Knlrun.sys是一種流氓外掛程式,檔案位於%systemroot%\system32\drivers中,主要功能是每次開機運行explorer.exe時就讓explorer.exe不停調用位於system32下的流氓軟體wmiprvse.exe(477kb),正常的wmiprvse.exe位於system32\wbem下。
基本介紹
- 外文名:Knlrun.sys
- 系統進程:否
- 後台程式:否
- 使用網路:否
進程名稱,產品介紹,
進程名稱
: Knlrun.sys
所在路徑:%systemroot%\system32\drivers
描述:
1、開機藍屏 ,提示knlrun.sys錯誤
2、發現滑鼠具有間歇性的後台處理,也就是有沙漏出現,打開任務管理器會發現wmiprvse.exe在進程中忽現忽隱,或者wmiprvse.exe進程很多,都是該流氓外掛程式引起。
出品者:
屬於:
系統進程: 否
後台程式: 否
使用網路: 否
硬體相關: 否
常見錯誤: 藍屏
記憶體使用: 未知N/A
安全等級 (0-5): 4
間諜軟體: 否
廣告軟體: 否
病毒: 是
木馬: 是
產品介紹
本人一直用 一鍵GHOST最近裝了個7.1版本的MAXDOS,在此軟體官方論壇下的,發現安裝好後360檢測到google外掛程式和BO外掛程式,暈無提示就給我裝上兩個外掛程式,且其中一個還很流氓。我用360點清除是無論如何也清不掉這個外掛程式,360提示所有補丁已打好,後台我看了也沒有可疑進程,然後我裝了McAfee等幾款防毒軟體也沒殺到病毒,於是在SYSTEM32下按時間排列(病毒大都喜歡在system32下或windows下,因此我喜歡按時間排列這兩個目錄看看最下面有沒有可疑的東西,當然也不一定就排在最下面,我只是習慣這樣看下,反正要是沒有可疑東西我就會開始排查驅動),發現最後幾個檔案有一個是wmiprvse.exe,此檔案應在system32\wbem下才是正常的,這個一定是病毒或流氓軟體,於是直接刪了它,本想應刪不掉的,可是一刪就刪掉了,但刪掉後system32\wbem下的正常的wmiprvse.exe卻開始不停的運行,估計可能是驅動級別的流氓軟體,於是一個一個查找非系統自帶驅動,發現多了一個不認識的Knlrun.sys驅動,於是刪掉這驅動,重啟explorer.exe後正常的wmiprvse.exe就不會一直運行了。
原來是Knlrun.sys不停的運行system32下的wmiprvse.exe流氓(因為system32下有wmiprvse.exe,windows會優先運行system32下的檔案),system32下的wmiprvse.exe流氓一運行就加入google外掛程式的註冊表,然後退出自身,過一會兒又運行一次system32下的wmiprvse.exe流氓,反覆循環,另外system32下的wmiprvse.exe流氓只能運行一個進程,一閃就沒了。所以一般看不出來。但system32下的wmiprvse.exe流氓讓我刪掉後(我刪它時它正好不在運行狀態),Knlrun.sys還是不停的運行wmiprvse.exe,這時就是運行system32\wbem下的正常的wmiprvse.exe,正常的wmiprvse.exe可以重複運行,估計電腦不久後系統資源就會耗盡。
解決方法1、直接刪除
2、(建一個批處理如下):
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knlrun /va /f
taskkill /im explorer.exe /f
del /q %systemroot%\system32\wmiprvse.exe
del /q %systemroot%\system32\drivers\Knlrun.sys
ping -n 1 127.0.0.1 >nul
explorer.exe