Knlrun.sys
进程名称:Knlrun.sys
所在路径:%systemroot%system32drivers
描述:
1、开机蓝屏 ,提示knlrun.sys错误是,
2、发现鼠标具有间歇性的后台处理,也就是有沙漏出现,打开任务管理器会发现wmiprvse.exe在进程中忽现忽隐,或者wmiprvse.exe进程很多,都是该流氓插件引起。
出品者:
属于:
系统进程: 否
后台程序: 否
使用网络: 否
硬件相关: 否
常见错误: 蓝屏
内存使用: 未知N/A
安全等级 (0-5): 4
间谍软件: 否
广告软件: 否
病毒: 是
木马: 是
流氓插件,文件位于%systemroot%system32drivers中,主要功能是每次开机运行explorer.exe时就让explorer.exe不停调用位于system32下的流氓软件wmiprvse.exe(477kb),正常的wmiprvse.exe位于system32wbem下。
本人一直用 一键GHOST最近装了个7.1版本的MAXDOS,在此软件官方论坛下的,发现安装好后360检测到google插件和BO插件,晕无提示就给我装上两个插件,且其中一个还很流氓。我用360点清除是无论如何也清不掉这个插件,360提示所有补丁已打好,后台我看了也没有可疑进程,然后我装了McAfee等几款杀毒软件也没杀到病毒,于是在SYSTEM32下按时间排列(病毒大都喜欢在system32下或windows下,因此我喜欢按时间排列这两个目录看看最下面有没有可疑的东西,当然也不一定就排在最下面,我只是习惯这样看下,反正要是没有可疑东西我就会开始排查驱动),发现最后几个文件有一个是wmiprvse.exe,此文件应在system32wbem下才是正常的,这个一定是病毒或流氓软件,于是直接删了它,本想应删不掉的,可是一删就删掉了,但删掉后system32wbem下的正常的wmiprvse.exe却开始不停的运行,估计可能是驱动级别的流氓软件,于是一个一个查找非系统自带驱动,发现多了一个不认识的Knlrun.sys驱动,于是删掉这驱动,重启explorer.exe后正常的wmiprvse.exe就不会一直运行了。
原来是Knlrun.sys不停的运行system32下的wmiprvse.exe流氓(因为system32下有wmiprvse.exe,windows会优先运行system32下的文件),system32下的wmiprvse.exe流氓一运行就加入google插件的注册表,然后退出自身,过一会儿又运行一次system32下的wmiprvse.exe流氓,反复循环,另外system32下的wmiprvse.exe流氓只能运行一个进程,一闪就没了。所以一般看不出来。但system32下的wmiprvse.exe流氓让我删掉后(我删它时它正好不在运行状态),Knlrun.sys还是不停的运行wmiprvse.exe,这时就是运行system32wbem下的正常的wmiprvse.exe,正常的wmiprvse.exe可以重复运行,估计电脑不久后系统资源就会耗尽。
解决方法1、直接删除
2、(建一个批处理如下):
reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesknlrun /va /f
taskkill /im explorer.exe /f
del /q %systemroot%system32wmiprvse.exe
del /q %systemroot%system32driversKnlrun.sys
ping -n 1 127.0.0.1 >nul
explorer.exe