Knlrun.sys

Knlrun.sys是一種流氓外掛程式,檔案位於%systemroot%\system32\drivers中,主要功能是每次開機運行explorer.exe時就讓explorer.exe不停調用位於system32下的流氓軟體wmiprvse.exe(477kb),正常的wmiprvse.exe位於system32\wbem下。

進程名稱

: Knlrun.sys

所在路徑:%systemroot%\system32\drivers

描述:

1、開機藍屏 ,提示knlrun.sys錯誤

2、發現滑鼠具有間歇性的後台處理,也就是有沙漏出現,打開任務管理器會發現wmiprvse.exe在進程中忽現忽隱,或者wmiprvse.exe進程很多,都是該流氓外掛程式引起。

出品者:

屬於:

系統進程: 否

後台程式: 否

使用網路: 否

硬體相關: 否

常見錯誤: 藍屏

記憶體使用: 未知N/A

安全等級 (0-5): 4

間諜軟體: 否

廣告軟體: 否

病毒: 是

木馬: 是

產品介紹

本人一直用 一鍵GHOST最近裝了個7.1版本的MAXDOS,在此軟體官方論壇下的,發現安裝好後360檢測到google外掛程式和BO外掛程式,暈無提示就給我裝上兩個外掛程式,且其中一個還很流氓。我用360點清除是無論如何也清不掉這個外掛程式,360提示所有補丁已打好,後台我看了也沒有可疑進程,然後我裝了McAfee等幾款防毒軟體也沒殺到病毒,於是在SYSTEM32下按時間排列(病毒大都喜歡在system32下或windows下,因此我喜歡按時間排列這兩個目錄看看最下面有沒有可疑的東西,當然也不一定就排在最下面,我只是習慣這樣看下,反正要是沒有可疑東西我就會開始排查驅動),發現最後幾個檔案有一個是wmiprvse.exe,此檔案應在system32\wbem下才是正常的,這個一定是病毒或流氓軟體,於是直接刪了它,本想應刪不掉的,可是一刪就刪掉了,但刪掉後system32\wbem下的正常的wmiprvse.exe卻開始不停的運行,估計可能是驅動級別的流氓軟體,於是一個一個查找非系統自帶驅動,發現多了一個不認識的Knlrun.sys驅動,於是刪掉這驅動,重啟explorer.exe後正常的wmiprvse.exe就不會一直運行了。

原來是Knlrun.sys不停的運行system32下的wmiprvse.exe流氓(因為system32下有wmiprvse.exe,windows會優先運行system32下的檔案),system32下的wmiprvse.exe流氓一運行就加入google外掛程式的註冊表,然後退出自身,過一會兒又運行一次system32下的wmiprvse.exe流氓,反覆循環,另外system32下的wmiprvse.exe流氓只能運行一個進程,一閃就沒了。所以一般看不出來。但system32下的wmiprvse.exe流氓讓我刪掉後(我刪它時它正好不在運行狀態),Knlrun.sys還是不停的運行wmiprvse.exe,這時就是運行system32\wbem下的正常的wmiprvse.exe,正常的wmiprvse.exe可以重複運行,估計電腦不久後系統資源就會耗盡。

解決方法1、直接刪除

2、(建一個批處理如下):

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knlrun /va /f

taskkill /im explorer.exe /f

del /q %systemroot%\system32\wmiprvse.exe

del /q %systemroot%\system32\drivers\Knlrun.sys

ping -n 1 127.0.0.1 >nul

explorer.exe

相關詞條

相關搜尋

熱門詞條

聯絡我們