为抗疫做贡献。