以下转贴。
原文地址:http://hi.baidu.com/lansebaby/blog/item/966ff7803f32b9dd9123d942.html
作者博客:http://hi.baidu.com/lansebaby(蓝色宝贝)
MAXDOS 7.1 安装以后会在系统盘的 system32文件夹 释放 so.dll 、wmiprvse.exe 两个文件,其中so.dll会在IE浏览器中注册,在 system32\drivers 文件夹释放Knlrun.sys文件,Knlrun.sys 会注册成系统驱动。
当在浏览器地址栏中输入了不能解析的域名,搜索词等,so.dll就会对浏览器进行劫持,转向 http://www.sogou.com/ 进行搜索。这个东西你在浏览器加载项里禁止是没有效果的,wmiprvse.exe ,Knlrun.sys 会实时的进行恢复,就是我们常说的流氓软件行为,赶都赶不走。
知道了原理,卸载就方便了,
1、首先关闭电脑里的所有窗口程序,特别是IE,IE开着的时候是无法删除so.dll的
2、找到并删除 system32\drivers里的Knlrun.sys, system32\wmiprvse.exe、system32\so.dll 等三个文件
3、到微软公司下载:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Autoruns 这个东西。
打开autoruns,
在Internet Explorer选项卡的 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks 里找到
AddrHelper Class 有Sogou字样的那行,右击,选Delete
在Drivers 里找到 knlrun 的那一样,右击,选Delete
4、重启计算机,和搜狗流氓软件说拜拜。
其实在MAXDOS刚安装的时候,就可以避免装入搜狗流氓插件。
大家注意。
安装的时候在设置完备份文件夹的下一步,就是提示(下载Max网吧安全卫士)的那一步,你千万不要去按下一步,直接按右上角的 X ,弹出【安装程序未完成】,不管它,确定退出即可。这时候,MAXDOS 其实已经完全安装在电脑里了。。。
如果你在上一个界面按下一步的话,流氓搜狗就安装到你电脑里了,所以不想安装搜狗的人就千万别按了。
在软件安装的协议中是有申明的,不是没有
的确插件可能对某些人有影响,特别是在装了360之类的软件才会有冲突,正常情况下,是不影响用户使用的,该 插件只对IE输入起纠错作用,无其它影响,可能有的用户不喜欢。但是网站的确没有其它的收入只能做些广告,此版本可能给很多用户造成不便,基于些,我们会 在下个版本中提供可选择性的安装,或者可直接卸载该插件功能。
进程名称: Knlrun.sys
所在路径:%systemroot%\system32\drivers
描述:
1、开机蓝屏 ,提示knlrun.sys错误是,
2、发现鼠标具有间歇性的后台处理,也就是有沙漏出现,打开任务管理器会发现wmiprvse.exe在进程中忽现忽隐,或者wmiprvse.exe进程很多,都是该流氓插件引起。
流氓插件,文件位于%systemroot%\system32\drivers中,主要功能是每次开机运行explorer.exe时就让 explorer.exe不停调用位于system32下的流氓软件wmiprvse.exe(477kb),正常的wmiprvse.exe位于 system32\wbem下。
本人一直用 一键GHOST最近装了个7.1版本的MAXDOS,在此软件官方论坛下的,发现安装好后360检测到google插件和BO插件,晕无提示就给我装上两 个插件,且其中一个还很流氓。我用360点清除是无论如何也清不掉这个插件,360提示所有补丁已打好,后台我看了也没有可疑进程,然后我装了 McAfee等几款杀毒软件也没杀到病毒,于是在SYSTEM32下按时间排列(病毒大都喜欢在system32下或windows下,因此我喜欢按时间 排列这两个目录看看最下面有没有可疑的东西,当然也不一定就排在最下面,我只是习惯这样看下,反正要是没有可疑东西我就会开始排查驱动),发现最后几个文 件有一个是wmiprvse.exe,此文件应在system32\wbem下才是正常的,这个一定是病毒或流氓软件,于是直接删了它,本想应删不掉的, 可是一删就删掉了,但删掉后system32\wbem下的正常的wmiprvse.exe却开始不停的运行,估计可能是驱动级别的流氓软件,于是一个一 个查找非系统自带驱动,发现多了一个不认识的Knlrun.sys驱动,于是删掉这驱动,重启explorer.exe后正常的wmiprvse.exe 就不会一直运行了。
原来是Knlrun.sys不停的运行system32下的wmiprvse.exe流氓(因为system32下有 wmiprvse.exe,windows会优先运行system32下的文件),system32下的wmiprvse.exe流氓一运行就加入 google插件的注册表,然后退出自身,过一会儿又运行一次system32下的wmiprvse.exe流氓,反复循环,另外system32下的 wmiprvse.exe流氓只能运行一个进程,一闪就没了。所以一般看不出来。但system32下的wmiprvse.exe流氓让我删掉后(我删它 时它正好不在运行状态),Knlrun.sys还是不停的运行wmiprvse.exe,这时就是运行system32\wbem下的正常的 wmiprvse.exe,正常的wmiprvse.exe可以重复运行,估计电脑不久后系统资源就会耗尽。
解决方法:
1、直接删除
2、(建一个批处理如下):
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knlrun /va /f
taskkill /im explorer.exe /f
del /q %systemroot%\system32\wmiprvse.exe
del /q %systemroot%\system32\drivers\Knlrun.sys
ping -n 1 127.0.0.1 >nul
没有评论:
发表评论