问题描述
打开windows设备管理器查看到异常设备,右键带感叹号的设备,查看属性,提示设备状态“这个设备(服务)的驱动程序已被禁用。另一个驱动程序可以提供这个功能”。
解决办法
操作前先备份个镜像或打个快照;
设备异常,最先要检查的是以下两点:
- 卸载设备,重新刷新设备管理器
- 卸载设备,勾选“删除此设备的驱动程序软件”;然后刷新设备管理器,再次手动安装驱动,指定驱动所在目录来更新驱动;
出现上述报错还应该检查是否存在过滤驱动,检查方式如下:
- 运行regedit打开注册表,找到以下目录
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass - 逐个检查这个项下的每个文件,查看是否有upfilter和lowfilter字段,查看是否upfilter和lowfilter的值的驱动是来自于哪个软件,是否系统自带的驱动;
以下截图中upfilter中的“klfltdev.sys”是卡巴斯基杀毒软件中的一个驱动。
upfilter中的“scfilter”“irenum”是微软自带的驱动;
在C:WindowsSystem32drivers目录下查看对应驱动的公司名来确认是否是第三方驱动。
以下截图为卡巴斯基添加了过滤驱动“klfltdev”,进而导致设备异常;
- 确认虚拟机已卸载了卡巴斯基,这些过滤驱动都是卸载后未清理的残留项,upfilter值只有klfltdev的话,直接删除upfilter项。如果有其他微软自带的过滤驱动的话,如scfilter、irenum,则只删除klfltdev值。
原因分析
- 某些软件(一般是安全软件、或者备份软件)会为设备添加一些过滤驱动。
- 安全软件在不改变文件系统的上层和下层接口的情况下,在中间加入一个过滤层,这样就可以在上层软件读取文件、下层驱动提供数据时,对这些数据进行扫描,看其中是否含有某个病毒的特征码。
- 如果这些过滤驱动异常(未加载成功,被删除,卸载后未清理过滤驱动等情况下),会导致设备异常(另外也碰到过安全狗的驱动异常导致服务器网络异常)。