Knlrun.sys

: Knlrun.sys

所在路徑：%systemroot%\system32\drivers

描述：

1、開機藍屏 ，提示knlrun.sys錯誤

2、發現鼠標具有間歇性的後台處理，也就是有沙漏出現，打開任務管理器會發現wmiprvse.exe在進程中忽現忽隱，或者wmiprvse.exe進程很多，都是該流氓插件引起。

出品者：

屬於：

系統進程： 否

後台程序： 否

使用網絡： 否

硬件相關： 否

常見錯誤： 藍屏

內存使用： 未知N/A

安全等級 (0-5): 4

間諜軟件： 否

廣告軟件： 否

病毒： 是

木馬： 是

本人一直用 一鍵GHOST最近裝了個7.1版本的MAXDOS，在此軟件官方論壇下的，發現安裝好後360檢測到google插件和BO插件，暈無提示就給我裝上兩個插件，且其中一個還很流氓。我用360點清除是無論如何也清不掉這個插件，360提示所有補丁已打好，後台我看了也沒有可疑進程，然後我裝了McAfee等幾款殺毒軟件也沒殺到病毒，於是在SYSTEM32下按時間排列（病毒大都喜歡在system32下或windows下，因此我喜歡按時間排列這兩個目錄看看最下面有沒有可疑的東西，當然也不一定就排在最下面，我只是習慣這樣看下，反正要是沒有可疑東西我就會開始排查驅動），發現最後幾個文件有一個是wmiprvse.exe，此文件應在system32\wbem下才是正常的，這個一定是病毒或流氓軟件，於是直接刪了它，本想應刪不掉的，可是一刪就刪掉了，但刪掉後system32\wbem下的正常的wmiprvse.exe卻開始不停的運行，估計可能是驅動級別的流氓軟件，於是一個一個查找非系統自帶驅動，發現多了一個不認識的Knlrun.sys驅動，於是刪掉這驅動，重啓explorer.exe後正常的wmiprvse.exe就不會一直運行了。

原來是Knlrun.sys不停的運行system32下的wmiprvse.exe流氓（因為system32下有wmiprvse.exe，windows會優先運行system32下的文件），system32下的wmiprvse.exe流氓一運行就加入google插件的註冊表，然後退出自身，過一會兒又運行一次system32下的wmiprvse.exe流氓，反覆循環，另外system32下的wmiprvse.exe流氓只能運行一個進程，一閃就沒了。所以一般看不出來。但system32下的wmiprvse.exe流氓讓我刪掉後（我刪它時它正好不在運行狀態），Knlrun.sys還是不停的運行wmiprvse.exe，這時就是運行system32\wbem下的正常的wmiprvse.exe，正常的wmiprvse.exe可以重複運行，估計電腦不久後系統資源就會耗盡。

解決方法1、直接刪除

2、（建一個批處理如下）：

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knlrun /va /f

taskkill /im explorer.exe /f

del /q %systemroot%\system32\wmiprvse.exe

del /q %systemroot%\system32\drivers\Knlrun.sys

ping -n 1 127.0.0.1 ＞nul

explorer.exe