国内 Windows 软件生态乱象实录

静默安装卸载残留

从「某度软件中心」下载一个 2 MB 的“高速下载器”，双击后 30 秒内在后台拉取 4～7 个“推荐”软件：输入法、压缩、壁纸、浏览器……桌面瞬间变成动物园。

远控挖矿

贴吧、网盘流传的「绿色版 Photoshop」「小马激活」常被植入 Rootkit。火绒 2023 年报告指出，某「CAD 2023 精简版」后台释放 svchost.exe 木马，连接矿池地址 pool.minexmr.com。

2345全家桶关不掉

2345 系列软件日均弹窗 9.7 次，关闭按钮仅 1×1 像素透明像素，需放大镜精准点击。部分弹窗伪造「Windows 安全警报」诱导下载「驱动精灵装机版」。

Ghost 预装推广

大量「精简版 Windows 10」「电竞加速版」镜像内置推广服务：开机自启「XX壁纸」「XX浏览器」，注册表 RunOnce 项写入推广 EXE；甚至篡改 hosts 文件劫持百度搜索结果。

自查：重装请用微软官方镜像 + Ventoy 制作启动盘；装完先断网再打补丁。

机场/酒店Wi-Fi HTTP注入

某些「免费 Wi-Fi 助手」安装后会在系统层插入自签 CA 证书，HTTPS 流量可被中间人解密。运营商/本地网关亦可插入广告脚本。

自查：浏览器地址栏查看证书颁发者；出现「XXX-ROOT-CA」立即断网，卸载对应软件并重置系统证书。