最近我注意到在任务管理器中,我有一个 Explorer.EXE(大写,如图所示)进程,而不是通常的 explorer.exe
这是正常的吗?这是病毒吗?我已将文件上传到 VirusTotal,但结果不乐观。
答案1
不,不一定。Windows 不区分大小写,因此 EXPLORER.EXE 和 explorer.exe 被视为同一实体;只要它们位于同一路径位置。Explorer 的正确位置是执行程序。如果您在其他位置有 Explorer.exe,那么我会更加担心。
你应该得到进程探索器,一款提供您希望 TaskManger 显示的信息的工具,来自 SysInternals 网站。微软几年前收购了 SysInternals,因为 SysInternals 比微软开发人员更了解微软操作系统。
Explorer 有时显示大写,有时显示小写的原因实际上源于执行 explorer.exe 实例的路径;例如,来自终端服务会话(如使用远程桌面登录时的情况)将显示大写 explorer.exe(如果我没记错的话)。
答案2
严格取决于位置。任何位于 **%root%\Windows** 之外的 Explorer.exe 实例都应仔细分析,并视为可能的恶意软件。
您也可以使用网站“VirusTotal”来检查这种可能性。
另外,您有多少个这个过程的实例?