最近遇到了冰点还原托盘图标消失的问题,让我夙兴夜寐头疼不已。
无奈之下,翻越长城,出国查找资料,结果百度找不到的结果,让谷歌找到了。
不仅如此,资料还来自CSDN。
看来以后有什么事儿都得先搜搜CSDN有没有再说,没必要大动干戈的出国了
同时感谢gdaswater老哥提供的借助winPE手工清除Deep Freeze冰点还原
这篇文章虽然早在2009年就已经撰写了,但是在2020年的今天对8.60.020.5592版本依然适用。
废话结束,正文开始
环境介绍:
故障表现:
- 系统托盘无冰点图标显示
- 无法用Shife+Ctrl+Alt+F6热键呼出冰点设置窗口
- X:/Program Files/Faronics/下文件名乱码
- 文件时间错误
- 执行安装包卸载显示:“无法验证软件的安装版本”
使用工具:
winPE启动U盘(regedit)
软件情况:
冰点在正常安装的情况不会改写主引导扇区,只会在硬盘建立以下文件:
X:/Program Files/Faronics/DF5Serv.exe
X:/Program Files/Faronics/_$Df/FrzState2k.exe
X:/$Persi0.sys
X:/windows/system32/drivers/DeepFrz.sys
X:/windows/system32/LogonDll.dll
文件说明:
- DF5Serv.exe: 冰点的管理和设置程序,加载为系统服务,注册表中加载位置为
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DF5Serv - FrzState2k.exe: 也是冰点的管理和设置程序,通过前者启动,网上有人说它也是系统托盘中的图标(据说是)。
- $Persi0.sys :设置文件,保存了程序用户密码及所保护分区 网上有介绍如何通过这个文件破解冰点,这个文件很关键!决定你的系统现在的状态到底是解冻还是冻结,亲测装了个没冻结的Persi0.sys文件之后文件系统就是解冻状态了)。
- DeepFrz.sys: 冰点内核文件,以驱动的形式加载,注册表中加载位置为
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/DeepFrz,
最关键的工作于系统最高级,不能被结束,在任务管理器中也看不到,可以用冰刃IceSWord看到它在系统的内核模块中。在开机时已接替(过滤监控)了系统的磁盘管理、卷偖存管理、键盘、鼠标,你对硬盘的任何存取操作都已经在冰点的掌握中了,都必须经过它,再传到系统的驱动。 - LogonDll.dll 是其组件,具体不知道什么作用,是在启动项里。
卸载步骤:
-
O.卸载系统服务“DF5Serv”和“DeepFrz.sys”
-
A修改磁盘管理注册表项键值
-
B键盘驱动注册表项键值
-
C鼠标和其它指针设备驱动注册表相应键值
-
D卷偖存管理注册表项键值
-
again确认一遍ControlSet001、ControlSet002下的同样键值是否更改
- ControlSet001
- ControlSet002
- 磁盘管理
- 键盘
- 鼠标
- 卷偖存管理
-
E最后删除 LogonDll.dll 所在键 DfLogon
-
桌面上随便创建个文档(检查一下会不会恢复)然后重启!(๑•̀ㅂ•́)و✧
O)加载系统盘注册表后,首先删除冰点的系统服务“DF5Serv”和“DeepFrz.sys”,
注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DF5Serv
与
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeepFrz
修改磁盘管理、卷偖存管理、键盘、鼠标驱动注册表项,具体如下ABCD
注意:除了
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet键值下,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
都有相同的内容,要全部修改。
A)磁盘驱动器的键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}
| 原键值 | UpperFilters=PartMgr |
|---|---|
| 更改为 | UpperFilters=DeepFrz PartMgr |
B)键盘相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}
| 原键值 | UpperFilters=DeepFrz kbdclass |
|---|---|
| 更改为 | UpperFilters=kbdclass |
C)鼠标和其它指针设备相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}
| 原键值 | UpperFilters=DeepFrz mouclass |
|---|---|
| 更改为 | UpperFilters=mouclass |
D)存储卷相应键值由
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}
| 原键值 | UpperFilters=DeepFrz VolSnap |
|---|---|
| 更改为 | UpperFilters=VolSnap |
E)删除 LogonDll.dll 所在键 DfLogon ,注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon
<WinlogonNotify: DfLogon><LogonDll.dll>
重新启动至硬盘操作系统,冰点还原已被斩杀(๑•̀ㅂ•́)و✧!。
