0x0000008E Windows蓝屏代码分析

　　故障现象：

　　HP台式PC，型号dx2200，XP pro SP2 简体中文系统，不必说正常模式，就连安全模式下同样不能进系统，蓝屏，代码是0x0000008E……

问题溯源：

　　如果这故障不是最近发生在两台不同的PC，而情况大致相同，也许就不会有这篇心得了。之前一次因为看过以下资料：

　　错误分析:内核级应用程序产生了错误，但Windows错误处理器没有捕获. 通常是硬件兼容性错误。

　　解决方案:升级驱动程序或升级还以为是硬件造成的，最后重装系统解决，今天又遇到此类问题，感觉并不一定就是硬件问题造成的。(虽然HP dx2200这型号的机常出问题)故狠下心决定把问题研究透彻。

　　根据客户的使用习惯，判断还是恶意软件、木马、病毒一类破坏了系统启动文件而导致蓝屏。现首要的问题是先解决了蓝屏，破坏病毒的启动机制，最起码能进入安全模式，那之后的事就好解决了。

　　解决思路：

　　1、尝试用XPE(如雨浪飘零、ERD等启动光盘，这类光盘网上有的是，最主要的是一定要带编辑原系统注册表软件的XPE才行，我用的是黑菜整合盘⑦。)进入XPE系统，调入原系统注册表，主要查看以下注册键中右栏窗口有没有可疑项，有则先导出注册项备份，再删除：

　　⑴⑵⑶⑷⑸2、查看以下敏感目录下有没有可疑执行文件，x指系统分区。

　　⑴各分区根目录，如soS.exe、AutoRun.exe、Auto.exe一般都可删除。

　　⑵x:\Documents and Settings\登录系统账号(每台机都不同，视具体情况而定)\Local Settings\Temp\、x:\Documents and Settings\登录系统账号(每台机都不同，视具体情况而定)\Local Settings\Temporary Internet Files\、x:\temp、x:\WINDOWS\system32\Temp，这些目录一般都可全总部删除，保险的就把desktop.ini文件保留就行了。

　　⑶x:\WINDOWS\、x:\WINDOWS\system32\下查看日期最新的执行文件，一般把类似于TxHMov.exe这样的骆驼式命名的执行文件先备份后再删，日后如果可正常启动再把这些备份删除。

　　⑷x:\WINDOWS\system32\dllcache\下的win32k.sys拷贝覆盖x:\WINDOWS\system32\下的相同文件。一般有原来的系统gho文件可用Ghost explorer提取win32k.sys复制到x:\WINDOWS\system32\更为安全。

　　3、用最新Windows清理助手(arswp)指定分区来扫描，检测出如Trojan.sysHost.xxxPri等木马或可疑项目全部勾选删除。一般都会检测到木马并且必须是驱动级，需要重启后删除。(如果有时间或有Dos类运行的杀毒软件也可另行查杀病毒。)黑菜整合盘⑦XPE中有卡巴(解压到硬盘后再杀毒)，不过要升级，原版本以及病毒库太旧了，而且卡巴在XPE内运行太慢了，没意思。

　　4、经过以上操作后重启，一般幸运的话都可以进入安全模式的。那就继续用超级兔子魔法设置检查启动项，用Windows清理助手和恶意软件清理助手(roguecleaner)再清理一遍(一般还会检查到木马及恶意软件的)，用System Repair Engineer修复一下系统，用USBCleaner查杀U盘病毒，顺便修复一下系统的注册表，用最新病毒库的江民杀毒软件KV2008移动版杀毒。杀完后重启，看能否进入正常模式。

　　能正常进入系统，接下来，你如何为所欲为我就不多说了。

　　以下是网上搜集的一些相关资料：

　　win32k.sys是什么?

　　转载自：

　　这个文件是Windows XP多用户管理的驱动文件。在X:\Windows\System32\Dllcache目录下有此文件的备份。只要将此备份拷到X:\Windows\System32下替代带病毒的文件即可。

　　做一张Windows 98启动盘，并将Attrib.exe文件拷入软盘，此文件在装有Windows 98的机器上的X:\Windows\Command目录下。

　　在BIOS的Advanced BIOS Features 中将启动顺序调整为从A盘启动，进入DOS后，进入X:\Windows\System32目录，输入Attrib -s -h -r win32k.sys，再进入X:\Windows\System32\dllcache目录下输入同样命令，再用copy win32k.sys X:\windows\System32覆盖原文件，再重新启动即可。

　　win32k.sys蓝屏问题解决方案关闭ATIExternalEventUtility组件的方式来解决蓝屏问题操作步骤如下：

　　在安全模式下启动系统选择“开始”菜单并点击“运行”->输入“Services.Msc”并运行,找到ATiExternalEventUtilityService项目,点击右键，选择“属性”, 将启动类型改为“禁用”(Disabled)应用，点击“确定”->重新启动机器。经过上述操作，即可正常使用计算机。不过，由于外部事件服务(External Event Utility Service)被禁用，Windows运行时系统将不能检测显示设备的接入或拔出。