#深圳#龙华用户反馈最近一台Win10电脑有蓝屏现象,并发来照片,蓝屏提示终止代码SYSTEM THREAD EXCEPTION NOT HANDLED,请求#上门维修电脑#。
由于最近Win10补丁引起打印蓝屏问题,于是询问客户是不是打印时引发,用户说没有。到现场查看了一下360补丁管理和程序和功能里的“已安装更新”,除了安装了一个Adobe Acrobat Reader补丁之外别无其它。
于是通过Microsoft Store下载了WinDbg Preview,准备分析蓝屏日志文件minidump。
分析结果IMAGE_NAME:PECKP _x64.SYS,并在C:\windows\System32\drivers目录发现了它,查看了它的属性
接着想在任务管理器-启动项里禁止加载这个驱动,在逐个启动项上右键-打开文件所在的位置检查时发现CSII启动项的进程文件Check Process的数字签名公司与PECKP_X64.SYS文件一样。
想着它们应该是一起的,于是通过该目录下的unis000.exe卸载了它,卸载窗口提示“网银安全服务”,卸载完成后“启动项”里的CSII便消失了。
但是在C:\windows\System32\drivers目录下的PECKP_X64.SYS文件并没有消失,且重启电脑后仍在,手动删除也不行,提示“操作无法完成,因为文件已在另一个程序中打开。请关闭该文件并重试。”
然后通过360解除占用,又提示“您所选的文件没有被锁定,不需要解锁”。
通过360文件粉碎机也没能删除。
最后进入Win10的安全模式下成功删除。
然后交代客户继续使用观察,发现问题及时联系,后续再看看有没有复发。
,
