可恶的小五星“wgatray.exe”
2009-08-01张桂花
张桂花
[摘要]:在使用电脑过程中,我们经常会碰到一些小问题,但解决起来却破费周折。最近,笔者就碰到了一个关于盗版提示的问题,文中描述了笔者解决这个问题过程中的一些感受和解决方法,涉及到的任务管理器和注册表是最主要的知识点,现在提供出来和大家共同探讨!
[关键词]:系统更新 正版增值计划 WGA正版验证 wgatray.exe任务管理器 注册表
笔者家的电脑经常出问题,所以经常重装,每次安装都是使用在电脑城里买的那种三元五块的WINXP光盘,绝对不是正版,但基本没什么问题,使用起来挺好的!可不知怎么回事,也没注意从什么时候开始,WINXP的右下角的任务栏出现了蓝色的无角星状图标,并提示“你可能是盗版软件的受害者,你的系统可能存在风险……”根据提示点“立即解决”,下载安装了好多不知是什么东西,可真是麻烦了,非但没解决,反而系统越来越慢!进行系统还原看看怎么样吧,但还原后小五星依然还在,没办法,就只能这样用着了。其实,笔者在使用过程中也没什么影响,只是这个标志挺碍眼,开机时也需要按键响应跳过才能启动起来,所以还是讨人厌的,我还是考虑怎样去掉它!
通过请教行家,去电脑城咨询,我终于找到了原因:系统进行自动更新时,没看清楚就安装了个什么所谓“正版增值计划……”的补丁。于是,大伙就使出全身术力各显神通:有的说去搜索一个XP序列号更改器,换成让微软认为是正版的序列号,但我一直没找到,他也没提供;有的说,网上有个“REMOVEWGA”的补丁,可以去更新这个补丁,以除系统验证,这个补丁我没发现,他也没给;有的说:从注册表中找到“Hkey_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\WPAEvents”,右击注册表中“WPAEvents”键,选择“权限”,选择将列表中的“system”下方拒绝那一栏即可!我选择了,但没起作用;还有的说,建立一个名为key.vbs的文本文档,输入他提供的内容,保存后双击也可,他那一串代码太烦琐,好不容易输完了,保存后双击,提示去验证,但验证通不过……还是慢慢研究研究注册表吧,系统的变化在注册表里都有记录的呀!
功夫不负有心人,通过和其它没有安装这个更新补丁的电脑比较,我发现,任务管理器中多了个名为wgatray.exe的进程,但终止不了;于是,我上网搜索关于wgatray.exe的知识,最后,终于弄清楚了确实是由于系统更新(KB905474)安装了一个Windows Genuine Advantage (WGA正版验证补丁)通知工具,所以,系统一直处于“你可能是盗版软件的受害者,你的系统可能存在风险……”的提示状态。既然如此,注册表里肯定有关于wga的信息,于是,我对注册表反复查核发现:
1.已经安装了wga正版验证的计算机上C:\windows\wgaNotify.log中多了如下内容
35.734: Copied file: C:\WINDOWS\system32\LegitCheckControl.dll
35.922: Copied file: C:\WINDOWS\system32\WgaLogon.dll
35.969: Copied file: C:\WINDOWS\system32\WgaTray.exe
36.031: Copied file: C:\WINDOWS\system32\DllCache\WgaLogon.dll
36.172: Copied file: C:\WINDOWS\system32\DllCache\WgaTray.exe
2.注册表中新添加项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Notify\WgaLogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\WgaNotify
针对这些改变,反复研究,终于找到了解决它方法:
第一种方法:先结束wgatray.exe的进程,后修改注册表,再删除DLL文件。
1.启动计算机,按F8进入安全模式,登陆管理员帐号,以管理员身份结束wgatray.exe进程,注意用任务管理器结束此进程后,可能此进程会立即重新启动,也就是说,任务管理器不能达到结束此进程的目的。360来结束此进程。
2.在结束wgatray.exe进程后,进入C:\windows\system 32,找到wgatray.exe,删除之。
找到wgalogon.dll,如果删除不掉它,改其名,如改成wgalogon123.dll,
在C:\Windows\Prefetch\中找到类似WGATRAY.EXE-3451133A.pf的文件,删除之。
3.在C盘中,搜索wgatray关键字,如果搜到文件名包含wgatray关键字的文件,删除之,如果没搜到,就不用管了。
4.找到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon,把WgaLogon这一项删除。
5.在注册表中搜索wga关键字,可能还会搜到一个键值中有wgalogon关键字,总之带此关键字的全部删除
6.关闭系统的自动更新服务,可能不关闭也无所谓,你可以试试。控制面板->自动更新,关闭。控制面板->管理工具->服务,找到Automatic Updates关闭并禁用之。
7.重启电脑,把第2步中的wgalogon123.dll删除,一切就OK了。
第二种方法:先运行注册表终止WGA的DLL文件,再删除系统中所有的wgatray.exe文件,最后删除注册表中wgatray.exe的信息。
1.运行注册表:开始——运行——regedit。
2.依次点击下列路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\Notify\WgaLogon,在WgaLogon上右击,删除它,这将使 Windows无法加载任何有关 WGA的 DLL文件,你将暂时告别微软正版增值计划的“骚扰”。然后,重新启动机器(一定重启)。
3.重新启动电脑后,在我的电脑中找到C:\windows\system 32下的wgatray.exe文件并删除,(如果第<2>步不重启,该文件是删除不了的),然后,再搜索一下其它的文件夹里是否也有该文件,找到一并删除它。
4.再次重新启动机器,再次到注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\Notify,把WgaLogon删除。
第三种方法:先粉碎wgatray.exe相关文件,再删除注册表和系统中的wgatray.exe信息
1.借助360安全卫士里的文件粉碎机
第一步:打开360,高级——>高级工具集——>文件粉碎机;
第二步:然后点“添加文件”按钮,添加两个文件:C:\windows\system32;\WgaLogon.dll和C:\windows\system32\Wgatray.exe,然后,点“全选”,再点“粉碎选中文件”即可。注意,去掉粉碎机底下那选项两个勾。
粉碎后,重启电脑就可以了,这个烦人的通知就去掉啦。
2.第一、二种方法,运行注册表,删除WgaLogon文件夹,搜索我的电脑中文件名包含wgatray关键字的文件,删除之!
OK,一切搞定,小五星再也没有了!
第四种方法:下载RemoveWGA 1.1小工具
RemoveWGA是一个专门用来清除 WGA的小程序,使用者只要通过它,就可以阻止微软的 WGA在系统每次启动时企图连回微软网站的动作,且使用它并不需要担心微软的正版验证机制,但系统还是一样能够正常的使用,Windows Update更新功能,两者之间并没有任何冲突。
参考文献:
[1]电脑技术信息.2007,(7).
[2]Windows IT Pro Magazine.2007,(12).