中了联想流氓BIOS后门，该怎么办

takashiki · 发表于 2017-6-17 06:43:06

我知道终极解决方案，砸了，但是我不想砸，有没有文雅点的办法？
联想小新Air。

尼玛的LenovoUpdate总是会出现，无论是结束任务、删除，禁用联想升级服务，改BIOS，用其他exe替换，都无法弄死这货，只要重启，这货就会出现。看到极其心烦。
这个本的BIOS中有联想服务引擎那一项，当然选禁用，然而并没有什么卵用。

vtte · 发表于 2017-6-17 07:42:35

我也是小新air，晚点看看

vtte · 发表于 2017-6-17 08:26:18

刚才看了一下，没有LenovoUpdate这个进程，楼主你是什么型号，我的是Air 13 Pro，原装的系统。

takashiki · 发表于 2017-6-17 08:31:38

就是它娘的重装系统后出来的，所以才叫中了联想后门了。
原装的Win10，好用不好用我不评价，反正我换成Win7了，没有原装的那么多奇葩问题，但是就栽倒联想的BIOS木马上了。
上网收，说是只能翻墙去国外下载BIOS补丁

工程师030 · 发表于 2017-6-17 08:35:15

还有什么好说的，直接换个系统，之前自带的系统太卡，换了个原装的win10块多了

takashiki · 发表于 2017-6-17 08:38:49

工程师030 发表于 2017-6-17 08:35
还有什么好说的，直接换个系统，之前自带的系统太卡，换了个原装的win10块多了 ...

一样会中的，这个后门在BIOS里面，除非把BIOS或者把电脑换了，否则换啥都白搭

工程师030 · 发表于 2017-6-17 08:41:06

takashiki 发表于 2017-6-17 08:38
一样会中的，这个后门在BIOS里面，除非把BIOS或者把电脑换了，否则换啥都白搭 ...

这个还真不知道了，我电脑是13年买的T530，估计那时候还没开发出BIOS后门吧，至少你说的软件我电脑还真没有过

dengxm2009 · 发表于 2017-6-17 08:41:20

不会吧，这么厉害，是不是硬盘病毒。

takashiki · 发表于 2017-6-17 08:57:25

好了，终于解决了。谢谢以上各位朋友关注。

解决方案：
BIOS中将联想服务引擎关掉。
删掉LenovoUpdate.exe和LenovoCheck.exe
将autochk.exe替换成微软原版的

再重启，就没有这个讨厌的LenovoUpdate。我以前没有注意到这个autochk.exe，结果怎么折腾只要重启就会出来这个可恶的东西。

wye11083 · 发表于 2017-6-17 13:58:06

感谢lz给大家提醒，以后坚决不买联想的任何产品！！！

locky_z · 发表于 2017-6-18 21:17:30

不大相信，这么强劲？做在bios里面，
你是不是装了联想的跟机驱动程序，连同里面的update也一股脑装了吧？
用通用版win10，不装联想跟机驱动，让win10自己找驱动，难道这个也会自动装上？

vtte · 发表于 2017-6-18 22:21:49

回楼上，win10确实会下载运行厂商的驱动，显卡，打印机我都遇到过，甚至我插个罗技的摄像头都会自动下载运行罗技的exe文件。

ljy99731 · 发表于 2017-6-18 23:45:28

不装这个的驱动不行吗？这不是做到BIOS的吧？只是驱动流氓

takashiki · 发表于 2017-6-19 04:27:31

ljy99731 发表于 2017-6-18 23:45
不装这个的驱动不行吗？这不是做到BIOS的吧？只是驱动流氓

到网上搜一下，内容很多……然而，提供解决方案的基本没有
这个是做到BIOS中的，跟驱动无关。重装了系统后，如果联网了，重启时联想就会动手脚。

请搜索“联想BIOS后门”，结果一大堆，原理啥的讲的清清楚楚。

wy2000 · 发表于 2017-6-19 08:12:33

shit!
我是460P的，要来看看了

LearningASM · 发表于 2017-6-19 10:05:14

搜一下，真的有啊，
可以看看链接，顺便把肯定有影响的型号复制过来了。
http://www.xiazaiba.com/news/6581.html

Flex 2 Pro-15/Edge 15 (Broadwell/Haswell)、Flex 3-1470/1570/1120、
G40-80/G50-80/G50-80 Touch/V3000、
S21e、S41-70/U40-70、S435/M40-35、
Yoga 3 14、Yoga 3 11、Y40-80、
Z41-70/Z51-70 以及 Z70-80 / G70-80

locky_z · 发表于 2017-6-19 23:37:19

本帖最后由 locky_z 于 2017-6-19 23:38 编辑

>>BIOS 在启动过程中会检查 C:\Windows\system32\autochk.exe 是联想的版本还是微软的原始版本，如果是微软的版本，它会将其移至C:\Windows\system32\0409\zz_sec\autobin.exe，然后写入联想的 autochk.exe。

如果我的分区是加过密的，在windows启动前，他是没法打开这个文件夹以及进行判断的吧？

dz20062008 · 发表于 2017-6-20 08:16:48

看来别买联想笔记本

myxiaonia · 发表于 2017-6-20 10:39:19

现在的uefi功能强大了，流氓可以干坏事的余地也更大了

LearningASM · 发表于 2017-6-20 11:43:38

locky_z 发表于 2017-6-19 23:37
>>BIOS 在启动过程中会检查 C:\Windows\system32\autochk.exe 是联想的版本还是微软的原始版本，如果是微软 ...

那，系统怎样启动？

中了联想流氓BIOS后门，该怎么办

阿莫论坛20周年了！感谢大家的支持与爱护！！