Два проводника

Доброго времени суток! Может кто объяснить для чего в винде два файла explorer.exe?

 

а в каких папках они находятся?

 

Один в папке windows, другой windows\system32. Винда где смотрел это семерка 64 и виста 32. в диспетчере задач я вижу что запущен проводник из папки Windows

 

У меня в системной папке explorera нет. Туда каждый второй троян себя копирует. Они хоть по размеру одинаковы?

 

Файлы разные размером. я забыл сказать, что из проводника в систем32 файла explorer.exe не видно, но он там есть.

 

pashe4ka13

Проверь оба .exe http://www.virustotal.com/

 

pashe4ka13
Прокрути на VT да и сам посмотри по отладчиком. Такое уже где-то было,только трой кажись по csrss.exe Маскировался,а запуск через
какой-нибудь известный ключ вроде winlogon\shell. Ключи проверь тоже,это очевидно. Да,кстати,приаттач, если не жалко,а я поковыряю на досуге.

 

Сейчас нет возможности проверить. Я пишу с мобильного. А что такое у меня у одного? ) я в систем32 вижу его в тотал командоре. В винде ни через проводник ни через команду dir я его не вижу. Зато я вижу его через IDE FASMa фаил-открыть. А вот если так же попробовать в блокноте, то его опять не видно.

 

pashe4ka13
А в пользователей у тебя сколько заведено?

 

На висте залогинено три пользователя, а на семерке один. Так значит у меня действительно у одного такое? Кто то еще смотрел в систем32 через тотол командер? Я пробовал убивать проводник и запускать его так c:\windows\system32\explorer.exe и вроде все как обычно, ни какой подозрительной активности со стороны проводника нет.

 

разные размеры это уже необычно и подозрительно

 

Проверил под TotalCommander - Win7 ,ничего такого нет. Посмотри майкрософтовский файл или нет. Если нет - все ясно.

 

Вообще при загрузке длли винда просматривает системный каталог перед основным . Если при автозагрузке файлов
через ключи реестра выполняется тоже самое правило,то возможно в параметре Shell ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописан именно трой,который
просто создает процесс эксплорера и выполняет свою работу. Надо проверить на виртуалке. Если так - сплоент,е*та!

 

AndjellaArtavazdovna
ода)) одей зеродей))

 

punxer
Нет,серьезно. Если копировать проводник в системную папку и перегрузить систему,то какой экземпляр запустится?
Если из системной папки,то действительно можно запустить так что-нибудь кроме проводника. Вы не в курсе?
Проверять поздно уже.

 

Можно ещё цифровую подпись проверить, действительно ли это оригинальные файлы.

 

AndjellaArtavazdovna
Почему поздно поверять?

 

punxer
Проверил. Идея - говно. Видимо винда в этом случае начинает поиск в основном каталоге. Это если бы значение windir
изменить,то может и сработало бы.

 

AndjellaArtavazdovna
Попробовать изменить windir в %PATH%, но при перезагрузке оно перепишется на старое(читать правильное)...скорее всего.

Надо глянуть запуск оболочки в отладчике. Посмотреть завязано ли это на переменные окружения.

одно то что в реестре

Shell=Explorer.exe

Без абсолютного пути уже настораживает.
Полюбому тут есть дыра)

разве что не такая тривиальная

 

Код (Text):

1. unsigned __int32 __stdcall WLGeneric_ShellRestart_Execute(struct _StateMachineCallContext *a1)
2. {
3.   int v1; // eax@16
4.   struct _STARTUPINFOW StartupInfo; // [sp+10h] [bp-74h]@1
5.   struct _PROCESS_INFORMATION ProcessInformation; // [sp+54h] [bp-30h]@16
6.   wchar_t *Str; // [sp+64h] [bp-20h]@1
7.   LPWSTR lpCommandLine; // [sp+68h] [bp-1Ch]@12
8.   CPPEH_RECORD ms_exc; // [sp+6Ch] [bp-18h]@1
9.   int *v8; // [sp+8Ch] [bp+8h]@1
10.  
11.   Str = 0;
12.   StartupInfo.cb = 0;
13.   memset(&StartupInfo.lpReserved, 0, 0x40u);
14.   v8 = (int *)*((_DWORD *)a1 + 1);
15.   ms_exc.disabled = 0;
16.   if ( CGlobalStore::RegQueryWinlogonDWORD(L"AutoRestartShell", 1u) )
17.   {
18.     if ( WPP_GLOBAL_Control != &WPP_GLOBAL_Control
19.       && *((_BYTE *)WPP_GLOBAL_Control + 28) & 1
20.       && *((_BYTE *)WPP_GLOBAL_Control + 25) >= 5u )
21.       WPP_SF_(*((_DWORD *)WPP_GLOBAL_Control + 4), *((_DWORD *)WPP_GLOBAL_Control + 5), 150, dword_1001F40);
22.     if ( !CGlobalStore::RegAllocAndQueryWinlogonSZ(L"Shell", (void **)&Str)
23.       || (Str = (wchar_t *)AllocAndExpandEnvironmentStrings(L"Explorer.exe")) != 0 )
24.     {
25.       if ( WPP_GLOBAL_Control != &WPP_GLOBAL_Control
26.         && *((_DWORD *)WPP_GLOBAL_Control + 7) & 0x1000
27.         && *((_BYTE *)WPP_GLOBAL_Control + 25) >= 4u )
28.         WPP_SF_S(*((_DWORD *)WPP_GLOBAL_Control + 4), *((_DWORD *)WPP_GLOBAL_Control + 5), 151, dword_1001F40, Str);
29.       StartupInfo.cb = 68;
30.       StartupInfo.wShowWindow = 5;
31.       StartupInfo.dwFlags = 1;
32.       StartupInfo.lpDesktop = L"Winsta0\\Default";
33.       for ( lpCommandLine = _wcstok(Str, L","); lpCommandLine; lpCommandLine = _wcstok(0, L",") )
34.       {
35.         while ( _iswspace(*lpCommandLine) )
36.           ++lpCommandLine;
37.         v1 = CUser::[b]CreateProcessW[/b](0, lpCommandLine, 0, &StartupInfo, &ProcessInformation, 0);
38.         if ( v1 )
39.         {
40.           if ( WPP_GLOBAL_Control != &WPP_GLOBAL_Control
41.             && *((_DWORD *)WPP_GLOBAL_Control + 7) & 0x1000
42.             && *((_BYTE *)WPP_GLOBAL_Control + 25) >= 2u )
43.             WPP_SF_SL(
44.               *((_DWORD *)WPP_GLOBAL_Control + 4),
45.               *((_DWORD *)WPP_GLOBAL_Control + 5),
46.               152,
47.               dword_1001F40,
48.               lpCommandLine,
49.               v1);
50.           break;
51.         }
52.         CGlobalStore::ReportApplicationEvent(*v8, 4u, 0x400003EAu, 0, 0, 1u);
53.         CloseHandle(ProcessInformation.hThread);
54.         CloseHandle(ProcessInformation.hProcess);
55.       }
56.     }
57.   }
58.   ms_exc.disabled = -2;
59.   if ( Str )
60.     WLFree((void **)&Str);
61.   return WlStateMachineSetSignal(0, 0);
62. }

Код (Text):

1. [b]void __thiscall CUser::CreateProcessW(int this, LPCWSTR lpApplicationName, LPWSTR lpCommandLine, int a4, LPSTARTUPINFOW lpStartupInfo, LPPROCESS_INFORMATION lpProcessInformation, int a7):[/b]
2.  
3.  
4.   if ( CreateProcessAsUserW(
5.          *(HANDLE *)(v7 + 72),
6.          lpApplicationName,
7.          lpCommandLine,
8.          0,
9.          0,
10.          0,
11.          a4 | 0x404,
12.          Environment,
13.          *(LPCWSTR *)(v7 + 120),
14.          lpStartupInfo,
15.          lpProcessInformation) )

так на семерке