无标题文档
博客公告
时间记忆
博客登陆
最新日志
最新评论
最新留言
博客相册
博客好友
友情连接
博客统计
进程里有两个EXPLORER.EXE 并且一个大写一个小写  | 2008/5/19 10:16:00

为什么进程里有两个EXPLORER.EXE 并且一个大写一个小写

你看MSCONFIG里的启动项里面有没有EXPLORER这一项,如果有,肯定是病毒
红色代码II
从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe,此木马运行后会调用系统原explorer.exe,运行效果和正常explorer程序无异,但注册表中的很多项已被修改。由于释放木马的代码是个循环,如果目的目录下explorer.exe发现被删,病毒又会释放出一个。

Trojan.PeepViewer.202d
该病毒一旦执行,将执行以下操作:
1.复制自己到系统目录:
%SYSDIR%\explorer.exe
2.修改注册表:
HKLM\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Winlogon\Shell
%SYSDIR%\explorer.exe
修改系统文件:
system.ini:
[BOOT]
"SHELL"=%SYSDIR%\EXPLORER.EXE

VBS_LEEBILL病毒
其中包含 EXPLORER.EXE和一个MSWINSCK.OCX的 ActiveX component。病毒藉着更改WIN.INI字串的“ru n=”为“run=C:\WINDOWS\SYSTEM\SYSTEM\EXPLORER.EXE”,有些例子的EX PLORER.EXE会将AUTOEXEC.bat加入:“echo y|format c:/q> nul”
注意:一旦侦测到LEEBILL,请检查AUTOEXEC.BAT是否有增加上述字串,并切记立刻移除它们,否则整个 C槽将被清除。

解释!
explorer.exe
开放分类: 电脑、系统、进程信息

 进程名称: explorer 或者 explorer.exe

所在路径: (系统安装目录盘)C:\windows\explorer.exe
进程全称: Microsoft Windows Explorer
中文名称: 微软windows资源管理器

描述:
    Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

出品者: Microsoft Corp.
属于: Microsoft Windows Operating System

系统进程: 是
后台程序: 否
使用网络: 是
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A  
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否

最近电脑突然卡,发现进程了多了很多个explorer.exe
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀瑞星报毒!!!

<virus.win32.vb.bu是什么>文件名称:EXPLORER.EXE
病毒名称:Virus.Win32.VB.bu(卡巴斯基)
Win32/VB.NHZ 蠕虫(NOD32)        
Trojan.PSW.SBoy.a(瑞星)
Trojan/PSW.Jianghu.ei(江民)
技术分析

Warcraft III
Counter-Strike
NFS Underground 2
Crazy Arcade
O2-JAM
PopKart Client
YB_OnlineClient
legend of mir2
CTRacer Client
Audition
gprs5.com
RQRONLINE
QQGame
添加注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
wsctf.exe=%System32%\wsctf.exe
explorer.exe=%System32%\explorer.exe
更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]
键值为 USERINIT.EXE,EXPLORER.EXE
搜索并复制文件wsctf.exe、EXPLORER.EXE到移动硬盘,生成AutoRun.inf文件内容为:
程序代码
[autorun]
OPEN=EXPLORER.EXE
shell\open=打开(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPLORER.EXE


清除步骤
怕麻烦的直接去下载专杀工具: http://bbs.antidu.cn/forum-35-1.html
1.更改文件夹选项,在文件夹选项--查看中选择“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件(推荐)”前面的勾。
2.删除移动硬盘中3个文件:autorun.inf、EXPLORER.EXE、wsctf.exe
3.结束病毒相关进程。
4.删除病毒注册自启动项
5.更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]值为[userinit.exe,]

 

小提示:
    结束它,可以节省一定的系统资源,比如配置低的机子或者机子资源不足的情况下,玩大型游戏时,就可以结束它,但是windows的桌面就会消失,变得不可操作了,但是并不影响系统的正常运行!!可以打开任务管理器,在新建任务里通过浏览找到游戏的程序,然后新建任务就可以打开游戏了。有时候结束它然后再启动,可以让系统更稳定些!另外,对于像有些小软件,安装完以后要求你重新启动,只是想刷新注册表,这时候你只需结束这个进程,再新建后,注册表就可以刷新了。 


explorer.exe
  常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
  explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。


EXPLORER.EXE
File size: 36,864
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: 1EB40158DDEE938B5E40AF9E66C3E1B7
wsctf.exe
File size: 24,576
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: CBDCF0AB0561540891A3E466147A4CE4

  • 标签:EXPLORER.EXE 
  • 发表评论: