|
|
#11
7 november 2008, 14:54
| ||||||||||||
| ||||||||||||
 HJT log Vær ikke bekymret.
__________________
Pretty tæt - HJT er dybest set en Registreringseditor. Som du siger, det scanninger topdomæneadministratoren og producerer en log over sine resultater. Det har flere andre funktioner, som godt - tage et stykke tid og få at vide, hvad de er. Her er den Services del af en log fra min PC: Logfile af Trend Micro HijackThis v2.0.2 Scan gemt kl 21:49:17 den 07/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Kørende processer: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ Services.exe C: \ WINDOWS \ system32 \ Lsass.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe C: \ WINDOWS \ system32 \ Spoolsv.exe E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe C: \ WINDOWS \ system32 \ CTsvcCDA.exe E: \ Programmer \ Diskeeper Corporation \ Diskeeper \ DkService.exe E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe C: \ Programmer \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe E: \ FAH \ smpd.exe C: \ WINDOWS \ system32 \ nvsvc32.exe C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe C: \ WINDOWS \ system32 \ Svchost.exe E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ Explorer.EXE C: \ Programmer \ Creative \ Sound Blaster X-Fi \ bind Panel \ VolPanlu.exe C: \ WINDOWS \ system32 \ rundll32.exe C: \ WINDOWS \ SnoopFreeUI.exe C: \ Programmer \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe C: \ Programmer \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe C: \ Programmer \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe E: \ Programmer \ Winamp \ winampa.exe E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe E: \ Programmer \ Zone Labs \ ZoneAlarm \ zlclient.exe C: \ WINDOWS \ system32 \ rundll32.exe C: \ WINDOWS \ system32 \ Ctfmon.exe E: \ Programmer \ Logitech \ SetPoint \ SetPoint.exe E: \ Programmer \ Microsoft Office \ Office10 \ msoffice.exe C: \ Programmer \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE E: \ Programmer \ SpywareGuard \ sgmain.exe E: \ Programmer \ SpywareGuard \ sgbhp.exe F: \ Iain \ Drivers og Software \ CoreTemp \ Core Temp.exe E: \ FAH \ fah6.exe.exe E: \ FAH \ mpiexec.exe E: \ FAH \ smpd.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ Programmer \ Mozilla Firefox \ firefox.exe E: \ Programmer \ HJTHotkey \ HJTHotkey.exe E: \ Programmer \ Keynote \ keynote.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe F: \ Iain \ HijackThis \ HiJackThis.exe Jeg gør, at 52-processer. Min Jobliste siger 81-processer. Kig på de processer, er anført i din log og dem er anført i din Jobliste og fortælle mig, hvad der er anderledes. Mit system: Det er alle mine ...
|
|
#12
7 november 2008, 15:06
| |||
| |||
| HJT log Jeg mente at tilføje dette - det er den nederste del af min log O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C: \ WINDOWS \ ATKKBService.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe O23 - Service: AVG8 vagthund (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Programmer \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Kundeanmeldelser V1.01 + fah.exe - Ukendt ejer - E: \ Programmer \ Folding @ Home Windows SMP Kundeanmeldelser V1.01 \ fah.exe (fil mangler) O23 - Service: InstallDriver Tabel Manager (IDriverT) - Macrovision Corporation - C: \ Programmer \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Programmer \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe O23 - Service: MPICH2 Process Manager, ARGONNE National Lab (mpich2_smpd) - Ukendt ejer - E: \ FAH \ smpd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Snoop gratis service (SnoopFreeSvc) - Ukendt ejer - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Programmer \ VMware \ VMware Workstation \ VMware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Programmer \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe Ikke mange tjenester der, er der? Kan du tænke på en grund til, at så få tjenester faktisk vist? |
|
#13
7 november 2008, 16:25
| |||
| |||
| HJT log Deres første spørgsmål er let. Den HJT log viser ikke nogen af mit system processer. Hvad jeg ikke ved, er hvorfor. Jeg har været der forfølger dette på Malware U så godt, og har haft et par svar, men ingen er blevet endelig. Den ene er, at måske HJT er ikke konfigureret til Vista64, en anden siger det er normalt for enhver Vista HJT log. Men en anden påpegede, at alle mine 023 (service) poster ikke blev vist korrekt, som bringer os tilbage til enten en uforenelighed til Vista64 eller Vista som helhed. Jeg har ikke UAC slået til, dælen, jeg har ikke nogen af MS sikkerhed kram tændt. På, hvorfor yoou har 81 processer, der kører og HJT viser kun 52, jeg ikke kender. Jeg har en HJT log til denne computer (jeg gjorde mit første PL00a med det), og jeg vil sammenligne, hvad der vises på HJT log med det, der vises i Jobliste og komme tilbage til dig. Jeg vil også se på de tjenester og se hvad jeg kan regne ud Bemærk: Som jeg skriver dette, er jeg bruge min gamle maskine, der er en Vista maskine. |
|
#14
8 november 2008, 03:14
| |||
| |||
| HJT log Du kan finde en tutorial på HJT at være nogen hjælp - det er noget, jeg rådgive praktikanter at læse første alligevel. http://www.bleepingcomputer.com/tuto...utorial42.html |
|
#15
9. november 2008, 09:39
| |||
| |||
| HJT log Rettelse første fra min ovenstående post. Min gamle maskine (som jeg gør dette en alt for lol), er en XP maskine ikke en Vista-maskine. Processer spørgsmål revisted fra XP maskine: Jeg reran HJT og kopieret Process portion derefter immedially åbnet Jobliste og sammenlignet tallene. Jeg havde 50 processer på HJT og 58 på Jobliste. Jeg skrev Jobliste listen på en notesblok doc og derefter gik gennem HJT listen. Jeg har slettet fra Jobliste over alt det, der blev vist på den HJT listen for at se hvad der var tilbage. To spørgsmål, før jeg går videre: 1). Er der en måde at få processen liste fra Jobliste i stedet for at gøre hvad jeg gjorde, IE: åbne en notesblok doc og manuelt skrive hver indsejling i? 2). Task manager blot viser en post som "Winlogon.exe" mens HJT viser den fulde sti (er stien korrekt sigt?) Såsom C: \ WINDOWS \ system32 \ Winlogon.exe. Da den proces, jeg brugte som eksempel, Winlogon.exe kan malware (trojanske jeg tror), hvis det ikke er fra stien C: \ WINDOWS \ system32, ville det være rart at kende den fulde sti. Så hvordan får jeg den fulde sti fra Windows Jobliste? Tilbage til min processer, jeg rent faktisk endte med 11 tilbage på min liste, ikke 8. Jeg kan tænke på to grunde til that.Off de 11 var tre Svchost.exe 's. Jeg muligvis glip af en, når du sletter fra en liste til den anden. En proces, der vises på HJT Listen blev HJT som naturligvis ikke var åbent, da jeg gjorde Jobliste så den ikke dukker op der. Det eliminerer 2. Af de resterende 9, 2 blev Notepad.exe 's, som ikke var åben, da jeg gjorde det HJT, og to vil være de to andre Svchost.exe' s. Jeg har fundet noget endnu, der fortæller, hvad der åbner dem, blot at de er i vidt omfang anvendes af Windows. Af de resterende 5 processer ikke vises på HJT to var: System: Systemet er en proces, der viser op på opgaver på primært Windows XP, Windows 2003 Server og nyere version af Windows. Dette er en standard system counter og kan ikke fjernes. System Idle Process: systemet tomgang er ikke en proces, mere en tæller, som vises i WinTasks anvendes til at måle, hvor meget ledig tid CPU'en er der på et givent tidspunkt. Denne counter vil vise, hvor meget CPU-ressourcer, som en procentdel er »inaktiv« og klar til brug. Kan ikke blive dræbt. Jeg går ud fra, at disse to åbne med Jobliste og som sådan ikke ville have set. Det efterlader tre, to, som jeg er clueless på, hvorfor de ikke blev vist ved HJT, især den ene for Medieafspiller siden medieafspiller har tidligere været udnyttet af malware er det ikke? De er: alg.exe: Den alg.exe eksekverbare tillader applikationer (såsom IM klienter, RTSP, BitTorrent, SIP, og FTP) fra en klient computer til dynamisk bruge passive TCP / UDP-porte med at kommunikere med kendte havne på en server. wmpnetwk.exe: wmpnetwk.exe er det vigtigste eksekverbare for Windows Media Player Network Sharing Service. Det bruges til at dele Windows Media Player biblioteker. taskmgr.exe De øvrige er: csrss.exe: Microsoft Client Server Runtime Server delsystemet udnytter proces csrss.exe for forvaltningen af størstedelen af de grafiske instruktion sæt under Microsoft Windows-operativsystemet. Csrss.exe kontrol trådning og Win32 console vindue funktioner. Trådning er hvor anvendelsen opdeler sig selv i flere samtidige kører opgaver. Mens jeg er ikke helt sikker på, jeg tror, at dette kunne have åbnet, efter at jeg kørte HJT når jeg åbnet flere forekomster af notesblok til at skrive og sammenligne data. Nogen tanker eller kritik, du har på, hvad jeg lige skrev vil være værdsat. Jeg er færdig med mit første excercise, (og havde det critiqued af en lærer), på Malware U, så det er noget ekstra for min egen lyst til at lære mere, og bedre forstå processer, og som sådan vil jeg ikke være "snyd" med beder dig om det. Med hensyn til dine tjenester Spørgsmål: Jeg har ikke undersøgt det fuldt ud endnu, eller nøje kigget på de data, jeg har planer om at gøre noget lignende med min egen HJT log som jeg gjorde med min proces log, der sammenligner 023 liste med det faktiske tjenesteydelser listen, men på stående fod ............ Den lille jeg har læst og været i stand til at forstå om tjenesteydelser ville føre mig til at tro, at din liste er kort, fordi det kun viser de åbne tjenester, ikke den verserende dem, eller ......... crap, jeg har glemt de to andre klasser af sevices lol, hvorfor jeg skal gøre mere forskning. Anyways, hvis jeg er på rette vej med det, så lad mig det vide. tak. Jeg sætter pris på at du tager dig tid og udfordrende mig at være sikker på, hvad jeg læring inden jeg nedløbsrør det off. Jeg tror ikke, at der er stadig sådan noget som "alt for meget undervisning" eller "for meget at lære". Heck, der er så meget viden om, at det er umuligt at nogensinde begynder at lære det hele. |
|
#16
10 November 2008, 14:32
| |||
| |||
| HJT log Du får der. Har du læst tutorial på BC? Den nævner whitelister - At kunne hjælpe en smule. Som jeg sagde før, jeg ikke vil besvare specifikke spørgsmål, såsom foranstaltninger vedrørende Winlogon, fordi dine vejledere på MU vil beskæftige sig med sådan noget på deres egen måde. De af os, der deltager i undervisning har alle vores egne metoder og "hvordan" og det ville ikke være det rigtige for mig at forsøge at foregribe stil med en andens. En proces er bare software kører på en pc. Nogle tjenester er processer såvel, der begynder, når pc'en støvler - med andre ord ingen bruger interaktion er nødvendig for at starte dem. Enhver idé, hvorfor du havde mere end én Svchost service vises? |
|
#17
10 November 2008, 20:55
| |||
| |||
| HJT log Jeg har læst, at tutorial siden jeg startede lol, og næsten forstå omkring en 1 / 4 af det (det er knyttet som en af de første ting, de vil have os til at læse). Jeg må have glemt det hvide lister, men jeg vil gå tilbage og tjekke specifikt til dette. Med hensyn til folk på Malware U besvare de spørgsmål, jeg stillede til Dem, at de ikke har. Jeg har haft en tråd indsendt der i næsten to dage uden en eneste svar. Jeg er blevet set 40 gange, så jeg knpow det er set, men ingen svar. Det er langsomt synker ned gennem listen og vil blive for evigt begravet i ubemærkethed, ubesvarede jeg bange for, ved slutningen af i morgen eller tidligt onsdag. Der er så mange tilfælde af Svchost for redundans og pålidelighed (det hele abut at fjerne så mange. Exe og gøre dem til. Dll's ECT ....). Det er nok det eneste, jeg vidste, før jeg startede dette kursus, men som sædvanlig ikke forstod det helt og ikke vidste, hvordan man kan fortælle, hvad Svchost var servicering hvad. Jeg har lige fundet dog en stor tutorial om på howtogeek.com som viser hvordan man kommer til kommandolinjen. LOL Jeg har lige kigget igen, og det detaljer, hvordan du kommer til og brug Process Explorer. Jeg har bedt om, at derovre også. Her er det link, det ser flot ud til mig. Jeg t viser, hvordan det kan gøres i både XP og Vista. Jeg har brug for at gå læse, at nu, og følg alle links fra den. http://www.howtogeek.com/howto/windo...is-it-running/ |
|
#18
12 November 2008, 12:57
| |||
| |||
| HJT log Hej igen Det er en ganske god forklaring på Svchost. Måske vil du også bruge noget lignende Process Explorer at se på hvilke dll filer er ved at blive indlæst på dit eget system. Det kan være ganske afslørende. Check også Autoruns. Igen, jeg ønsker ikke at foregribe noget, der kan komme din vej fra MU, men jeg tror, de kan også gå til din at gøre nogle forskning og i det mindste have en går på at besvare dine spørgsmål (det er den måde, jeg ville arbejde ...). Hvis du virkelig sidder fast efter et svar, post tilbage her og enten selv eller EF vil gøre vores bedste for at give et svar. |
