explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,如果结束explorer.exe进程,桌面图标、开始菜单、任务栏将全部消失,就只剩下一个光光的桌面(重新运行explorer.exe就可以恢复上述消失的内容)。
一般情况下,在任务管理器的进程表中我们只能看到一个explorer.exe进程,但有的时候可以看到两个甚至多个explorer.exe进程并存的情况。虽然同时出现多个explorer.exe进程有可能是中了病毒,但也可能是正常的情况,要注意区分。
首先要确定explorer.exe文件的位置,正常情况下exploer.exe文件是位于系统目录下,如c:\windows\(假设系统安装在C盘),如果进程表中的explorer.exe进程的文件路径不是c:\windows\explorer.exe,就要小心了(XP的任务管理器是不显示文件路径的,可以用第三方增强型的任务管理器或进程查看器来查看,VISTA与WIN7的任务管理器可以查看到进程文件的具体路径)。但注意这种情况下并不是说c:\windows\explorer.exe就一定是病毒假冒的文件,因为explorer.exe是系统重要文件,并不是能够简单的删除掉的,所以有的时候,病毒只是把explorer.exe复制到其它地方并让它在那里继续运行发挥自己的作用,而把病毒文件改名假冒explorer.exe放在c:\windows\下作恶,所以要检查它们的文件属性,确认谁是正牌的explorer.exe。还有C:\WINDOWS\system32\dllcache\是一些重要文件的备份文件夹,要检查其中的explorer.exe是否也被病毒替换(有时病毒只是让这里面的explorer.exe正常运行掩盖其替换系统目录下正常文件的行为),如果也被替换,也需要改回来,否则修复是不成功的。
顺便说一下,覆盖替换回正常的explorer.exe,必须先结束其进程才能进行(可利用任务管理器,先全部结束explorer.exe进程,然后从“文件”菜单中的“新建任务(运行...)”来操作,打开“浏览”窗,就可以复制粘贴),也可以用启动盘(PE光盘)或系统文件替换工具。
其次,除上述病毒情况外,出现多个explorer.exe进程有时却是正常的,我曾经在一些SREng扫描XP的日志中发现两个explorer.exe进程并存的情况,当时很怀疑是病毒,但并没有发现任何可疑的迹象,两个explorer.exe进程文件也都是正常的系统文件,没有被替换过(可能用了什么优化软件)。如果是病毒插入explorer.exe进程,我想用不着专门再运行一个explorer.exe来引人注目吧。不过VISTA以上版本的windows中已经完全可能同时出现多个explorer.exe进程:“因为Explorer通常以单一进程形式运行,一旦发生崩溃会让人很恼火,因为包括桌面等在内都会受到影响。Windows 7里提供了一个改善方法,允许多个Explorer进程。大家打开资源管理器后,按住Shift,然后在任意分区或者文件夹上点右键,选择在‘新进程中打开’即可。此时启动任务管理器,就会发现运行了2个Explorer进程,这样即使因为某些原因导致其中一个崩溃,对整个系统地影响也很小。”
但为了确认所有的Explorer进程都是安全的系统进程文件,建议按前面一点所说检查一下。如果不是病毒,看到这么多个Explorer进程同时出现就不用紧张了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/865.html
