爱华网2008年07月15日 21:55
故障现象:
HP台式PC,型号dx2200,XP pro SP2 简体中文系统,不必说正常模式,就连安全模式下同样不能进系统,蓝屏,代码是0x0000008E……Win32k.sys Address BF84CA7E base at BF800000 Datastamp 461b68f2.
问题溯源:
如果这故障不是最近发生在两台不同的PC,而情况大致相同,也许就不会有这篇心得了。之前一次因为看过以下资料:
0x0000008E: KERNEL_MODE_EXCEPTION_NOT_HANDLED
◆错误分析:内核级应用程序产生了错误,但Windows错误处理器没有捕获. 通常是硬件兼容性错误。
◇解决方案:升级驱动程序或升级BIOS
还以为是硬件造成的,最后重装系统解决,今天又遇到此类问题,感觉并不一定就是硬件问题造成的。(虽然HP dx2200这型号的机常出问题)故狠下心决定把问题研究透彻。
根据客户的使用习惯,判断还是恶意软件、木马、病毒一类破坏了系统启动文件而导致蓝屏。现首要的问题是先解决了蓝屏,破坏病毒的启动机制,最起码能进入安全模式,那之后的事就好解决了。
解决思路:
1、尝试用XPE(如雨浪飘零、ERD等启动光盘,这类光盘网上有的是,最主要的是一定要带编辑原系统注册表软件的XPE才行,我用的是黑菜整合盘⑦。)进入XPE系统,调入原系统注册表,主要查看以下注册键中右栏窗口有没有可疑项,有则先导出注册项备份,再删除:
⑴HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentVersionRun
⑵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
⑶HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
⑷HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
⑸HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
2、查看以下敏感目录下有没有可疑执行文件,x指系统分区。
⑴各分区根目录,如soS.exe、AutoRun.exe、Auto.exe一般都可删除。
⑵x:Documents and Settings登录系统账号(每台机都不同,视具体情况而定)Local SettingsTemp、x:Documents and Settings登录系统账号(每台机都不同,视具体情况而定)Local SettingsTemporary Internet Files、x:temp、x:WINDOWSsystem32Temp,这些目录一般都可全总部删除,保险的就把desktop.ini文件保留就行了。
⑶x:WINDOWS、x:WINDOWSsystem32下查看日期最新的执行文件,一般把类似于TxHMov.exe这样的骆驼式命名的执行文件先备份后再删,日后如果可正常启动再把这些备份删除。
⑷x:WINDOWSsystem32dllcache下的win32k.sys拷贝覆盖x:WINDOWSsystem32下的相同文件。一般有原来的系统gho文件可用Ghost explorer提取win32k.sys复制到x:WINDOWSsystem32更为安全。
3、用最新Windows清理助手(arswp)指定分区来扫描,检测出如Trojan.sysHost.xxxPri等木马或可疑项目全部勾选删除。一般都会检测到木马并且必须是驱动级,需要重启后删除。(如果有时间或有Dos类运行的杀毒软件也可另行查杀病毒。)黑菜整合盘⑦XPE中有卡巴(解压到硬盘后再杀毒),不过要升级,原版本以及病毒库太旧了,而且卡巴在XPE内运行太慢了,没意思。
4、经过以上操作后重启,一般幸运的话都可以进入安全模式的。那就继续用超级兔子魔法设置检查启动项,用Windows清理助手和恶意软件清理助手(roguecleaner)再清理一遍(一般还会检查到木马及恶意软件的),用System Repair Engineer修复一下系统,用USBCleaner查杀U盘病毒,顺便修复一下系统的注册表,用最新病毒库的江民杀毒软件KV2008移动版杀毒。杀完后重启,看能否进入正常模式。
能正常进入系统,接下来,你如何为所欲为我就不多说了。^-^
以下是网上搜集的一些相关资料:
win32k.sys是什么?
转载自:http://hi.baidu.com/ycbing/blog/item/66a6cc342dd96eb4d1a2d326.html
这个文件是Windows XP多用户管理的驱动文件。在X:WindowsSystem32Dllcache目录下有此文件的备份。只要将此备份拷到X:WindowsSystem32下替代带病毒的文件即可。
做一张Windows 98启动盘,并将Attrib.exe文件拷入软盘,此文件在装有Windows 98的机器上的X:WindowsCommand目录下。
在BIOS的Advanced BIOS Features 中将启动顺序调整为从A盘启动,进入DOS后,进入X:WindowsSystem32目录,输入Attrib -s -h -r win32k.sys,再进入X:WindowsSystem32dllcache目录下输入同样命令,再用copy win32k.sys X:windowsSystem32覆盖原文件,再重新启动即可。
win32k.sys蓝屏问题解决方案
关闭ATIExternalEventUtility组件的方式来解决蓝屏问题
操作步骤如下:
1.在安全模式下启动系统
2.选择“开始”菜单并点击“运行”->输入“Services.Msc”并运行,找到ATiExternalEventUtilityService项目,点击右键,选择“属性”, 将启动类型改为“禁用”(Disabled) 应用,点击“确定”->重新启动机器。经过上述操作,即可正常使用计算机。不过,由于外部事件服务(External Event Utility Service)被禁用,Windows运行时系统将不能检测显示设备的接入或拔出。
对于win32k.sys蓝屏以及其他蓝屏代码分析,有兴趣的可到下面这个链接查看(45个案例一一破解win32k.sys蓝屏):
http://net.zdnet.com.cn/network_security_zone/2007/1106/612068.shtml
还有一个链接(0x0000008E蓝屏错误最新详细解决方案):http://www.hotbus.cn/it/200711/4026.html
