win10 explorer導致閃屏的解決方案
前言
昨天剛接到朋友的求助,一連上網之後發現電腦一直在閃屏,疑似中毒的可能,系統是win10的,於是嘗試按照慣例的方式進行故障排除。
猜測
- 第三方軟體與系統的衝突
- 系統更新引起的
- 驅動更新導致的不相容(顯示卡驅動)
- 惡意木馬入侵
曲折的琢磨
針對閃屏問題,首先考慮會不會有一些非法程序在執行,可以明確的是,系統只是進入桌面後會閃屏,按control+ctrl+. 退出桌面不會發生此情況,猜測是explorer在作怪。
進入系統時,不進入到使用者介面,直接按 shift+重啟 ,進入到帶命令列的安全模式,此時保證進入時系統的純淨。
通過tasklist 指令檢視相應的程序資訊,查詢可疑的程序資訊。
然後嘗試手動執行explorer,發現explorer會被殺掉,每次的pid都不一致。而系統有保護的功能,會再explorer程序退出時重啟,從而導致了閃屏現象。
此時要避免繼續閃屏,可以直接通過以下指令直接刪除
taskkill /f /im explorer.exe
此時,切入點找到,要麼是explorer本身有問題,要麼是由**非法的程式**kill掉了explorer本身。
1) 針對explorer本身的問題,可以嘗試從其他機子上拷入explorer.exe到C:\windows\ 的目錄下,替換掉explorer.exe,原來的主要要備份,另外也要注意系統版本和位數要一致。
替換的時候用命令列直接操作,注意許可權的授予,不然會拒絕訪問的。授權相關的指令如下,記得先takeown再icacls分配許可權,具體操作見幫助資訊
takeown
Icacls
另外一種方案是檢視日誌記錄,找到explorer奔潰的資訊,然後去搜索一下錯誤資訊,找到相關的補丁打上。
eventvwr是用跟日誌記錄相關的,應用程式那裡有相關程序的crash記錄
compmgmt是配置系統資訊
msconfig是跟系統啟動相關,必備指令呢
2) 針對惡意程式導致explorer奔潰的話,自己查起來是比較困難的。如果是近期感染的話,可以直接通過日期的先後對檔案進行排查。其實最省事的辦法是用防毒軟體對C盤進行掃描,一般簡單的惡意病毒是能夠掃描的到的。
我的狀況則是用360掃描到了
C:\Users\user_name\AppData\Local\Microsoft\Windows\Explorer\Memory** 下藏有**clean64.dll,這個簽名不是微軟的,直接del命令刪除,然後啟動explorer就ok了。
這個clean64.dll其實並不是木馬,它是使用kms啟用失敗的產物,聯網驗證失敗,導致這個dll一直在kill掉explorer.exe,而系統出於安全保護,重啟explorer,這樣就會導致整個閃屏現象,看似很奔潰的畫面=。=
ps:
kms如果版本對應不上系統,還是別手殘點開,我朋友就是自己在win10下點了win7的kms 小馬啟用造成這樣的問題,而且也不是馬上見效的,有一定的潛伏能力=。=
總結
其實有時候遇到問題,還是得自己動手去琢磨一下,沒有桌面,純命令列排查問題也是挺好用的,之前也試過驅動,更新,以及新裝軟體的排查,也無濟於事,雖然到最後還是搞定了,也是在聯網的時候才用360查殺到,離線的時候並沒有查殺到也是醉=。=
附上登錄檔關掉系統重啟explorer的方法,不然一直重啟在普通模式下命令列也無法操作,安全模式下服務開的有點少,不太好操作恩。