查看: 9844|回复: 10
收起左侧

为何Explorer.EXE要访问网络

[复制链接]
伯夷叔齐
发表于 2008-4-6 10:08:31 | 显示全部楼层 |阅读模式
2008年03月14日 星期五 下午 05:00其实Explorer.EXE访问网络的问题网上有很多人问,但是没有明确的答案,Explorer.EXE是资源管理器的进程,理论上是不需要访问网络的。但是我的天网有时候会收到Explorer.EXE访问网络 的请求。在网上搜下也没有具体说法,又说是木马的又说是病毒的。但是用了N多杀软也没扫出病毒和木马来。后来在电驴论坛上找到一篇相关文章,大家可以看看。也许这就是原因吧。以下内容转载自VeryCD论坛: “在我每次打开“我的电脑”的时候防火墙总是报告Explorer.EXE要访问221.5.250.163的16000端口。开始不以为意,但是总是出现这种情况使人很是郁闷,难道我也被种马了?Explorer.EXE被Hook了?不过很少有见到木马或者病毒使用这么大的端口号的。一查221.5.250.163是重庆地区的IP。使用麦咖啡,AVP查杀无果 没时间去自己分析到底怎么回事,到网上查询了一下,有的说是中毒,有的说是微软的更新补丁后来看到了这篇帖子,才明白是怎么回事。 以下转帖(不知道作者是谁了,多谢他的提供) 关于迅雷在 v5.7.3.389 及更高版本中加入 pubstat.sandai.net 链接 今天没事把迅雷从原来的 v5.5.5.269 更新到了 v5.7.3.389 版,在重新开机后偶然双击“我的电脑”(因为我用TC,基本上从不点“我的电脑”)后发现防火墙竟然报警,说 explorer.exe 尝试连接 IP 221.5.250.163,感觉非常奇怪,第一感觉是中马了,立即分析,最后找出原因如下: 迅雷在 v5.7.3.389 及更高版本的 XunLeiBHO.dll 中加入了以下网址的链接: pubstat.sandai.net 其 IP 地址是: 221.5.250.163 sandai.net 应该就是迅雷在线的网址了。这个 XunLeiBHO.dll 会复制自身一份并重命名为 xunleiBHO_Now.dll,位于安装目录下的 ComDlls 目录中,与浏览器挂接。既然是 BHO(Browser Helper Object,浏览器辅助对象,简称BHO),并且加了上面那个网址链接,就比较讨厌了。当你初次双击“我的电脑”或打开 IE 的时候就会后台访问这个网址。就我本人来说,不喜欢这样,还是直接转成最近的无此链接的低版本 v5.7.2.368。把能找到的迅雷几个版本都拿来看了一下,没这个链接的最高版本就是 v5.7.2.368,后面的 v5.7.3.389 和 v5.7.4.401 都有了。我是偷懒,直接用 v5.7.2.368 的 XunLeiBHO.dll 替换了新版的 XunLeiBHO.dll 和 xunleiBHO_Now.dll,对下载普通文件来说,暂时没发现什么问题,就没管了。 因为我只是用迅雷下载一些普通文件,也不用它下 BT 什么的,不打算去探究其新添加这个链接是何用意,猜测一下可能是用于上传共享的。只是自己不喜欢这种后台悄悄访问网址的行为,在这里写下来,仅是给大家一个提醒。

—————–转帖完毕分割线———————

根据以上帖子,可以做一个估计(仅仅是估计):访问这个IP的原来是迅雷的一个组件调用了Explorer.EXE,本来你是开着迅雷才会上传文件的,可能迅雷觉得那样资源太少,也太慢,于是加入了这个功能,现在就是不开迅雷也会上传,但是为什么非要调用Explorer.EXE呢?大家都知道Explorer.EXE负责Windows的资源管理器,我们获得系统内的文件都需要通过Explorer.EXE,为了获得更多的资源文件迅雷于是加入了这个功能,可怕的是你的机器中的一些机密文件有可能无法得到保证了。 我其实对迅雷没有什么恶感,它的下载速度的确是快,也的确是较上一代的下载软件有了一个大的突破,不过还是希望迅雷公司去掉这个很是有争议的功能,哪怕是让用户可以自己控制哪些可以上传,哪些不可以总成吧?! 另外,还有另外一些IP,大家如果发现 Explorer.EXE访问这些IP的16000端口,也有可能是这个原因。
125.46.42.152
221.12.90.19
221.5.250.162
221.5.250.163
221.5.250.164
221.5.250.165
221.5.250.166
221.5.250.167
60.19.64.41
60.19.64.43 ”

作为转贴者,我也要强调一下,当EXPLORER.EXE访问网络时,一定要禁止。
shery0000
发表于 2008-4-6 10:22:49 | 显示全部楼层
那能不能做条规则一当访问网络就自动禁止并记录日志
会不会影响其他软件?
vc2136
发表于 2008-4-6 10:26:34 | 显示全部楼层
u版给的规则里面explorer.exe要访问cpl.microsoft.com和访问dns,dhcp服务器
我自己设置的是阻止explorer.exe一切进站出站请求,没出现任何问题
夏春秋
发表于 2008-4-6 10:26:41 | 显示全部楼层

回复 2楼 shery0000 的帖子

套用blocked applications的防火墙规则就可以了,没什么影响
baerzake
发表于 2008-4-6 10:41:04 | 显示全部楼层
explorer.exe禁止联网不会影响使用
某某猫
发表于 2008-4-6 10:54:05 | 显示全部楼层
U版规则有explorer的专门规则
飘雪痕
头像被屏蔽
发表于 2008-4-9 14:37:28 | 显示全部楼层
禁止掉了·············
rcbblgy
发表于 2008-4-9 14:42:32 | 显示全部楼层
explorer下有两个迅雷的dll
sxingbai
发表于 2008-4-10 10:45:20 | 显示全部楼层
不错,赞一下
重庆,哈哈
a44184
发表于 2008-4-10 12:39:00 | 显示全部楼层
xunlei 已经上315了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 02:02 , Processed in 0.141152 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表