最近遇到了冰點還原托盤圖標消失的問題,讓我夙興夜寐頭疼不已。
無奈之下,翻越長城,出國查找資料,結果百度找不到的結果,讓谷歌找到了。
不僅如此,資料還來自CSDN。
看來以後有什麼事兒都得先搜搜CSDN有沒有再說,沒必要大動干戈的出國了
同時感謝gdaswater老哥提供的藉助winPE手工清除Deep Freeze冰點還原
這篇文章雖然早在2009年就已經撰寫了,但是在2020年的今天對8.60.020.5592版本依然適用。
廢話結束,正文開始
環境介紹:
故障表現:
- 系統托盤無冰點圖標顯示
- 無法用Shife+Ctrl+Alt+F6熱鍵呼出冰點設置窗口
- X:/Program Files/Faronics/下文件名亂碼
- 文件時間錯誤
- 執行安裝包卸載顯示:“無法驗證軟件的安裝版本”
使用工具:
winPE啓動U盤(regedit)
軟件情況:
冰點在正常安裝的情況不會改寫主引導扇區,只會在硬盤建立以下文件:
X:/Program Files/Faronics/DF5Serv.exe
X:/Program Files/Faronics/_$Df/FrzState2k.exe
X:/$Persi0.sys
X:/windows/system32/drivers/DeepFrz.sys
X:/windows/system32/LogonDll.dll
文件說明:
- DF5Serv.exe: 冰點的管理和設置程序,加載爲系統服務,註冊表中加載位置爲
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DF5Serv - FrzState2k.exe: 也是冰點的管理和設置程序,通過前者啓動,網上有人說它也是系統托盤中的圖標(據說是)。
- $Persi0.sys :設置文件,保存了程序用戶密碼及所保護分區 網上有介紹如何通過這個文件破解冰點,這個文件很關鍵!決定你的系統現在的狀態到底是解凍還是凍結,親測裝了個沒凍結的Persi0.sys文件之後文件系統就是解凍狀態了)。
- DeepFrz.sys: 冰點內核文件,以驅動的形式加載,註冊表中加載位置爲
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DeepFrz,
最關鍵的工作於系統最高級,不能被結束,在任務管理器中也看不到,可以用冰刃IceSWord看到它在系統的內核模塊中。在開機時已接替(過濾監控)了系統的磁盤管理、卷偖存管理、鍵盤、鼠標,你對硬盤的任何存取操作都已經在冰點的掌握中了,都必須經過它,再傳到系統的驅動。 - LogonDll.dll 是其組件,具體不知道什麼作用,是在啓動項裏。
卸載步驟:
-
O.卸載系統服務“DF5Serv”和“DeepFrz.sys”
-
A修改磁盤管理註冊表項鍵值
-
B鍵盤驅動註冊表項鍵值
-
C鼠標和其它指針設備驅動註冊表相應鍵值
-
D卷偖存管理註冊表項鍵值
-
again確認一遍ControlSet001、ControlSet002下的同樣鍵值是否更改
- ControlSet001
- ControlSet002
- 磁盤管理
- 鍵盤
- 鼠標
- 卷偖存管理
-
E最後刪除 LogonDll.dll 所在鍵 DfLogon
-
桌面上隨便創建個文檔(檢查一下會不會恢復)然後重啓!(๑•̀ㅂ•́)و✧
O)加載系統盤註冊表後,首先刪除冰點的系統服務“DF5Serv”和“DeepFrz.sys”,
註冊表位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv
與
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz
修改磁盤管理、卷偖存管理、鍵盤、鼠標驅動註冊表項,具體如下ABCD
注意:除了
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet鍵值下,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
都有相同的內容,要全部修改。
A)磁盤驅動器的鍵值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}
| 原鍵值 | UpperFilters=PartMgr |
|---|---|
| 更改爲 | UpperFilters=DeepFrz PartMgr |
B)鍵盤相應鍵值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
| 原鍵值 | UpperFilters=DeepFrz kbdclass |
|---|---|
| 更改爲 | UpperFilters=kbdclass |
C)鼠標和其它指針設備相應鍵值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}
| 原鍵值 | UpperFilters=DeepFrz mouclass |
|---|---|
| 更改爲 | UpperFilters=mouclass |
D)存儲卷相應鍵值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}
| 原鍵值 | UpperFilters=DeepFrz VolSnap |
|---|---|
| 更改爲 | UpperFilters=VolSnap |
E)刪除 LogonDll.dll 所在鍵 DfLogon ,註冊表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon
<WinlogonNotify: DfLogon><LogonDll.dll>
重新啓動至硬盤操作系統,冰點還原已被斬殺(๑•̀ㅂ•́)و✧!。