कैसे पता लगाएं कि विंडोज 7 प्रो पर कौन सी प्रक्रिया (एस) कई एक्सप्लोसिव। Exe प्रक्रियाओं को जन्म दे सकती है

0

क्या विंडोज 7 प्रो (64-बिट) पर चल रही कई एक्सप्लोरर।

(तो बस स्पष्ट करने के लिए, यह iexplore.exe के बारे में नहीं है जो विंडोज इंटरनेट एक्सप्लोरर ब्राउज़र है।)

वर्तमान में मेरे पास विंडोज टास्क मैनेजर के अनुसार इस मशीन पर 5 एक्स्प्लोरर.exe प्रक्रियाएं चल रही हैं। मेरे पास कोई एक्सप्लोरर नहीं है (अर्थ: विंडोज़ फ़ाइल एक्सप्लोरर) खिड़कियां खुली हैं, और मैं इस समय इस मशीन का एकमात्र उपयोगकर्ता हूं। किसी भी स्थिति में ये एकाधिक एक्सप्लोरर प्रक्रियाएं टास्क मैनेजर में दिखाई देती हैं, जब मैंने "सभी उपयोगकर्ताओं से प्रक्रिया दिखाएं" बटन पर क्लिक नहीं किया है।

मैंने प्रॉसेस टैब के तहत "कमांड लाइन" कॉलम प्रदर्शित करने के लिए टास्क मैनेजर को कॉन्फ़िगर किया था, और उसके आधार पर ये कमांड लाइन का पालन करके शुरू किया गया था:

  • 1 (यह संभवतः "मूल" है) कमांड लाइन के साथ शुरू किया गया था:

"C: \ Windows \ Explorer.exe"

  • 3 कमांड लाइन के साथ शुरू हुआ:

"C: \ Windows \ explorer.exe / factory, {75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding"

  • 1 कमांड लाइन के साथ शुरू हुआ:

"C: \ Windows \ explorer.exe / factory, {Ceff45ee-c862-41de-aee2-a022c81eda92} -Embedding"

प्रोसेस हैकर के अनुसार ये सभी winit.exe> ​​services.exe> ​​svchost.exe द्वारा शुरू किए गए हैं जो सामान्य दिखता है।

Svchost.exe चल रहा है (प्रोसेस हैकर के अनुसार) ये सेवाएँ: DcomLaunch, PlugPlay, और Power।

क्या यह हो सकता है कि ऊपर की सूची में दो निचले "explorer.exe" प्रक्रियाएं (जहां कमांड लाइन "एम्बेडिंग" के साथ समाप्त होती है) कुछ अन्य प्रक्रिया द्वारा शुरू की गई हो सकती है? यदि हां, तो मुझे कैसे पता चल सकता है कि कौन सी प्रक्रिया (तों) इनसे पैदा हो सकती है?

process  windows-explorer 
user100487
स्रोत
वह कौन सी सेवा है जो svchost चल रही है?
SLKs
@SLaks, svchost.exe चल रहा है (प्रोसेस हैकर के अनुसार) 3 सेवाएं: DcomLaunch, PlugPlay, और Power।
क्या आपने अभी तक मैलवेयर चलाया है?
टायसन
@ टायसन, मैंने मालवेयरबाइट नहीं चलाया है। मेरे पास एफ-सिक्योर इंटरनेट सिक्योरिटी 2015 है जिसे मैंने चलाया है, हालांकि, और इसे कुछ भी नहीं मिला है। मैंने मालवेयरबाइट्स वेबसाइट की जाँच की और, उनके सॉफ़्टवेयर के विवरण को देखते हुए, इसमें वही सुविधाएँ हैं जो F-Secure विज्ञापित करती हैं। लेकिन मैं इसकी जांच करूंगा और आपको बता दूंगा कि क्या कुछ मिलता है।
user100487
केवल मैं कई एक्सप्लोरर में चला गया हूँ। यह मालवेयर का परिणाम था, आखिर कौन एक्सप्लोरर को मारेगा। और कौन सा? जबकि सभी मैलवेयर स्कैनर ज्यादातर वही काम करते हैं जो उनके पीछे डेटाबेस के कारण बहुत भिन्न होते हैं।
टायसन

जवाबों:

2

यह स्पष्ट रूप से एक अनिर्दिष्ट डिजाइन निर्णय है। Win7 से पहले, केवल एक ही उदाहरण था explorer.exe, जब तक कि आपके पास "एक अलग प्रक्रिया में फ़ोल्डर विंडो लॉन्च करें" सक्षम न हो, या कुछ बहुत गलत हो गया हो।

Win7 के बाद से, आपके पास explorer.exe"एक अलग प्रक्रिया में फ़ोल्डर विंडो लॉन्च करें" अक्षम होने पर भी कई चल सकते हैं । यह सामान्य व्यवहार है जो विंडोज की साफ स्थापना पर भी होता है। इसे explorer.exeएक या अधिक प्रसिद्ध कमांड लाइन मापदंडों के साथ चलाकर ट्रिगर किया जा सकता है ।

उदाहरण:
explorer.exe C:\
explorer.exe /select,C:

जबकि परिवर्तन और परिवर्तन के लिए तर्क अनिर्दिष्ट है, यह एक जानबूझकर डिजाइन निर्णय लगता है, या एक महत्वाकांक्षी डिजाइन निर्णय से बचे हुए हैं जो Win7 RTM से ठीक पहले छोड़ दिया गया था। यह आधार इस तथ्य के आधार पर बनाया गया है कि यदि आप /factory,रजिस्ट्री के बाद सीएलएसआईडी पाते हैं , तो आपको नीचे कुछ दिलचस्प लग सकता है।

{ceff45ee-c862-41de-aee2-a022c81eda92} // CLSID_SeparateSingleProcessExplorerHost

जब "फ़ोल्डर विंडो को एक अलग प्रक्रिया में लॉन्च करें" सक्षम किया जाता है, तो यह कमांड लाइन से शुरू होता है /factory,{ceff45ee-c862-41de-aee2-a022c81eda92} -Embedding

CLSID_SeparateSingleProcessExplorerHost

{75dff2b7-6936-4c06-a8bb-676a7b00b24b}` // CLSID_SeparateMultipleProcessExplorerHost

जब explorer.exeएक या एक से अधिक कमांड-लाइन मापदंडों के साथ शुरू किया जाता है (आमतौर पर प्रोग्राम द्वारा बुलाया जाता है जो "ओपन कॉन्टेनिंग फोल्डर" को लागू करता है explorer.exe /select,<file path>), यह कमांड लाइन से शुरू होता है /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding। यह जानबूझकर प्रत्येक आह्वान के लिए एक नया उदाहरण शुरू करता है SingleUse

यहाँ छवि विवरण दर्ज करें

इसलिए, आपके उत्तर का उत्तर देने के लिए, यह जानने के लिए कि किस प्रक्रिया ने कई प्रक्रियाएँ शुरू explorer.exeकी हैं {75dff2b7-6936-4c06-a8bb-676a7b00b24b}, आपको यह पहचानने की ज़रूरत है कि कौन से प्रोग्राम explorer.exeजैसे मापदंडों से शुरू होते हैं /select

raymai97
स्रोत
3

मेरी मशीन पर मुझे खोजकर्ता प्रक्रियाएं मिलती हैं जैसे कि आपके पास क्या है, अगर मैं:

  1. एक एक्सप्लोरर विंडो खोलें, टूल्स [मेनू]> फ़ोल्डर विकल्प पर क्लिक करें, और "एक अलग प्रक्रिया में फ़ोल्डर विंडो लॉन्च करें" विकल्प का चयन करें, और इसके बाद ...
  2. शॉर्टकट से एक फ़ोल्डर खोलें, या एक वेब ब्राउज़र से (जैसे फ़ायरफ़ॉक्स या ओपेरा) "ओपन युक्त फ़ोल्डर" का चयन करके डायलॉग डाउनलोड करें।

उपरोक्त स्थिति में, ओएस आपके द्वारा वर्णित के समान सेटिंग के साथ एक नई एक्सप्लोरर प्रक्रिया बनाता है।

ध्यान दें कि यदि आप खोले गए एक्सप्लोरर विंडो को बंद करते हैं तो ये नई एक्सप्लोरर प्रक्रियाएं आमतौर पर स्वचालित रूप से बंद नहीं होती हैं। तो आप अच्छी तरह से कई पृष्ठभूमि प्रक्रियाओं के साथ छोड़ दिया जा सकता है जो उन कमांड लाइनों का वर्णन कर रहे हैं जिन्हें आप बता रहे हैं। यदि आप इससे बचना चाहते हैं, तो "फ़ोल्डर विंडो को एक अलग प्रक्रिया में लॉन्च करें" विकल्प पर टैप करें।

coderworks
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.