为什么Explore总是占用硬盘里的文件
病毒说明:
此病毒是这样运行的。通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。
一系统设置的更改
1系统文件关联修改 txt,ini,inf,bat,cmd,reg,chm,hlp可能还有其他(当你打开这些文件的时候,相当于执行了一遍病毒)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
%SystemRoot%\System32\WScript.exe"C:\WINDOWS\explorer.exe:.vbs"%1%*
2我的电脑打开方式被修改(双击我的电脑,同样相当于执行了一遍病毒)
eg:
HKEY_CLASSES_ROOT\CLSID\\shell\open\command\
%SystemRoot%\System32\WScript.exe"C:\WINDOWS\explorer.exe:.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\\shell\explore\command
%SystemRoot%\System32\WScript.exe"C:\WINDOWS\explorer.exe:.vbs" EMC
3修改IE关联(原来挟持IE主页的方法,被此病毒用来启动自己)
eg:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe"C:\WINDOWS\explorer.exe:.vbs" OIE
HKEY_CLASSES_ROOT\CLSID\\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe"C:\WINDOWS\explorer.exe:.vbs" OIE
二添加文件,主要是数据流文件到系统文件:(绕过安全软件的启动项目扫描,同时普通用户很难清除)
eg
%sys32%\smss.exe---C:\WINDOWS\system32\smss.exe:.vbs
%windir%\explorer.exe---C:\WINDOWS\explorer:.vbs
%SystemRoot%\system\svchost.exe---C:\WINDOWS\system\svchost.exe此文件本质上就是wscript.exe,可以删除
三病毒启动项目(这是病毒使用的常规启动项目,其实它不需要的)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
%SystemRoot%\system\svchost.exe"C:\WINDOWS\system32\smss.exe:.vbs"
四隐藏系统目录文件夹,并创建一个快捷方式指向原文件夹(这招毒啊,相当于windows之类的目录也会中毒)
五其他(欺负其他杀毒软件,保护自己,恶作剧等)
其他还包括创建保护进程(%SystemRoot%\system\svchost.exe)反复保护自己,通过NTSD命令结束某些进程
此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。
解决方法:
方法一:
1、光盘启动,重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要。
在组策略中将自动运行这项功能关掉:在"运行"中输入"gpedit.msc"打开组策略,依次展开"计算机配置->管理模板->系统",在右边找到"关闭自动播放"双击打开,选择"已启用",在"关闭自动播放"下拉列表中选择"所有驱动器",单击确定即可。
在每个盘的根目录下面建一个文件夹,重命名为"autorun.inf",将其属性设为隐藏,也能起到一定的预防作用(可以防止一般的病毒创建autorun.inf这个文件).
3、用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了)
4、到这个网站:下载这个专杀工具可恢复所有被隐藏的内容。
方法二:不用重装系统也能彻底清除此病毒的方法,操作比较专业。是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式,病毒的问题就可以解决了!!很管用的,大家遇到这种情况可以试试!用光盘进winpe(如果硬盘上装有winpe则开机时选择进入winpe即可),搜索*.vbs(*表示任意文件名),将搜索出来的结果全部删除。
用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。
方法三:手工彻底杀灭此毒的流程应该是:
1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
方法四:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到winrar中
删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
方法五:
建立一个批处理文件:
del-f c:\*.lnk
del-f d:\*.lnk
del-f e:\*.lnk
del-f f:\*.lnk
del-f g:\*.lnk
del-f h:\*.lnk
然后保存为bat格式的文件。然后双击运行。然后找个u盘copy个usbclear和foldercure,先用
foldercure从u盘启动杀毒。即可。
Explorer.EXE是什么进程
都是一样的!不分大小写
结束它,可以节省一定的系统资源,比如配置低的机子或者机子资源不足的情况下,玩大型游戏时,就可以结束它,但是windows的桌面就会消失,变得不可操作了,但是并不影响系统的正常运行!!可以打开任务管理器,在新建任务里通过浏览找到游戏的程序,然后新建任务就可以打开游戏了。有时候结束它然后再启动,可以让系统更稳定些!另外,对于像有些小软件,安装完以后要求你重新启动,只是想刷新注册表,这时候你只需结束这个进程,再新建后,注册表就可以刷新了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
EXPLORER.EXE
File size: 36,864
File type:应用程序
File path:%system32%及移动介质的根目录
File MD5: 1EB40158DDEE938B5E40AF9E66C3E1B7
wsctf.exe
File size: 24,576
File type:应用程序
File path:%system32%及移动介质的根目录
File MD5: CBDCF0AB0561540891A3E466147A4CE4
======================================================
如果杀完毒,修理完注册表,开机仍然不自动运行explorer.exe,但可以用任务管理器打开
你可以用搜索命令,搜索C盘.或者在C:\windows这个文件夹下搜索.
一般来说能搜索到explorer.exe这个文件,还可能有几个带"$"符号的恢复信息.
那么不要管带"$"符号的.
打开explorer.exe这个文件所在文件夹,找到它.
对它进行杀毒扫描.
如果无毒,那么它现在应该不在C:\windows这个文件夹内.
剪切,并把它放如C:\windows这个文件夹内.
再在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
将其值改为"Explorer.exe".如果没有shell这一项,请手动创建它在赋值.
如果已经有,请删除,并重新创建后赋值.
这样开机就又会自动运行explorer.exe了
=================================================
其实对于病毒的EXPLORER.EXE,不一定使用粉碎.这样仍然占用硬盘空间,而且可能留有后患.
这里推荐两款软件:Unlocker和冰刃.它们都能轻松的删除顽固的防删文件,冰刃也是一款威力强大的清理软件,配合使用,基本没有什么文件是删不掉的.
explorer命令参数及其应用
=================================================
explorer.exe的命令参数及其应用我们常需要在CMD命令行下打开文件夹,除了start命令外,还可以使用explorer.exe来打开文件夹,而且有不少参数可以方便我们的操作,下面是我在微软官方网站上面找到的关于EXPLORER的使用。
概要
本分步指南介绍了如何在 Windows XP中使用 Windows资源管理器命令行参数。
更多信息
使用命令行参数,您既可以自定义 Windows资源管理器启动时使用的默认视图,也可以指定在从命令提示符启动时所看到的视图。
您可以在 Explorer.exe命令中使用以下参数。
参数结果
/n为默认选择内容打开一个新的单窗格窗口。
默认选择内容通常是安装 Windows的驱动器的根目录。
/e使用默认视图启动 Windows资源管理器。
/e,<object>使用默认视图启动 Windows资源管理器并把焦点定位在指定文件夹上。
/root,<object>打开指定对象的一个窗口视图。
/select,<object>打开一个窗口视图,指定的文件夹、文件或程序被选中。
从命令提示符下运行 Windows资源管理器
若要从命令提示符下运行 Windows资源管理器,请:
1.单击开始,然后单击运行。
2.在打开框中,键入 Explorer,然后单击确定。
示例
以下示例说明了 Windows资源管理器参数的用法。
�6�1 Explorer/n
此命令使用默认设置打开一个资源管理器窗口。显示的内容通常是安装 Windows的驱动器的根目录。
�6�1 Explorer/e
此命令使用默认视图启动 Windows资源管理器。
�6�1 Explorer/e,C:\Windows
此命令使用默认视图启动 Windows资源管理器,并把焦点定位在 C:\Windows。
�6�1 Explorer/root, C:\Windows\Cursors
此命令启动 Windows资源管理器后焦点定位在 C:\Windows\Cursors folder。此示例使用
C:/Windows/Cursors作为 Windows资源管理器的“根”目录。
备注:请注意命令中“/root”参数后面的逗号。
Explorer/select, C:\Windows\Cursors\banana.ani
此命令启动 Windows资源管理器后选定“C:\Windows\Cursors\banana.ani”文件。
备注
请注意命令中“/select”参数后面的逗号。
Windows资源管理器参数可以在一个命令中进行组合。以下示例显示了 Windows资源管理器命令行参数的组合。
Explorer/root,//server/share, select, Program.exe
此命令启动 Windows资源管理器时以远程共享作为“根”文件夹,而且 Program.exe文件将被选中
更改 Windows资源管理器默认启动文件夹
若要更改 Windows资源管理器的默认启动文件夹,请:
1.单击开始,指向所有程序,指向附件,然后右键单击Windows Explorer。
2.在出现的菜单上,单击属性。
3.在“目标”框中,将“/root”命令行参数附加到“%SystemRoot%\Explorer.exe”命令之后,并使用您希望的启动位置。例如,如果您希望 Windows资源管理器启动后定位在 C驱动器的根,则请将该命令编辑为:
%SystemRoot%\Explorer.exe/root, C:\
4.单击确定。
桌面图标不显示,打开提示explorer.exe未指定错误
Explorer.exe程序出现错误的解决方法:
explorer.exe出错的几种可能原因:
1.系统资源不足。如果机器配置低的话建议不要同时开启太多应用程序。另外可适当加大虚拟内存,特别是经常玩大型游戏。这种情况下升级机器是最根本的解决办法呵呵。
2.系统文件损坏。检查explorer.exe的文件大小,正常情况下应该显示为237k或者238k,如果大小不一致,可运行sfc/scannow扫描系统文件。若explorer.exe程序本身损坏,可以从别的机器上拷贝一个explorer.exe文件到本机,调用任务管理器,接入explorer.exe进程,然后新建任务拷贝新的文件到系统盘\WINNT(2000)或\WINDOWS(XP)目录下。
3.软件冲突(特别是右键第三方加载项)。譬如输入法,清华紫光输入法3.0版本有的时候会出现explorer.exe出错,取消清华紫光输入法,用其他输入法输入会没有问题。清华紫光输入法4.0版本未发现类似问题。苹果美化版的rar惹的祸,把它卸载了暂时就没有这个错误了,你也可以看是不是安装了苹果美化版的rar,有的话,也可以卸载了来看一下。
装了酒精120%或者酒精52%虚拟光驱,在番茄的系统中很容易出现explorer.exe错误。卸载有时候会解决问题。
4.病毒。(wc98pp.dll)
网络协议处理器-电子书编译工具WebCompiler相关。
wc98pp.dll文件本身并没有影响,很多计算机上都有此文件,但是当explorer.exe出错的时候,删除此文件可以解决问题,然后从注册表中搜索相关键值删除。
usign.dll,有人提到这个文件与wc98pp.dll两个文件类似,删除这两个文件可以清除IE中不断跳出小广告。在公司的计算机中未发现此文件。
5.windows升级造成的
大家都知道我们用的是盗版xp,既然是盗版的,肯定会出现各种各样的错误.微软也不是sb,肯定会搞一些问题来惩罚我们,所以建议大家不要上网自动更新,并且把自动更新关掉(实际上这个更新没p用)
6.系统内核错误。此类情况暂时无法解决,重新安装系统。
7.内存问题。有人通过更换内存,解决了这个问题,所以这应该是个原因,不过如果这个出问题就比较麻烦了,所以先考虑前面几个原因。
8.其他原因。计算机运行某个程序等待时间过长,比如读取数据,尤其是光盘或者外界设备的数据的时候,也会出现explorer.exe出错。
exeplorer.exe是系统的外壳。这个文件因为开机就被加载到内寸中。所以这个文件通常不会损坏。发生错误是因为注册表的中与exeplorer关联的项发生异常。原因很多,不好查找。所以一般只有重新安装系统。如果嫌麻烦,使用启动盘启动系统,在恢复控制台中修复。
解决方法
1.第三方加载项的问题
我以一般的途径从遇到explorer错误的人们得到信息。通常他们都这么叙述:"当我在资源管理器中右键点击一个文件时系统提示explorer遇到错误需要关闭"或"当我尝试浏览文件夹的时候,我收到系统提示explorer遇到错误需要关闭"。
通常,这些错误是由于第三方加载项没有正常工作所引起的。这些加载项负责创建一些选项当你在资源管理器右键点击一个文件时。一些第三方程序会添加他们自己的选项到这些菜单,而这有些时候会出现问题。如果你仔细看你会发现几个非常规的选项在这个右键菜单上:"SendtoFaxRecipient","ScanwithNortonAntivirus","TextPad"和"Winzip"。
如果想尝试寻找引起explorer错误的第三方加载项,你需要下载这个工具:ShellExView,它会允许你查看和禁用加载项。
解决办法:当你下载并运行它以后,ShellExView会显示出所有的安装在你的电脑上的加载项。你可以分类排序使所有第三方加载项示在一起。然后,选择所有第三方加载项并禁用它们,并试着执行以前导致错误的操作(比如右键点击一个文件或浏览一个文件夹等等)如果没有错误提示,就说明你所禁用的一个加载项造成了explorer错误。接下来,通过每一次启用一个加载项并尝试之前引起错误的操作就可以找出引起错误的第三方扩展了ShellExView会显示出加载项的所有的额外信息,比如版本号、公司名称。如果你希望继续使用致使explorer出错的加载项,请检查他的更新版本或联系他的客户支持explorer出错的另一个原因是因为机器里内含病毒、木马或间谍广告程序。想检测电脑里存在的病毒请使用专业的程序,比如江民、瑞星等杀毒软件;检测电脑里存在的间谍软件,我推荐下列程序:MicrosoftWindowsAntiSpyware(Beta)、Lavasoft'sAd-Aware、RoseCitySoftware'sSpywareMedic或者Spybot'sSearch&Distroy。
2.一些关于此问题的中文知识库文章
在“地址”框或“打开”框中键入地址时出现错误消息。桌面是白色的并且错误信息报告Browseui.dll中有“Windows资源管理器”错误信息:ExplorerCausedanInvalidPageFaultinModuleBrowseui.dll(资源管理器导致模块Browseui.dll中出现无效页面错误)
错误信息:ErrorLoadingExplorer.exeYouMustReinstallWindows(加载Explorer.exe时出现错误,必须重新安装Windows)
查看“我的电脑”中的内容时Windows资源管理器退出在试图映射网络驱动器时Windows资源管理器退出并生成错误信息尝试安装Windows2000ServicePack3时出现错误信息“Explorer.exeHasGeneratedErrorsandWillBeClosedByWindows”(Explorer.exe发生错误,将被Windows关闭),在关闭某个文件夹时,Explorer.exe可能会生成一个应用程序错误尝试打开“网上邻居”时收到“WindowsExplorerHasEncounteredaProblemandNeedstoClose”(Explorer.exe发生错误,将被Windows关闭)错误消息。右键单击文件时出现错误信息,或是当在Autodesk或Discreet产品中打开某些文件时发生问题在WindowsXP中试图打开“网上邻居”或“共享文档”时,“我的电脑”和Windows资源管理器意外退出Explorer.exe在WindowsXP中反复意外退出。
3.怎样避免
使用WindowsXP时间比较长后,有时运行会很不流畅,甚至会不响应鼠标键盘对操作。很多时候是系统的假死。和真正的死机不同,假死完全可以被“救活”。假死的根源在于explorer.exe(整个图形界面的驱动)。既然会假死,那就一定有解决方法,下面就为朋友们介绍一些拯救系统假死的方法。
第一招:当使用资源管理器打开新文件夹或用浏览器打开新页面不响应时,用“Win+D”或单击快速启动栏的显示桌面按钮,再在桌面上按F5或右键刷新即可。一般刷新3-5次后再把资源管理器或浏览器窗口还原就会恢复正常了。
第二招:这一招很灵,能对付大多数假死的情况。当任务管理器都打不开时,先把光驱弹出之后再弹入(千万不要在光驱里放光盘),鼠标指针旁会出现一个小光盘标志,这时就会唤起系统的知觉,这招可是屡试不爽!
第三招:最后的杀手锏,用组合键“Ctrl+Alt+Del”启动任务管理器,然后在“进程”选项卡中结束explorer.exe,整个桌面只剩一张壁纸,桌面图标和任务栏都没影了,然后在任务管理器的“文件→新建任务”中输入explorer.exe,即可恢复正常。这一招还可释放内存资源,一举两得。
照下面的方法可以明显减少假死可能性:
能不用右键菜单的时候就尽量不用,尽量使用热键如用F2重命名、用F5刷新等。WindowsMediaPlayer最好不用可视化效果,用了往往会卡机。真想用的话,微粒是最不容易卡机的,建议用“微粒”可视化效果。不要轻易使用内存整理软件,往往会越整理系统速度越慢。如果真想释放系统资源,注销当前用户再重新登录是最好的方式。说了这么多,大家也不妨试试这些方法。
如果你还想了解更多这方面的信息,记得收藏关注本站。