MAXDOS也流氓
最近装了个7.1版本的MAXDOS,在此软件官方论坛下的,发现安装好后360检测到google插件,点清除是无论如何也清不掉这个插件,360提示所有补丁已打好,后台我看了也没有可疑进程,然后我装了McAfee等几款杀毒软件也没杀到病毒,于是在SYSTEM32下按时间排列(病毒大都喜欢在system32下或windows下,因此我喜欢按时间排列这两个目录看看最下面有没有可疑的东西,当然也不一定就排在最下面,我只是习惯这样看下,反正要是没有可疑东西我就会开始排查驱动),发现最后几个文件有一个是wmiprvse.exe,此文件应在system32\wbem下才是正常的,这个一定是病毒或流氓软件,于是直接删了它,本想应删不掉的,可是一删就删掉了,但删掉后system32\wbem下的正常的wmiprvse.exe却开始不停的运行,估计可能是驱动级别的流氓软件,于是一个一个查找非系统自带驱动,发现多了一个不认识的Knlrun.sys驱动,于是删掉这驱动,重启explorer.exe后正常的wmiprvse.exe就不会一直运行了。原来是Knlrun.sys不停的运行system32下的wmiprvse.exe流氓(因为system32下有wmiprvse.exe,windows会优先运行system32下的文件),system32下的wmiprvse.exe流氓一运行就加入google插件的注册表,然后退出自身,过一会儿又运行一次system32下的wmiprvse.exe流氓,反复循环,另外system32下的wmiprvse.exe流氓只能运行一个进程,一闪就没了。所以一般看不出来。但system32下的wmiprvse.exe流氓让我删掉后(我删它时它正好不在运行状态),Knlrun.sys还是不停的运行wmiprvse.exe,这时就是运行system32\wbem下的正常的wmiprvse.exe,正常的wmiprvse.exe可以重复运行,估计电脑不久后系统资源就会耗尽。
解决方法(建一个批处理如下):
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\knlrun /va /f
taskkill /im explorer.exe /f
del /q %systemroot%\system32\wmiprvse.exe
del /q %systemroot%\system32\drivers\Knlrun.sys
ping -n 1 127.0.0.1 >nul
explorer.exe
附件是提取出来的流氓软件
[[i] 本帖最后由 qq997220238 于 2009-5-20 15:21 编辑 [/i]] 估计不会有人买流氓插件吧:) 不一定,有人想分析就会买。 他都分析好了,谁还买呀? 看看吧 :lol 不买..
直接去官网下载... BS流氓党 这个也有人研究啊
不过MAX最近真的是越来越流氓了!! 我也装了maxdos 7.1,2K3的系统,我看注册表没有这个呢? MAXDOS 也開始這麼搞?
真是令人失望.
页:
[1]