最近不知为何XP一启动就会显示 Explorer.exe 未知软件异常 0xc0000409 位置为:0x????????,确定后桌面任务栏消失,explorer进程重启,然后错误依旧,但位置出现变化,如此陷入错误的循环。或者取消了后,弹出JIT调试选项,挂VS,看不到任何信息,进程直接结束。这个错误倒是不影响其他操作,放着不管该干啥干啥也没问题,就是这框实在是碍眼,本着系统裸奔,有病毒木马XX等等一概手动追查到底的精神,我开始行动!
先直接搜错误信息看有没有什么有用的资料,发现有类似问题的倒是不少,但解决方法都不奏效。然后看到微软论坛上提到explorer进程的异常可以使用WER Windows Error Reporting Dump出信息来,于是添加注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\Explorer.exe
并添加了进程对应项的DumpFolder,再次触发错误,发现文件夹里什么都木有,不了个是吧?微软又坑爹!
此路不通,换方向,查系统的事件查看器,看有没有线索,发现每次explorer异常之后,事件查看器应用项里会有这么一条记录:外壳程序意外停止,Explorer.exe 被重新启动。来源是Winlogon。这么说这个问题可能是某些插件导致?于是开始启动项禁用各种软件、驱动等的自启动项,IE的插件等等,重启系统,还是报错。这回感觉问题可能不是能这么简单从软件设置方面解决了,于是,我决定使大招:出错的时候,先用任务管理器把explorer进程kill了,然后把错误对话框确定掉,这样explorer进程就不会自动重启了,ok,然后用任务管理器里的新建任务,启动OllyDbg,然后用OD启动windows下的explorer.exe进程,入口断点后直接放飞,果然,没过一会就提示遇到未处理的0xc0000409异常,感觉这就好办了,逆流很上,追查调用栈,发现最先一个非系统的dll函数调用是一个叫ikutm.dll内的函数,原来是之前看优酷下片装的i酷加速器的东东,soga,毫不犹豫的卸掉,重启,问题解决,就这样世界又一次恢复了和平!
参考链接:
http://msdn.microsoft.com/en-us/library/bb513638.aspx
博主友情提示:
如您在评论中需要提及如QQ号、电子邮件地址或其他隐私敏感信息,欢迎使用>>博主专用加密工具v3<<处理后发布,原文只有博主可以看到。
