请输入您要查询的百科知识:

 

词条 Knlrun.sys
释义

Knlrun.sys是一种流氓插件,文件位于%systemroot%\\system32\\drivers中,主要功能是每次开机运行explorer.exe时就让explorer.exe不停调用位于system32下的流氓软件wmiprvse.exe(477kb),正常的wmiprvse.exe位于system32\\wbem下。

进程名称: Knlrun.sys

所在路径:%systemroot%\\system32\\drivers

描述:

1、开机蓝屏 ,提示knlrun.sys错误

2、发现鼠标具有间歇性的后台处理,也就是有沙漏出现,打开任务管理器会发现wmiprvse.exe在进程中忽现忽隐,或者wmiprvse.exe进程很多,都是该流氓插件引起。

出品者:

属于:

系统进程: 否

后台程序: 否

使用网络: 否

硬件相关: 否

常见错误: 蓝屏

内存使用: 未知N/A

安全等级 (0-5): 4

间谍软件: 否

广告软件: 否

病毒: 是

木马: 是

本人一直用 一键GHOST最近装了个7.1版本的MAXDOS,在此软件官方论坛下的,发现安装好后360检测到google插件和BO插件,晕无提示就给我装上两个插件,且其中一个还很流氓。我用360点清除是无论如何也清不掉这个插件,360提示所有补丁已打好,后台我看了也没有可疑进程,然后我装了McAfee等几款杀毒软件也没杀到病毒,于是在SYSTEM32下按时间排列(病毒大都喜欢在system32下或windows下,因此我喜欢按时间排列这两个目录看看最下面有没有可疑的东西,当然也不一定就排在最下面,我只是习惯这样看下,反正要是没有可疑东西我就会开始排查驱动),发现最后几个文件有一个是wmiprvse.exe,此文件应在system32\\wbem下才是正常的,这个一定是病毒或流氓软件,于是直接删了它,本想应删不掉的,可是一删就删掉了,但删掉后system32\\wbem下的正常的wmiprvse.exe却开始不停的运行,估计可能是驱动级别的流氓软件,于是一个一个查找非系统自带驱动,发现多了一个不认识的Knlrun.sys驱动,于是删掉这驱动,重启explorer.exe后正常的wmiprvse.exe就不会一直运行了。

原来是Knlrun.sys不停的运行system32下的wmiprvse.exe流氓(因为system32下有wmiprvse.exe,windows会优先运行system32下的文件),system32下的wmiprvse.exe流氓一运行就加入google插件的注册表,然后退出自身,过一会儿又运行一次system32下的wmiprvse.exe流氓,反复循环,另外system32下的wmiprvse.exe流氓只能运行一个进程,一闪就没了。所以一般看不出来。但system32下的wmiprvse.exe流氓让我删掉后(我删它时它正好不在运行状态),Knlrun.sys还是不停的运行wmiprvse.exe,这时就是运行system32\\wbem下的正常的wmiprvse.exe,正常的wmiprvse.exe可以重复运行,估计电脑不久后系统资源就会耗尽。

解决方法1、直接删除

2、(建一个批处理如下):

reg delete HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\knlrun /va /f

taskkill /im explorer.exe /f

del /q %systemroot%\\system32\\wmiprvse.exe

del /q %systemroot%\\system32\\drivers\\Knlrun.sys

ping -n 1 127.0.0.1 >nul

explorer.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/15 14:41:52