【天擎】【客户端】Windows终端打补丁重启后黑屏或开机进入修复模式

付翔发表于:2021年07月06日 16:15:39更新于:2021年07月08日 20:08:32

1    问题描述

关键字:黑屏,启动修复,无法进入系统

文字描述:【天擎】【客户端】Windows终端打补丁重启后黑屏或开机进入启动修复模式,以及提示启动修复无法自动修复

现象截图:

 image.png

image.png

image.png


2    处理步骤


依此按检查项1、2进行检查,如果某项检查项无问题则进入后续检查项,如果检查异常请参照对应检查项中的处理办法。若所有检查项均无问题,请参考4 信息收集章节进行处理


2.1         检查项1

检查天擎环境最近是否有变更,如病毒库更新、补丁库更新、版本升级等 ,可以查看控制台的终端相关的日志,如升级日志、漏洞补丁日志等

image.png

image.png


服务端本身相关的升级日志

image.png

异常处理办法:如果服务端运行状态都正常,客户端上报日志出现问题的时间点,客户端正好进行了上述库更新或版本升级,现场还未升级的,经过验证也确认是该问题。然后确定是上述引起的及时止损,停止客户端、服务端的病毒库、补丁库、版本升级更新

 image.png

如果有级联的也需要级联取消自动升级,然后再排查具体原因。

image.png

2.2         检查项2

如果检查1排查确定是升级补丁库后导致,此处可以再检查终端详细补丁修复记录,再次确认是否升级了哪个补丁导致的,可以通过下载dism++工具,在PE下,访问更新管理-已安装的更新,查看客户端的补丁安装记录,确认出现问题时间点是否是打了补丁造成的。

image.png


异常处理办法:如果确定终端最近时间打过补丁,是打了补丁造成的,可以通过dism++工具,在PE下,选择更新管理,找到最近打过的补丁选择删除后重启。一个一个剔除补丁方式重启验证确定是哪个补丁造成的。同时需要及时止损该补丁的分发,可以通过如下方式关闭补丁的自动修复

image.png

另外也可以通过控制台-终端策略-漏洞管理-补丁限制列表,限制该补丁的分发和安装。

image.png

 

 

2.3         检查项3

检查是否最近机器有疑似中毒迹象。是否出现问题的机器是同一时间重启黑屏,或者都是插拔过U盘拷贝过文件后出现,或者机器重启黑屏前,电脑都有相同不正常的现象,比如弹窗报错,文件被加密等等。

异常处理办法:如果不是很确定是中毒导致,可以通过奇安信顽固木马专杀工具在PE下进行查杀一遍看看。

 

3    验证步骤

为验证问题是否解决,检查以下内容:

验证步骤1:可以尝试正常办公使用,确定是否正常工作,以及重启电脑多次验证是否还有黑屏和进入修复模式。

验证步骤2:如果是某个补丁引起的,可以在客户端正常情况下单独打问题补丁复现问题,移除问题后问题消失验证问题是否解决。

 

4    信息收集

如果当前知识库中的步骤无法解决问题,请收集以下信息提交至后端做进一步分析:

1.    无法进入系统情况下,可以通过PE下手动拷贝收集如下路径日志

C:\Windows\Logs\CBS\CBS.log

C:\ProgramData\360Skylar6

C:\Windows\System32\winevt\Logs\Application.evtx

C:\Windows\System32\winevt\Logs\System.evtx

C:\Windows\System32\winevt\Logs\Setup.evtx

2.    如果可以ghost镜像外发,建议也外发一份问题机器的ghost镜像,并提供链接给后端分析。