sfc_os.dll windows 无法为 volume 加载安装驱动程序

从网上下载文件，遇到为灰鸽子伪装的安装文件，一点安装文件，文件图标就消失了，我就知道可能是中毒了。后来费了九牛二虎之力才把那个讨厌的东西清除干净。“灰鸽子”不但在系统里添加自己的自加载项，而且还感染桌面的EXE可执行文件，修改系统动态库，已经超出了一般意义上的木马，变为货真价实的病毒。

        因为我向来对自己的系统比较自信，从来不安装杀毒软件，顶多是系统自带的Windows Defender。我觉得在上网或安装程序时，可以防止一些插件非法安装。即便是不小心安装上了，我也可以使用我的三剑客：Procexp，Autoruns，IceSword三个工具 手工清楚掉木马，因为一般的Windows木马，大都是在系统里安装几个流氓插件，很少去更改系统文件的，微软的系统文件大都进行了数字签名，而且也有文件更改保护，去修改可执行文件往往导致系统瘫痪，达不到偷窥和操纵计算机的犯罪目的，犯罪成本和风险太高，大部分采用的手段都是劫持，加几个驱动，修改一些默认加载设置，来确保自己的被自动执行。但是“灰鸽子”却不择手段，采用了DOS时代大为盛行的病毒手段，让人不齿，也出乎我的意料，让我再清除灰鸽子头疼不已，我确信已经清楚干净时，它确偷偷的又冒了出来。

        我正在思考什么原因时，一次使用非管理员帐号登录时，运行桌面的程序产生了异常并自动退出的现象引起了我的注意，原来如此啊！我删除了，被病毒感染的文件，迅速而干净的清理了“灰鸽子”留下的其他自加载项，但是接下来的后遗症，如标题所示，因为很隐蔽，所以折磨了我很久，知道今天才发现。

        我有一个移动硬盘，在单位的电脑上使用没有问题，但是就是在家里的电脑上使用时，总会提示“Windows无法为Volume加载安装程序。请于硬件供应商联系，寻求协助”的错误，而且在“我的电脑”里看不到盘符，但是在系统的“磁盘管理”里看的到，但是没有盘符，即便手工恢复了盘符，在“我的电脑”里还是看不到。看来硬件没问题，应该是系统卷加载失败的问题，我重新安装了USB的驱动程序，问题依旧，查看系统的事件查看器，里面没有关于此问题的描述，于是我想到了Procmon系统进程监视器，所有的对于注册表，文件的访问都应该于此有关。

        在重现此问题的时，我发现对 %SystemRoot%\setupapi.log 文件有访问，我找到这样一句话：

#-019 正在查找硬件 ID(s): storage\volume

#I022 在 "C:\WINDOWS\inf\volume.inf" 中发现了 "STORAGE\Volume"；设备: "通用卷"；驱动程序: "通用卷"；提供程序: "Microsoft"；制造商: "Microsoft"；段: "volume_install"

#I023 实际安装部分: [volume_install]。等级: 0x00000000。驱动程序有效日期: 07/01/2001。

#-147 为 "存储卷" 加载类别安装程序模块。

#E360 驱动程序 "存储卷" 的一个未经过签署或签署不正确的文件 "C:\WINDOWS\system32\syssetup.dll" 将得到安装(策略=忽略)。 错误 2: 系统找不到指定的文件。

#E144 加载模块 "C:\WINDOWS\system32\syssetup.dll" 失败。 错误 126: 找不到指定的模块。

Windows 无法为 Volume 加载安装程序。请与硬件供应商联系，寻求协助。 错误 126: 找不到指定的模块。

#I060 设置所选的驱动器。

#-147 为 "存储卷" 加载类别安装程序模块。

     其中黑体的部分，就是问题的症结所在，这个syssetup.dll曾被灰鸽子给替换为病毒文件，因此被我杀掉了，没想到就是它引起了这个隐蔽的错误。从Windows光盘里解压缩出来syssetup.dll并复制到%SystemRoot%\system32\目录下，问题解决。

看到网上有很多朋友也在问此问题，确没有几个能得到有效的解答，大多说是让重新安装系统，或认为是硬件损坏，我觉得，可以学习我的经验，从%SystemRoot%\setupapi.log日志文件中找更详细的错误原因来帮助解决问题，希望此文能抛砖引玉，大家一起交流经验。