C windows explorer exe nouaccheck что это

  • Печать
Информация о материале
Категория: Windows

Просмотров: 2438

Эта задача нужна для следующего:

CreateExplorerShellUnelevatedTask препятствует запуску Explorer с повышенными правами.

В Windows 10 любая попытка запуска Explorer с повышенными правами будет прервана Windows, а вместо него создано и запущено задание CreateExplorerShellUnelevatedTask. Задание создано с низкими правами — Explorer никогда не запустится с повышенными правами.

Комментарии (0)

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.

Источник

  • Что это?
  • Можно ли отключить?
  • Заключение

Планировщик задач — место, где система и софт хранят служебные задачи, которые могут выполняться при загрузке Windows. Самые частые задачи — по поводу обновления ПО, например Хром, Яндекс браузер — там создают задания. Иногда задания создают и вирусы.

Сразу коротко ответ:

Системное задание, которое запрещает запуск explorer.exe (Проводник) с повышенными правами.

explorer.exe — оболочка Windows, программа Проводник. Все файлы, папки, меню Пуск, трей, панель задач — работает при помощи Проводника.

На сайте Microsoft сказано что данная задача — программа Проводник, не вирус. В принципе логично, потому что в свойствах задачи указан путь:

C:\WINDOWS\Explorer.EXE /NOUACCHECK

Где:

  • Explorer.EXE — оболочка Windows.
  • /NOUACCHECK — ключ запуска оболочки.

CreateExplorerShellUnelevatedTask может быть в автозагрузке при обычном режиме. Это нужно, чтобы explorer.exe не запускался с повышенными правами (небезопасно). Однако если использовать безопасный режим — задание работать не будет и Explorer запуститься с повышенными правами.

Поэтому можно сделать вывод — отключать не стоит. Хотя на форуме Microsoft пишут что можно:

Вот ссылка на тему. Как видите — ответ помог многим пользователям.

Важно: у некоторых пользователей данное задание тормозит загрузку системы.

CreateExplorerShellUnelevatedTask — можно ли отключить?

Мое мнение — если ПК работает нормально, отключать не нужно.

Однако при желании — можно:

  1. Зажмите Win + R, появится окошко Выполнить.
  2. Вставьте команду taskschd.msc, нажмите ОК.
  3. Откроется Планировщик заданий.
  4. Выберите раздел Библиотека планировщика задач.
  5. Справа будут задания — найдите CreateExplorerShellUnelevatedTask, нажмите правой кнопкой > выберите Отключить.

РЕКЛАМА

Если на ПК установлен хороший антивирус — то отключить можно. Что значит хороший? Например Avast, однако лично я советую Kaspersky, тем более что есть бесплатная версия.

Заключение

  1. CreateExplorerShellUnelevatedTask — задание, которое не дает запускаться explorer.exe с повышенными правами.
  2. Многие пользователи отключили и не заметили никаких проблем. Однако позаботьтесь о наличии качественного антивируса.

Удачи.

Источник

If you noticed a strange task with the name “CreateExplorerShellUnelevatedTask” in Task Scheduler in Windows 10, Windows 11 or Windows Server operating system, this article will help you in understanding what is this unusual task present in Task Scheduler and is it safe to delete or disable this task?

Table of Contents

  • CreateExplorerShellUnelevatedTask Present in Windows Task Scheduler
  • What is CreateExplorerShellUnelevatedTask in Task Scheduler in Windows?
  • CreateExplorerShellUnelevatedTask Causing High CPU Usage in Windows Server
  • How to Disable CreateExplorerShellUnelevatedTask in Task Scheduler in Windows?

Recently an AskVG reader contacted me regarding this issue. He found this suspicious task automatically created in Task Scheduler in his Windows 11 device.

Task Scheduler is a system tool which comes built-in with all Windows versions. You can use Task Scheduler to schedule important tasks or set reminders. Windows also use Task Scheduler to perform system related tasks on regular intervals.

You can also check whether the CreateExplorerShellUnelevatedTask option is present in your Windows device with the help of following steps:

1. Press WIN+R keys together to launch RUN dialog box, type taskschd.msc and press Enter. It’ll open Task Scheduler.

2. Now in right-side pane, you’ll see list of all tasks system created as well as user created.

Now you can check whether the CreateExplorerShellUnelevatedTask is present in your computer system.

Following screenshot shows the CreateExplorerShellUnelevatedTask present in one of our Windows 11 machines:

What_Is_CreateExplorerShellUnelevatedTask_Windows_Task_Scheduler.png

Name: CreateExplorerShellUnelevatedTask

Author: ExplorerShellUnelevated

Status: Enabled

Action: Start a program – C:\WINDOWS\explorer.exe /NoUACCheck

What is CreateExplorerShellUnelevatedTask in Task Scheduler in Windows?

Now you might be wondering what is this weird CreateExplorerShellUnelevatedTask doing in your Windows device?

Here is the answer:

Some people think that “CreateExplorerShellUnelevatedTask” task was created by 3rd party software such as CCleaner, etc or by some malware but that’s not true.

CreateExplorerShellUnelevatedTask is a system task created by Windows to prevent users and apps from running Windows Explorer process elevated. If the user or a program tries to run the Explorer elevated, the task is run to launch the Explorer unelevated.

Here is a comment from “frank_song” at official Microsoft TechNet forum about CreateExplorerShellUnelevatedTask presence:

The CreateExplorerShellUnelevatedTask task prevents Explorer from running elevated. Any attempt to start Explorer with elevation switch seems to get intercepted by Windows and a CreateExplorerShellUnelevatedTask task is created and run instead. Because the task is configured to run with the lowest privileges, Explorer never gets run with elevation. When Explorer is executed with the ‘/nouaccheck’ switch the CreateExplorerShellUnelevatedTask task is ignored and Explorer is launched conventionally, it’s elevated status inherited from the process that started it. I suggest you disable it for a test.

So CreateExplorerShellUnelevatedTask is not suspicious. In fact, it’s a legit task created by Windows and you don’t need to worry about it.

CreateExplorerShellUnelevatedTask Causing High CPU Usage in Windows Server

At TechNet forum, the topic starter faced problems with this system task. He was facing high CPU usage problem due to this task in his Windows Server 2016 device.

If you are also facing issues related to this task in your Windows computer, you can safely disable this task with the help of steps given below.

How to Disable CreateExplorerShellUnelevatedTask in Task Scheduler in Windows?

1. Press WIN+R keys together to launch RUN dialog box, type taskschd.msc and press Enter. It’ll open Task Scheduler.

2. Now look for “CreateExplorerShellUnelevatedTask” in right-side pane.

3. Right-click on the task and select Disable option.

Disable_CreateExplorerShellUnelevatedTask_Windows_Task_Scheduler.png

That’s it. It’ll immediately disable the task.

In future, if you decide to re-enable the task, right-click on the task and select Enable option.

PS: Advanced users can also use following direct command to disable the task using command-line tools such as Command Prompt or PowerShell:

SchTasks /Change /Disable /TN CreateExplorerShellUnelevatedTask

Also Check:

[Fix] Can’t Create Tasks to Display Messages in Task Scheduler in Windows 8 and Later

How to Import (Restore) All Tasks in Bulk Using Task Scheduler in Windows?

How to Import / Export (Backup / Restore) Tasks Using Task Scheduler in Windows?

You are here: Home » Windows 10 » What is “CreateExplorerShellUnelevatedTask” in Task Scheduler in Windows?

Источник

#21

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 26 Март 2018 — 22:10

С переустановкой проблем нет. Я постоянно переустанавливаю Windows. Проблема в том, что компьютер каждый раз взламывают. Из тех способов взлома, что я знаю — это: 1) почта 2) вебсайт 3) сканирование портов. В целях повышенной безопасности никакие ссылки и вложения в почте я не открываю, на потенциально опасные сайты не захожу. А вот, что касается последнего не уверена. Насколько возможно при таких настройках файервола взломать компьютер и возможно ли это вообще? Также выбран публичный профиль и отключено сетевой обнаружение. Является ли мой компьютер невидимым в сети? Хакеры судя по всему имеют полный доступ к сети. Сеть беспроводная, wi-fi-роутер, 2 компьютера и ко второму они также имеют полный доступ. Может быть есть еще какие-то способы взлома?

Сообщение было изменено Jane575: 26 Март 2018 — 22:13

  • Наверх

#22


Lvenok

Lvenok

    Massive Poster

  • Beta Testers

  • 2 636 Сообщений:

Отправлено 26 Март 2018 — 23:08

Самый простой способ это физический доступ к вашим ПК.
Роутер также можно настроить, чтобы весь ваш трафик ходил через прокси «нужный». А уж если шифрование Wi-Fi слабое.
А вообще от вас почти никакой конкретики поэтому и ответов нет. Очень похоже на какой то розыгрышь или прикол. Не хочу обидеть, но это чисто для понимания вашего. Вы просите помощи но не рассказываете ничего.

  • Наверх

#23


Kirv

Kirv

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 27 Март 2018 — 10:34

Вот чтоб я сделал-бы в такой ситуации: 1.обновил -виндоус 2. Мой компютер — своиства — настройка удаленного доступа. Если есть галочка на ,,дать доступ к компютеру» — нада поставить галочку на ,,не дать подключитсья к компютеру». 3 Надо сделать хард ресет роутера (берем спичку и роутер, роутера не выключаем, в роутере находим узкое отверствие, где написано ,,ресет». Вставляем спичку и держим 30 секунд. Роутер выключится и опять включится. 4 Берем коробку от роутера и ищем инфы, как подключится к настройкам роутера. Меняем пароль админа роутера на что нибудь по-сложнее (частп у роутеров пароль — админ. Поменять надо на что то сложнее, допустим — год когда вы радились, прозвище и день месяц рождения( для примера (1975оЛдсолджеР1130) Если возможно, меняем код поключения к вайфайю.5 Просканируем компютер Касперским, Вебом, Малваребайтом, есет он лайн сканером. 6. Сосдать стандарт юзер аккоунт, создаем хорошый пароль для администратора и для юзера.    7. Установите Сандбокси (к сожалению, Дрвеб с этой програмой, вроде, не работает), и по интернету гуляем только через сандбокси (и в банк, и ВК, и ютюб, и форумы, и новостные порталы) В крайнем случае — формат +обновление+ аккаунты. ПС. Пардон за ошибки русского языка, он для меня иностранный. С увачением — Kirv.

  • Наверх

#24


phantom83

phantom83

    Advanced Member

  • Posters
  • 706 Сообщений:

Отправлено 27 Март 2018 — 10:42

Также с помощью антивируса и специальных программ я определила, что исполняемые файлы ProtonVPN и Tor были изменены.

Поясните более подробно — как вы поняли что файлы изменены и изменены кем то намерено?

Так же вы говорили что используете Wi-Fi — по возможности обновите версию ПО роутера до актуальной, в крайнем случае просто перепишите той же самой (если это возможно), вдруг ваши «товарищи» каким-то образом используют уязвимость KRACK.

  • Наверх

#25


l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 28 Март 2018 — 21:39

Является ли мой компьютер невидимым в сети? Хакеры судя по всему имеют полный доступ к сети. Сеть беспроводная, wi-fi-роутер, 2 компьютера и ко второму они также имеют полный доступ. Может быть есть еще какие-то способы взлома?

Основываясь на моих исследованиях,задача CreateExplorerShellUnelevatedTask предотвращает запуск Explorer с повышенными правами.
Любая попытка запустить проводник с переключателем высоты, кажется, перехватывается Windows, и задача CreateExplorerShellUnelevatedTask создается и запускается вместо этого. Поскольку задача настроена на выполнение с наименьшими привилегиями, Explorer никогда не запускается с повышением прав.
При выполнении проводника с параметром «/nouaccheck » задача CreateExplorerShellUnelevatedTask игнорируется, а проводник запускается обычным образом, он имеет повышенный статус, унаследованный от процесса, запустившего его 
Я предлагаю вам отключить его для теста.

https://social.technet.microsoft.com/Forums/office/en-US/d225e78c-842a-45f4-937d-6f60b9600fa4/createexplorershellunelevatedtask-in-taskschedular-causes-powershellexe-cpu-usage-over-90?forum=ws2016

Сообщение было изменено l.e.e.: 28 Март 2018 — 21:40

Сиюминутное Ригпа бессущностно и ясно.

drweb.png

  • Наверх

#26


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Март 2018 — 15:40

Очень похоже на какой то розыгрышь или прикол.

На самом деле ситуация тяжелая и не до шуток совсем  :).

Я делала так. Переустановила систему с диска восстановления. Диск восстановления сделала сразу после покупки ноутбука, до первого подключения к интернету и не вставляя флешки. Отключила антивирус, но оставила браундмауэр McAfee, который был настроен так, что не позволял блокировать все входящие, а именно для winlogon.exe, userinit.exe, автозагрузки приложений и др. Установила ESET Internet Security 11. После этого подключилась к интернету и секунд 10-20 регистрировала ключ. Потом отключилась, удалила McAfee, настроила ESET. После этого обновила систему. Обновляла долго. Дня 2-3. Все входящие в файерволе были запрещены. Больше никуда в интернет не выходила, браузер не открывала. Правда трафик был не зашифрован, VPN был выключен. После этого уже включила VPN и вышла в интернет через Tor.

  • Наверх

#27


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Март 2018 — 15:49

Также с помощью антивируса и специальных программ я определила, что исполняемые файлы ProtonVPN и Tor были изменены.

Поясните более подробно — как вы поняли что файлы изменены и изменены кем то намерено?

Антивирус следит за подменой приложений, которые подключаются к интернету и сообщает об этом. А ревизор AVZ показывает все файлы, которые были созданы, удалены или изменены.

Еще файервол работает не так как сначала. Он должен запрашивать все исходящие svchost, но в большинстве случаев просто молча пропускает. Раньше было не так. Он всегда спрашивал, а если по каким-то причинам запрос не выскакивал, то интернет не работал. Неизвестно, что еще в интернет выходит вместе с ним. Ну и еще защита от эксплойтов была полностью выключена. Хотя по умолчанию в Windows 10 она включена. И выглядит она так, как будто ее искарёжили. Неверный, неадекватный перевод. Ее даже настроить проблематично. Но это появилось после обновления. Например, вместо кнопки «редактировать» — «перезапуска %1!s!», вместо «удалить»- «переопределить системные параметры», вместо вкладки «Системные параметры» — «Вкл. по умолчанию», вместо «Параметры программ» — «Использовать значение по умолчанию (<Вкл>)», вместо “Добавление программы для индивидуальной настройки” — «%1!s! 1 перекрытие системы».

Прикрепленные файлы:

  • Наверх

#28


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Март 2018 — 15:51

Посмотрела. В планировщике задачи CreateExplorerShellUnelevatedTask нет. Обнаружила ее с помощью AVZ (если не ошибаюсь в автозагрузке) — CreateExplorerShellUnelevatedTask C:\WINDOWS\Explorer.EXE /NOUACCHECK. Но отключить нельзя, только удалить.

Физического доступа нет. А как защититься от сканирования портов? Это первое, что делает хакер перед взломом. Онлайн-сканер портов nmap показал: 1) все порты моего IP закрыты. 2) открыт 1 порт моего VPN-адреса — port 443 (https). Можно ли через него взломать компьютер?  Вроде, если запретить в файерволе отвечать на ping (запрет входящих пакетов icmp), то можно сделать компьютер невидимым для сканирования.

  • Наверх

#29


Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 734 Сообщений:

Отправлено 29 Март 2018 — 17:40

А как защититься от сканирования портов?

Известно как, закрыть порты =)

открыт 1 порт моего VPN-адреса — port 443 (https). Можно ли через него взломать компьютер?

Можно.

Вроде, если запретить в файерволе отвечать на ping (запрет входящих пакетов icmp), то можно сделать компьютер невидимым для сканирования.

И что, порт при этом окажется открыт, а значит потенциально может быть использован.

Как один из вариантов, устанавливаете Dr.Web, в настройках Брандмауэра меняете режим работы на «Интерактивный режим». На каждое подключение будет запрос от Брандмауэра, где Вы сможете разрешить/запретить подключение для конкретного приложения/процесса.

мой девиз — служение злу, как у котика..

  • Наверх

#30


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Март 2018 — 21:19

Он у меня приблизительно так и настроен. Я выше писала. Все входящие запрещены (кроме ProtonVPN, Tor в статусе «Запросить»).

  • Наверх

#31


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 29 Март 2018 — 22:08

При этом сканер портов показывает, что открыт 1 порт моего VPN-адреса. 

  • Наверх

#32


Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 734 Сообщений:

Отправлено 30 Март 2018 — 09:29

При этом сканер портов показывает, что открыт 1 порт моего VPN-адреса.

Ну так понятно, Вы же используете VPN, порт 443 открывается, без этого никак. Следите за подключениями.

мой девиз — служение злу, как у котика..

  • Наверх

#33


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 30 Март 2018 — 17:16

А искареженная защита от эксплойтов после обновления — это у всех так? Или только у меня?

  • Наверх

#34


Jane575

Jane575

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 31 Март 2018 — 12:41

Ваш форум «Помощь по лечению» просто отвратительный! Спасибо, что не помогли! Проблема не решена. Тему можно закрывать. 

  • Наверх

#35


VVS

VVS

    The Master

  • Moderators
  • 19 213 Сообщений:

Отправлено 31 Март 2018 — 13:37

Ваша проблема к «помощи по лечению» не имеет никакого отношения, так что не удивительно, что не помогли.

Тема закрыта по просьбе ТС.

Модератор.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы…… © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

  • Наверх

Источник

Detects suspicious starts of explorer.exe that use the /NOUACCHECK flag that allows to run all sub processes of that newly started explorer.exe without any UAC checks

Sigma rule (View on GitHub)

 1title: Explorer NOUACCHECK Flag
 2id: 534f2ef7-e8a2-4433-816d-c91bccde289b
 3status: test
 4description: Detects suspicious starts of explorer.exe that use the /NOUACCHECK flag that allows to run all sub processes of that newly started explorer.exe without any UAC checks
 5references:
 6    - https://twitter.com/ORCA6665/status/1496478087244095491
 7author: Florian Roth (Nextron Systems)
 8date: 2022/02/23
 9modified: 2022/04/21
10tags:
11    - attack.defense_evasion
12    - attack.t1548.002
13logsource:
14    category: process_creation
15    product: windows
16detection:
17    selection:
18        Image|endswith: '\explorer.exe'
19        CommandLine|contains: '/NOUACCHECK'
20    filter_dc_logon:
21        - ParentCommandLine: 'C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule'
22        - ParentImage: 'C:\Windows\System32\svchost.exe' # coarse filter needed for ID 4688 Events
23    condition: selection and not 1 of filter_*
24falsepositives:
25    - Domain Controller User Logon
26    - Unknown how many legitimate software products use that method
27level: high
  • HackTool — Empire PowerShell UAC Bypass
  • HackTool — UACMe Akagi Execution
  • TrustedPath UAC Bypass Pattern
  • Potential UAC Bypass Via Sdclt.EXE
  • UAC Bypass Tools Using ComputerDefaults
Источник

  • C windows prefetch что в этой папке
  • C windows system32 cmd exe q c rmdir s q что это
  • C windows prefetch можно ли удалить
  • C windows ehome msmediacenter wmserver exe
  • C windows policydefinitions inetres admx