win2003下蓝屏一例及解决

公司里面新装的服务器，用的是正版的WIN2003英文版加多国语言包，使用微软的SQL做数据库服务器，是专门作为新开发的ERP系统服务器来使用的。前段时间，使用的时候老是提示说什么“nsp.dll文件版本不对”之类的鬼话，于是用daemon虚拟了个光驱载入win2003的ISO文件（该机器没有光驱），运行sfc/scannow命令来了次系统文件还原，重新启动后故障没有排除；于是到其他服务器上搜索，结果发现根本没有这个文件，觉得非常奇怪，很可能它根本就不是什么系统文件。于是到网上搜了下，才知道这个东东是CNNIC插件的一个组件。到程序组里面看了下，才想起来，装了“智能陈桥五笔输入法5.5版”，这个安装程序“顺便”把中文上网的东东给塞到电脑里面了，记得当时我还专门到appwiz.cpl（添加/删除程序面板）里面把它给删除掉了。

呵呵，知道了原因就好办了，把这个什么CNNIC的插件再装一次不就结了。于是把那个破输入法又装了一遍，走人（当时因为有人要连线到这台服务器）。第二天，经过的时候想起来，这台机器还没重启呢，于是重新启动，没想到的事情发生了。重新启动的时候，首先是系统在“准备网络连线”这个过程感觉明显停留时间加长，大约5分钟后，出来登陆界面，输入帐号和密码后，在“套用电脑设定”这个步骤的时候又表现迟钝，大约持续6分钟后，终于进入桌面。正要松口气呢，一个对话框蹦出来（是虚拟光驱的，说盘符无效），哈，点了“确定”，过5秒，蓝屏，开始生成dmp文件（就是把内存信息写进.dmp文件，drwtsn32的工作），晕死。经反复尝试，确认登陆后铁定蓝屏，不登陆就没事。

难道除了重装，就没有别的办法可想了？经尝试使用最近的正确的配置无效（意料之中，微软的这个功能好像只有在解决显示器刷新率设置过高问题上有奇效）；初步怀疑是虚拟光驱惹的祸（谁让它在蓝屏前给提示信息呢），于是尝试进入安全模式，删除daemon这个虚拟光驱软件，没想到居然提示在安全模式下不能卸载（不知道是不是win2003的安全模式特别设计的）；无奈之下，只能再次求助于网络（一般情况下，碰上问题的，自己不会是最后一个，当然也不是第一个。所以在问题面前，我永不孤单），注意到蓝屏信息里面有个“ahook”的字样，应该是个文件名称吧，于是就用这个做关键词搜索，哈，结果，很让人生气（让我想起了《天下无贼》里的经典对白：黎叔很生气，后果很严重），居然又是CNNIC在搞鬼。晕～

网上的朋友是这么说的（原文抄录）：通用网址让我真正领教了一次什么叫狼窝里的战斗，什么叫最隐蔽的敌人，什么叫无可奈何，现将一些与CNNIC低层驱动保护，造成蓝屏、死机的斗争实录拿出来于大家分享，以便给大家一个参照，遇到同类问题，不说能彻底的解决问题，至少可以发现是谁在捣鬼，也好对症下药。驱动是操作系统提供的访问、使用硬件设备或者虚拟设备的接口。操作系统将各种事件传递给不同的驱动，来完成相应的功能。驱动程序有很多种划分方法，常见的就是软驱动和硬驱动。软驱动顾名思义是不操纵硬件的，比如注册表驱动就是软驱动；硬驱动就是我们常说的硬件驱动，比如显卡驱动。驱动本来应用在软件中是无可厚非的，像知名的金山、瑞星等杀毒软件或病毒防火墙软件都包含了驱动程序。这种软驱动采用触发方式，大大减少系统资源的消耗，平时它是不工作的，只有发生了修改动作的时候，驱动才会开始工作。这类驱动的性质决定了它可以很少的占用系统资源而得到系统事件的调用。而CNNIC采用的驱动保护，则设置在驱动保护的最低层，类似于轮询的触发方式，不管有事没事，不停的访问硬盘，访问注册表，一旦发现自己被修改则立即启动全程自我保护机制，其应用程序需要检索知道注册表中某个值是否被修改，定时轮询注册表IE首页的项或者注册多个事件并等候，优先考虑自我修复，这会消耗CPU的资源，占用大量内存，大大降低系统性能，从而妨碍其它应用程序的正常运行。CNNIC的插件驱动程序(在98下叫AHOOK .VXD，在2000和XP下叫AHOOK . SYS)，我们通过iceSword可以清楚的查到在系统服务的模块中除了ntoskrnl.exe这个系统模块还有一个就是cdnprot . sys这个模块，利用debug等程序也可追踪它的驱动程序。以上部分所述，可能将导致你的系统直接蓝屏，乃至死机。新华社就曾有这样的案例，导致系统内网整个瘫痪，有事实为证，网上也有不少相关文章，大家可以去查，绝不是我信口雌黄。

各位看官，现在明白了吧，靠，终于领教到什么叫“流氓软件”了，伤心啊～知道了凶手，要斩断黑手总算有了头绪，进“安全模式”，卸载这个通用上网软件（还好，win2003的“安全”模式没出手），重新启动，感觉启动速度飞快～果然，蓝屏没再出现，倒不知道那儿冒出个什么“cdnmail”出错，看名字就知道和“cdnport.sys”是一伙的，不是什么好东西。运行“msconfig”调出系统配置实用程序（怎么，跌眼镜了吧，98里面古老的东西在2003里面依然宝刀未老啊），禁用一切来历不明的程序，靠，天子脚下，岂容撒野。重启，终于，终于，一切又回归于平静。