none
为什么我的进程有两个explorer.exe RRS feed

  • 问题

  • 路径都在C:\Windows\explorer.exe


    虚伪的世界,肮脏的时代,无情的人类,黑暗的社会,现实的残忍,丑恶的现象,活着的无奈,就算是看不惯我又能如何......
    2011年1月2日 11:10

答案

  • 可以在 PowerShell 下執行下列命令再現.

    #begin

    cmd /c "%systemroot%\explorer.exe /e,c:\"
    get-wmiobject -query 'select commandline from Win32_Process where name="explorer.exe"' | format-list commandline

    #end


    Folding@Home
    • 已标记为答案 jsyk 2011年1月6日 6:25
    2011年1月3日 7:06
  • 應該不是這樣的. 我的用戶系統沒有選擇在單獨進程打開不同的 Windows Explorer. 因為這樣會比較耗內存.
    另外從命令

    reg query "HKCR\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}" /s

    中的默認值可以獲知注冊表項 {75dff2b7-6936-4c06-a8bb-676a7b00b24b} 是用于處理 Separate Multiple Process Explorer Host 功能的一個設置.

    這個是在注冊表項 {75dff2b7-6936-4c06-a8bb-676a7b00b24b} 中 AppID {CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} 的 AppIDFlags 描述.

    AppIDFlags
    http://msdn.microsoft.com/en-us/library/bb427411(v=VS.85).aspx


    Folding@Home

    • 已标记为答案 jsyk 2011年1月6日 6:25
    2011年1月3日 15:16

全部回复

  • 直观上判断应该是恶意仿冒进程。你试试手动把 Windows\Explorer.EXE 改一下你可以一眼识别的英文大小写,例如 ExPlorer.EXE,重新启动后看看两个进程哪个改成了这个名字,另一个就是冒仿。
     
    --
    Alexis Zhang
     
    https://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "jsyk"
     
    路径都在C:\Windows\explorer.exe
     
     
    2011年1月3日 6:26
  • 直观上判断应该是恶意仿冒进程。你试试手动把 Windows\Explorer.EXE 改一下你可以一眼识别的英文大小写,例如 ExPlorer.EXE,重新启动后看看两个进程哪个改成了这个名字,另一个就是冒仿。
     
    --
    Alexis Zhang
     
    https://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "jsyk"
     
    路径都在C:\Windows\explorer.exe
     
     
    这应该不是恶意仿冒进程,现在又没了。我昨天看了一下它的命令行,所指的是上面那个路径,一个大写,一个小写,还有另一个后面是在加类标识和一些参数,这能代表什么吗
    虚伪的世界,肮脏的时代,无情的人类,黑暗的社会,现实的残忍,丑恶的现象,活着的无奈,就算是看不惯我又能如何......
    2011年1月3日 6:33
  • 確實多余的 explorer.exe 進程不一定是惡意或仿冒. 比如按照下面這個帖子提到的命令啟動 explorer.exe, 那么是會看到兩個甚至更多數量的 explorer.exe.

    关于资源管理器定位问题
    http://social.technet.microsoft.com/Forums/zh-CN/window7betacn/thread/31b05d05-f205-49da-ad16-455965edb70b


    Folding@Home
    2011年1月3日 7:00
  • 可以在 PowerShell 下執行下列命令再現.

    #begin

    cmd /c "%systemroot%\explorer.exe /e,c:\"
    get-wmiobject -query 'select commandline from Win32_Process where name="explorer.exe"' | format-list commandline

    #end


    Folding@Home
    • 已标记为答案 jsyk 2011年1月6日 6:25
    2011年1月3日 7:06
  • 可以在 PowerShell 下執行下列命令再現.

    #begin

    cmd /c "%systemroot%\explorer.exe /e,c:\"
    get-wmiobject -query 'select commandline from Win32_Process where name="explorer.exe"' | format-list commandline

    #end


    Folding@Home

    哈哈,的确是这样,请问这是怎么回事?

    命令行

    C:\WINDOWS\Explorer.EXE

    C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding


    虚伪的世界,肮脏的时代,无情的人类,黑暗的社会,现实的残忍,丑恶的现象,活着的无奈,就算是看不惯我又能如何......
    2011年1月3日 8:12
  • 查理一下, 可能與 System.AppUserModel.ID 有關.

    http://msdn.microsoft.com/en-us/library/dd391569(v=vs.85).aspx


    Folding@Home
    2011年1月3日 9:27
  • 难道是在文件夹选项中选择了“在单独的进程中打开文件夹窗口”的前提下打开了两个资源管理器窗口?这倒是正常情况。
     
    --
    Alexis Zhang
     
    https://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "jsyk"
     
    这应该不是恶意仿冒进程,现在又没了。我昨天看了一下它的命令行,所指的是上面那个路径,一个大写,一个小写,还有另一个后面是在加类标识?鸵恍┎问饽艽硎裁绰?
     
     
    2011年1月3日 15:06
  • 應該不是這樣的. 我的用戶系統沒有選擇在單獨進程打開不同的 Windows Explorer. 因為這樣會比較耗內存.
    另外從命令

    reg query "HKCR\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}" /s

    中的默認值可以獲知注冊表項 {75dff2b7-6936-4c06-a8bb-676a7b00b24b} 是用于處理 Separate Multiple Process Explorer Host 功能的一個設置.

    這個是在注冊表項 {75dff2b7-6936-4c06-a8bb-676a7b00b24b} 中 AppID {CDCBCFCA-3CDC-436f-A4E2-0E02075250C2} 的 AppIDFlags 描述.

    AppIDFlags
    http://msdn.microsoft.com/en-us/library/bb427411(v=VS.85).aspx


    Folding@Home

    • 已标记为答案 jsyk 2011年1月6日 6:25
    2011年1月3日 15:16
  • 难道是在文件夹选项中选择了“在单独的进程中打开文件夹窗口”的前提下打开了两个资源管理器窗口?这倒是正常情况。
     
    --
    Alexis Zhang
     
    https://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "jsyk"
     
    这应该不是恶意仿冒进程,现在又没了。我昨天看了一下它的命令行,所指的是上面那个路径,一个大写,一个小写,还有另一个后面是在加类标识?鸵恍┎问饽艽硎裁绰?
     
     
    不是的,这个设置我也早就知道!
    虚伪的世界,肮脏的时代,无情的人类,黑暗的社会,现实的残忍,丑恶的现象,活着的无奈,就算是看不惯我又能如何......
    2011年1月3日 16:01