前言

昨天剛接到朋友的求助，一連上網之後發現電腦一直在閃屏，疑似中毒的可能，系統是win10的，於是嘗試按照慣例的方式進行故障排除。

猜測

1. 第三方軟體與系統的衝突
2. 系統更新引起的
3. 驅動更新導致的不相容(顯示卡驅動)
4. 惡意木馬入侵

曲折的琢磨

針對閃屏問題，首先考慮會不會有一些非法程序在執行，可以明確的是，系統只是進入桌面後會閃屏，按control+ctrl+. 退出桌面不會發生此情況，猜測是explorer在作怪。

進入系統時，不進入到使用者介面，直接按 shift+重啟 ，進入到帶命令列的安全模式，此時保證進入時系統的純淨。
通過tasklist 指令檢視相應的程序資訊，查詢可疑的程序資訊。
然後嘗試手動執行explorer，發現explorer會被殺掉，每次的pid都不一致。而系統有保護的功能，會再explorer程序退出時重啟，從而導致了閃屏現象。
此時要避免繼續閃屏，可以直接通過以下指令直接刪除

taskkill /f /im explorer.exe

此時，切入點找到，要麼是explorer本身有問題，要麼是由**非法的程式**kill掉了explorer本身。

1) 針對explorer本身的問題，可以嘗試從其他機子上拷入explorer.exe到C:\windows\ 的目錄下，替換掉explorer.exe，原來的主要要備份，另外也要注意系統版本和位數要一致。

替換的時候用命令列直接操作，注意許可權的授予，不然會拒絕訪問的。授權相關的指令如下，記得先takeown再icacls分配許可權，具體操作見幫助資訊

takeown
Icacls

另外一種方案是檢視日誌記錄，找到explorer奔潰的資訊，然後去搜索一下錯誤資訊，找到相關的補丁打上。

eventvwr是用跟日誌記錄相關的，應用程式那裡有相關程序的crash記錄
compmgmt是配置系統資訊
msconfig是跟系統啟動相關，必備指令呢

2) 針對惡意程式導致explorer奔潰的話，自己查起來是比較困難的。如果是近期感染的話，可以直接通過日期的先後對檔案進行排查。其實最省事的辦法是用防毒軟體對C盤進行掃描，一般簡單的惡意病毒是能夠掃描的到的。

我的狀況則是用360掃描到了
C:\Users\user_name\AppData\Local\Microsoft\Windows\Explorer\Memory** 下藏有**clean64.dll，這個簽名不是微軟的，直接del命令刪除，然後啟動explorer就ok了。

這個clean64.dll其實並不是木馬，它是使用kms啟用失敗的產物，聯網驗證失敗，導致這個dll一直在kill掉explorer.exe，而系統出於安全保護，重啟explorer，這樣就會導致整個閃屏現象，看似很奔潰的畫面=。=

ps:
kms如果版本對應不上系統，還是別手殘點開，我朋友就是自己在win10下點了win7的kms 小馬啟用造成這樣的問題，而且也不是馬上見效的，有一定的潛伏能力=。=

總結

其實有時候遇到問題，還是得自己動手去琢磨一下，沒有桌面，純命令列排查問題也是挺好用的，之前也試過驅動，更新，以及新裝軟體的排查，也無濟於事，雖然到最後還是搞定了，也是在聯網的時候才用360查殺到，離線的時候並沒有查殺到也是醉=。=

附上登錄檔關掉系統重啟explorer的方法，不然一直重啟在普通模式下命令列也無法操作，安全模式下服務開的有點少，不太好操作恩。