Knlrun.sys

进程名称:Knlrun.sys

所在路径：%systemroot%system32drivers

描述：

1、开机蓝屏 ，提示knlrun.sys错误是，

2、发现鼠标具有间歇性的后台处理，也就是有沙漏出现，打开任务管理器会发现wmiprvse.exe在进程中忽现忽隐，或者wmiprvse.exe进程很多，都是该流氓插件引起。

出品者：

属于：

系统进程： 否

后台程序： 否

使用网络： 否

硬件相关： 否

常见错误： 蓝屏

内存使用： 未知N/A

安全等级 (0-5): 4

间谍软件： 否

广告软件： 否

病毒： 是

木马： 是

流氓插件，文件位于%systemroot%system32drivers中，主要功能是每次开机运行explorer.exe时就让explorer.exe不停调用位于system32下的流氓软件wmiprvse.exe（477kb），正常的wmiprvse.exe位于system32wbem下。

本人一直用 一键GHOST最近装了个7.1版本的MAXDOS，在此软件官方论坛下的，发现安装好后360检测到google插件和BO插件，晕无提示就给我装上两个插件，且其中一个还很流氓。我用360点清除是无论如何也清不掉这个插件，360提示所有补丁已打好，后台我看了也没有可疑进程，然后我装了McAfee等几款杀毒软件也没杀到病毒，于是在SYSTEM32下按时间排列（病毒大都喜欢在system32下或windows下，因此我喜欢按时间排列这两个目录看看最下面有没有可疑的东西，当然也不一定就排在最下面，我只是习惯这样看下，反正要是没有可疑东西我就会开始排查驱动），发现最后几个文件有一个是wmiprvse.exe，此文件应在system32wbem下才是正常的，这个一定是病毒或流氓软件，于是直接删了它，本想应删不掉的，可是一删就删掉了，但删掉后system32wbem下的正常的wmiprvse.exe却开始不停的运行，估计可能是驱动级别的流氓软件，于是一个一个查找非系统自带驱动，发现多了一个不认识的Knlrun.sys驱动，于是删掉这驱动，重启explorer.exe后正常的wmiprvse.exe就不会一直运行了。

原来是Knlrun.sys不停的运行system32下的wmiprvse.exe流氓（因为system32下有wmiprvse.exe，windows会优先运行system32下的文件），system32下的wmiprvse.exe流氓一运行就加入google插件的注册表，然后退出自身，过一会儿又运行一次system32下的wmiprvse.exe流氓，反复循环，另外system32下的wmiprvse.exe流氓只能运行一个进程，一闪就没了。所以一般看不出来。但system32下的wmiprvse.exe流氓让我删掉后（我删它时它正好不在运行状态），Knlrun.sys还是不停的运行wmiprvse.exe，这时就是运行system32wbem下的正常的wmiprvse.exe，正常的wmiprvse.exe可以重复运行，估计电脑不久后系统资源就会耗尽。

解决方法1、直接删除

2、（建一个批处理如下）：

reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesknlrun /va /f

taskkill /im explorer.exe /f

del /q %systemroot%system32wmiprvse.exe

del /q %systemroot%system32driversKnlrun.sys

ping -n 1 127.0.0.1 >nul

explorer.exe