前言
昨天剛接到朋友的求助,一連上網之後發現電腦一直在閃屏,疑似中毒的可能,系統是win10的,於是嘗試按照慣例的方式進行故障排除。
猜測
- 第三方軟件與系統的衝突
- 系統更新引起的
- 驅動更新導致的不兼容(顯卡驅動)
- 惡意木馬入侵
曲折的琢磨
針對閃屏問題,首先考慮會不會有一些非法進程在運行,可以明確的是,系統只是進入桌面後會閃屏,按control+ctrl+. 退出桌面不會發生此情況,猜測是explorer在作怪。
進入系統時,不進入到用戶界面,直接按 shift+重啓 ,進入到帶命令行的安全模式,此時保證進入時系統的純淨。
通過tasklist 指令查看相應的進程信息,查找可疑的進程信息。
然後嘗試手動運行explorer,發現explorer會被殺掉,每次的pid都不一致。而系統有保護的功能,會再explorer進程退出時重啓,從而導致了閃屏現象。
此時要避免繼續閃屏,可以直接通過以下指令直接刪除
taskkill /f /im explorer.exe此時,切入點找到,要麼是explorer本身有問題,要麼是由**非法的程序**kill掉了explorer本身。
1) 針對explorer本身的問題,可以嘗試從其他機子上拷入explorer.exe到C:\windows\ 的目錄下,替換掉explorer.exe,原來的主要要備份,另外也要注意系統版本和位數要一致。
替換的時候用命令行直接操作,注意權限的授予,不然會拒絕訪問的。授權相關的指令如下,記得先takeown再icacls分配權限,具體操作見幫助信息
takeown
Icacls另外一種方案是查看日誌記錄,找到explorer奔潰的信息,然後去搜索一下錯誤信息,找到相關的補丁打上。
eventvwr是用跟日誌記錄相關的,應用程序那裏有相關進程的crash記錄
compmgmt是配置系統信息
msconfig是跟系統啓動相關,必備指令呢2) 針對惡意程序導致explorer奔潰的話,自己查起來是比較困難的。如果是近期感染的話,可以直接通過日期的先後對文件進行排查。其實最省事的辦法是用殺毒軟件對C盤進行掃描,一般簡單的惡意病毒是能夠掃描的到的。
我的狀況則是用360掃描到了
C:\Users\user_name\AppData\Local\Microsoft\Windows\Explorer\Memory** 下藏有**clean64.dll,這個簽名不是微軟的,直接del命令刪除,然後啓動explorer就ok了。
這個clean64.dll其實並不是木馬,它是使用kms激活失敗的產物,聯網驗證失敗,導致這個dll一直在kill掉explorer.exe,而系統出於安全保護,重啓explorer,這樣就會導致整個閃屏現象,看似很奔潰的畫面=。=
ps:
kms如果版本對應不上系統,還是別手殘點開,我朋友就是自己在win10下點了win7的kms 小馬激活造成這樣的問題,而且也不是馬上見效的,有一定的潛伏能力=。=
總結
其實有時候遇到問題,還是得自己動手去琢磨一下,沒有桌面,純命令行排查問題也是挺好用的,之前也試過驅動,更新,以及新裝軟件的排查,也無濟於事,雖然到最後還是搞定了,也是在聯網的時候才用360查殺到,離線的時候並沒有查殺到也是醉=。=
附上註冊表關掉系統重啓explorer的方法,不然一直重啓在普通模式下命令行也無法操作,安全模式下服務開的有點少,不太好操作恩。