[Glaswegian]

Keine Sorge.

Sehr nahe - HJT ist im Wesentlichen ein den Registrierungs-Editor. Wie Sie sagen, es scannt die Registry und fertigt ein Protokoll über seine Ergebnisse. Es hat einige andere Funktionen, wie auch - einige Zeit in Anspruch nehmen und kennen zu lernen, was sie sind.

Hier sind die Dienstleistungen ein Teil der Log von meinem PC:

Logfile von Trend Micro HijackThis V2.0.2
Scan gespeichert um 21:49:17 am 07/11/2008
Plattform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer V6.00 SP3 (6.00.2900.5512)
Boot-Modus: Normal

Laufenden Prozesse:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ Mdm.exe
E: \ Fäh \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Treiber und Software \ CoreTemp \ Core Temp.exe
E: \ Fäh \ fah6.exe.exe
E: \ Fäh \ mpiexec.exe
E: \ Fäh \ smpd.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ KeyNote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Dokumente und Einstellungen \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Ich, dass 52 Prozesse. Mein Task-Manager sagt 81 Prozesse.

Werfen Sie einen Blick auf die Prozesse in Ihre Log-und die, die in Ihrer Task-Manager und mir sagen, was anders.

[Glaswegian]

Ich meinte, um diese - das ist der untere Teil meiner Log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc. - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-Mail-Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service für CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: Fäh @ E: + + Program Files Folding @ Home Windows SMP Client V1.01 + fah.exe - Unbekannte Eigentümer - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (Datei fehlt)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programme \ Gemeinsame Dateien \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Unbekannte Eigentümer - E: \ Fäh \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Unbekannte Eigentümer - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Program Files \ VMware \ VMware Workstation \ vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Nicht viele Dienstleistungen gibt, gibt es? Können Sie sich ein Grund, warum so wenige tatsächlich erscheinen?

[Bubba]

Ihre erste Frage ist ganz einfach. Das HJT log ist nicht mit jedem meiner System verarbeitet. Was ich nicht weiß, ist der Grund, warum. Ich habe bei der Verfolgung dieses U Malware wie gut, und haben ein paar Antworten, aber keine endgültige wurden. Einer davon ist, dass vielleicht HJT ist nicht für Vista64, eine andere sagt, das ist normal für alle Vista HJT log. Ein weiterer wies darauf hin, dass alle meine 023 (Service)-Einträge wurden nicht ordnungsgemäß angezeigt, die bringt uns zurück auf eine Inkompatibilität zu Vista64 oder Vista als Ganzes. Ich habe keine UAC eingeschaltet, Heck, ich habe keine der MS Sachen Sicherheit eingeschaltet.

Wie, warum yoou haben 81 Prozesse und HJT zeigt nur 52, ich weiß es nicht. Ich habe ein HJT-Protokoll für diesen Computer (ich habe meine erste PL00a mit ihm), und ich werde zeigen, vergleichen, was auf der HJT-Log mit dem, was zeigt im Task-Manager und wieder zu Ihnen. Ich werde auch auf die Dienste und sehen, was kann ich herausfinden,

Hinweis: Da ich diese Art, ich bin mit meiner alten Maschine, die ist ein Vista-Rechner.

[Glaswegian]

Vielleicht finden Sie eine Anleitung, HJT zu Hilfe - es ist etwas, was ich zu beraten Auszubildende zunächst ohnehin.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Korrektur von meinem ersten Beitrag oben. Meine alte Maschine (was ich bin dabei auf ein zu lol), ist ein XP-Rechner keine Vista-Rechner. Prozesse revisted Frage aus dem XP-Rechner:

Ich reran HJT und kopiert der Prozess Teil dann immedially eröffnet den Task-Manager und Vergleich der Zahlen. Ich habe 50 Prozesse auf HJT und 58 über den Task-Manager. Ich tippte den Task-Manager-Liste auf einen Notizblock doc und dann ging durch die HJT Liste. Ich aus der Liste Task-Manager alles, was zeigt, auf der HJT Liste zu sehen, was links. Zwei Fragen, bevor ich noch weiter gehen:

1). Gibt es eine Möglichkeit, um die Prozess-Liste mit dem Task-Manager, anstatt zu tun, was ich habe, IE: Öffnen Sie ein Notizblock und manuell doc Geben Sie jeden Eintrag in?

2). Task-Manager zeigt nur einen Eintrag wie "Winlogon.exe", während HJT zeigt den vollständigen Pfad (Weg ist der richtige Ausdruck?) Wie zum Beispiel C: \ WINDOWS \ system32 \ winlogon.exe. Da der Prozess habe ich als Beispiel, winlogon.exe kann Malware (Trojaner glaube ich), wenn sie nicht von dem Pfad C: \ WINDOWS \ system32 ein, es wäre schön zu wissen, den vollständigen Pfad. Wie bekomme ich den vollständigen Pfad von Windows Task-Manager?

Zurück zu meiner Prozesse, ich eigentlich am Ende mit 11 nach links auf meiner Liste, nicht 8. Ich kann mir zwei Gründe für that.Off der 11, drei wurden svchost.exe 's. Ich möglicherweise verpasst ein beim Löschen aus einer Liste auf der anderen Seite. Ein Prozess mit auf der Liste wurde HJT HJT die natürlich nicht geöffnet, wenn ich den Task-Manager, damit es nicht angezeigt ist. Das macht 2. Von den verbleibenden 9, 2 wurden notepad.exe 's, die nicht geöffnet werden, wenn ich den HJT, und zwei werden die beiden anderen "Svchost.exe"' s. Ich habe noch nichts gefunden, die sagt, was auf diese, sondern nur, dass sie weit verbreitet sind, die von Windows. Von den restlichen 5 Verfahren nicht auf HJT zwei:
System:
System ist ein Prozess, der zeigt, auf die Aufgaben vor allem auf Windows XP, Windows 2003 Server und späteren Versionen von Windows. Dies ist ein Standard-System-Zähler und kann nicht entfernt werden.

System Idle-Prozess:
das System im Leerlauf ist kein Prozess, sondern ein Zähler, der in WinTasks verwendet für die Messung, wie viel Zeit die CPU im Leerlauf ist, die zu einer bestimmten Zeit. Dieser Zähler zeigt, wie viel CPU-Ressourcen, als Prozentsatz sind "inaktiv" und zur Nutzung bereit. Kann nicht getötet werden.

Ich gehe davon aus, dass diese beiden eröffnen mit den Task-Manager, und als solche wäre nicht gesehen. Bleibt drei, zwei, von denen ich bin ratlos, warum sie nicht von HJT, besonders die für die Media-Player Media Player, da hat in der Vergangenheit von Malware ausgenutzt hat sie nicht? Sie sind:

alg.exe:
Die ausführbare Datei alg.exe ermöglicht Anwendungen (wie z. B. IM-Clients, RTSP, BitTorrent, SIP-und FTP) von einem Client-Computer zu nutzen dynamisch passiven TCP / UDP-Ports in der Kommunikation mit bekannten Ports auf einem Server.

wmpnetwk.exe:
wmpnetwk.exe ist die ausführbare Datei für Windows Media Player Network Sharing Service. Es wird verwendet, um Windows Media Player-Bibliotheken.
taskmgr.exe

Die übrigen ist:

csrss.exe:
Der Microsoft-Client Server Runtime Server Subsystem verwendet der Prozess csrss.exe für die Verwaltung von der Mehrheit der grafischen Anweisung setzt im Rahmen der Microsoft Windows-Betriebssystem. Csrss.exe Kontrollen Threading und Win32-Konsole Fenster Eigenschaften. Threading ist, in dem der Antrag teilt sich in mehrere Tasks gleichzeitig laufen.

Während ich bin nicht ganz sicher, ich denke, das könnte geöffnet haben, nachdem ich lief HJT geöffnet, wenn ich mehrere Instanzen von Notepad zu schreiben und Daten zu vergleichen. Jede Meinung oder Kritik haben Sie auf, was ich gerade schrieb wären wir jedoch dankbar. Ich habe meine erste Übung beendet, (und hatte es Kritik von einem Lehrer), bei Malware U, so ist dies etwas ganz Besonderes für meine eigenen Wunsch, um mehr zu erfahren, und die Prozesse besser zu verstehen, und so werde ich nicht "Betrug" durch Sie fordern darüber.

In Bezug auf Ihre Dienste Frage: Ich habe nicht recherchiert sie noch voll, noch sorgfältig geprüft auf die Daten, ich plane, etwas zu tun wie mit meinen eigenen HJT Log wie ich mit meinen Prozess der Registrierung, den Vergleich der 023-Liste mit konkreten Dienstleistungen Liste gibt, aber aus dem Stand ............

Die kleine habe ich gelesen und in der Lage zu verstehen, über Dienstleistungen würde mir zu glauben, dass Ihre Liste kurz ist, weil es nur mit der offenen, nicht die Erwartung zu, oder die ......... Mist, ich vergessen, die anderen zwei Klassen von Dienstleistungen lol, das ist der Grund, warum ich, mehr zu tun Forschung. Wie auch immer, wenn ich auf dem richtigen Weg mit, dass, let me know.

Danke. Ich schätze Sie sich die Zeit nehmen, mich und eine Herausforderung, um sicherzustellen, dass von dem, was ich lernen, bevor ich es Wasserhahn aus. Ich glaube nicht, dass es jemals so etwas wie "zu viel Unterricht" oder "zu viel lernen". Heck, es gibt so viel Wissen, dass es unmöglich ist, immer zu lernen, beginnen sie alle.

[Glaswegian]

Du bist der Weg dorthin. Haben Sie das Tutorial auf BC? Er erwähnt Whitelists - Das könnte ein bisschen helfen.

Wie ich bereits sagte, bin ich nicht zu beantworten spezifische Fragen, wie z. B. die Winlogon, weil Ihre Tutoren auf MU wird sich mit Sachen wie, dass in ihren eigenen Weg. Diejenigen von uns, die in der Lehre alle haben unsere eigenen Methoden und "Möglichkeiten" und es wäre nicht das richtige für mich, um zu versuchen, vorzugreifen Stil von jemand anderem.

Ein Prozess ist nur Software, die auf einem PC. Einige Dienste sind Prozesse auch ab, wenn der PC bootet - mit anderen Worten, keine Interaktion des Benutzers erforderlich ist damit zu beginnen.

Jede Idee, warum Sie hatten mehr als eine svchost Service Anzeigen?

[Bubba]

Ich habe gelesen, dass Tutorial, da ich begann lol, und fast verstehen, über einen 1 / 4 (es ist als eines der ersten Dinge, die sie möchten, dass wir zu lesen). Ich muss verpasst haben, die weißen Listen, aber ich werde gehen Sie zurück und überprüfen Sie, dass speziell für die.

Was die Leute von Malware U Beantwortung der Fragen, die ich auch an Sie, haben sie nicht. Ich habe einen Thread dort für fast zwei Tage, ohne eine einzige Antwort. Ich wurde 40 mal angesehen, so dass ich knpow ist es gesehen, aber keine Antworten. Es ist langsam sinken die Liste und wird für immer begraben in Vergessenheit, unbeantwortet Ich fürchte, durch die frühen oder späten morgen Mittwoch.

Es gibt so viele Fälle von Svchost für Redundanz und Zuverlässigkeit (die ganze Sache abut nehmen so viele. Exe und sie in. Dll's etc. ....). Das ist wahrscheinlich das einzige, was ich wusste, bevor ich diesen Kurs, aber wie üblich, nicht verstehen, es vollständig und nicht wissen, wie zu sagen, was Svchost Service, was war. Ich habe gerade festgestellt, jedoch ein großes Tutorial darüber auf howtogeek.com, die zeigt, wie man auf der Kommandozeile. LOL Ich sah wieder und es wird beschrieben, wie Sie sich zu und die Nutzung Process Explorer. Ich habe gefragt, dass dort auch. Hier ist der Link, es sieht gut aus für mich. T I zeigt, wie man es in XP und Vista. Ich muss jetzt gehen Sie lesen, dass alle folgen und die Links von ihr.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Hi again

Das ist eine ziemlich gute Erklärung von svchost. Sie möchten vielleicht auch etwas wie Process Explorer , um die DLL-Dateien geladen werden auf Ihrem eigenen System. Es kann sehr aufschlussreich. Überprüfen Sie auch Automatisch.

Auch möchte ich nicht vorwegnehmen, was kann aus dem Weg von MU, aber ich vermute, sie kann auch suchen für Ihre zu tun, einige Forschungs-und mindestens einen gehen bei der Beantwortung Ihrer Fragen (das ist die Art, wie ich würde ...).

Wenn Sie setzte sich vehement für eine Antwort, nach hier zurück und entweder selbst oder EF werden versuchen unser Bestes, um eine Antwort.