为何Explorer.EXE要访问网络

伯夷叔齐

2008年03月14日 星期五 下午 05:00其实Explorer.EXE访问网络的问题网上有很多人问，但是没有明确的答案，Explorer.EXE是资源管理器的进程，理论上是不需要访问网络的。但是我的天网有时候会收到Explorer.EXE访问网络 的请求。在网上搜下也没有具体说法，又说是木马的又说是病毒的。但是用了N多杀软也没扫出病毒和木马来。后来在电驴论坛上找到一篇相关文章，大家可以看看。也许这就是原因吧。以下内容转载自VeryCD论坛： “在我每次打开“我的电脑”的时候防火墙总是报告Explorer.EXE要访问221.5.250.163的16000端口。开始不以为意，但是总是出现这种情况使人很是郁闷，难道我也被种马了？Explorer.EXE被Hook了？不过很少有见到木马或者病毒使用这么大的端口号的。一查221.5.250.163是重庆地区的IP。使用麦咖啡，AVP查杀无果 没时间去自己分析到底怎么回事，到网上查询了一下，有的说是中毒，有的说是微软的更新补丁后来看到了这篇帖子，才明白是怎么回事。 以下转帖（不知道作者是谁了，多谢他的提供） 关于迅雷在 v5.7.3.389 及更高版本中加入 pubstat.sandai.net 链接 今天没事把迅雷从原来的 v5.5.5.269 更新到了 v5.7.3.389 版，在重新开机后偶然双击“我的电脑”（因为我用TC，基本上从不点“我的电脑”）后发现防火墙竟然报警，说 explorer.exe 尝试连接 IP 221.5.250.163，感觉非常奇怪，第一感觉是中马了，立即分析，最后找出原因如下： 迅雷在 v5.7.3.389 及更高版本的 XunLeiBHO.dll 中加入了以下网址的链接： pubstat.sandai.net 其 IP 地址是： 221.5.250.163 sandai.net 应该就是迅雷在线的网址了。这个 XunLeiBHO.dll 会复制自身一份并重命名为 xunleiBHO_Now.dll，位于安装目录下的 ComDlls 目录中，与浏览器挂接。既然是 BHO(Browser Helper Object，浏览器辅助对象，简称BHO)，并且加了上面那个网址链接，就比较讨厌了。当你初次双击“我的电脑”或打开 IE 的时候就会后台访问这个网址。就我本人来说，不喜欢这样，还是直接转成最近的无此链接的低版本 v5.7.2.368。把能找到的迅雷几个版本都拿来看了一下，没这个链接的最高版本就是 v5.7.2.368，后面的 v5.7.3.389 和 v5.7.4.401 都有了。我是偷懒，直接用 v5.7.2.368 的 XunLeiBHO.dll 替换了新版的 XunLeiBHO.dll 和 xunleiBHO_Now.dll，对下载普通文件来说，暂时没发现什么问题，就没管了。 因为我只是用迅雷下载一些普通文件，也不用它下 BT 什么的，不打算去探究其新添加这个链接是何用意，猜测一下可能是用于上传共享的。只是自己不喜欢这种后台悄悄访问网址的行为，在这里写下来，仅是给大家一个提醒。

—————–转帖完毕分割线———————

根据以上帖子，可以做一个估计（仅仅是估计）：访问这个IP的原来是迅雷的一个组件调用了Explorer.EXE，本来你是开着迅雷才会上传文件的，可能迅雷觉得那样资源太少，也太慢，于是加入了这个功能，现在就是不开迅雷也会上传，但是为什么非要调用Explorer.EXE呢？大家都知道Explorer.EXE负责Windows的资源管理器，我们获得系统内的文件都需要通过Explorer.EXE，为了获得更多的资源文件迅雷于是加入了这个功能，可怕的是你的机器中的一些机密文件有可能无法得到保证了。 我其实对迅雷没有什么恶感，它的下载速度的确是快，也的确是较上一代的下载软件有了一个大的突破，不过还是希望迅雷公司去掉这个很是有争议的功能，哪怕是让用户可以自己控制哪些可以上传，哪些不可以总成吧？！ 另外，还有另外一些IP，大家如果发现 Explorer.EXE访问这些IP的16000端口，也有可能是这个原因。
125.46.42.152
221.12.90.19
221.5.250.162
221.5.250.163
221.5.250.164
221.5.250.165
221.5.250.166
221.5.250.167
60.19.64.41
60.19.64.43 ”

作为转贴者，我也要强调一下，当EXPLORER.EXE访问网络时，一定要禁止。

shery0000

那能不能做条规则一当访问网络就自动禁止并记录日志
会不会影响其他软件?

vc2136

u版给的规则里面explorer.exe要访问cpl.microsoft.com和访问dns，dhcp服务器
我自己设置的是阻止explorer.exe一切进站出站请求，没出现任何问题

夏春秋

套用blocked applications的防火墙规则就可以了，没什么影响

baerzake

explorer.exe禁止联网不会影响使用

某某猫

U版规则有explorer的专门规则

飘雪痕

禁止掉了·············

rcbblgy

explorer下有两个迅雷的dll

sxingbai

不错，赞一下
重庆，哈哈

a44184

xunlei 已经上315了