[Glaswegian]

Μην ανησυχείτε.

Πολύ κοντά - HJT είναι ουσιαστικά μια Registry Editor. Όπως είπατε, θα σαρώνει το μητρώο και παράγει ένα αρχείο καταγραφής των αποτελεσμάτων της. Θα έχει πολλές άλλες λειτουργίες και - να λάβει κάποια στιγμή και να τις γνωρίζουμε.

Εδώ είναι το μέρος ενός Υπηρεσίες συνδεθείτε από τον υπολογιστή μου:

Logfile του Trend Micro HijackThis v2.0.2
Scan είναι αποθηκευμένα σε 21:49:17, στις 07/11/2008
Πλατφόρμα: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Διαδικασίες λειτουργίας:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ Mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ Svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ τόμος Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ Msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers και Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ KEYNOTE \ keynote.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Κάνω ότι 52 διεργασίες. Μου λέει ο Task Manager 81 διεργασίες.

Ρίξτε μια ματιά στις διεργασίες που αναφέρονται στο ημερολόγιο σας και αυτά που αναφέρονται στο Task Manager σας και πείτε μου τι είναι διαφορετικό.

[Glaswegian]

Εννοούσα να προσθέσετε αυτό - αυτό είναι το κάτω τμήμα του ημερολογίου μου

O23 - Service: διαθέσιμους χιλιομετρικούς τόνους Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER συν - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 φύλακα (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Client V1.01 + fah.exe - Άγνωστος ιδιοκτήτη - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (αρχείο που λείπουν)
O23 - Service: InstallDriver Πίνακας Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Δωρεάν Υπηρεσία (SnoopFreeSvc) - Unknown owner - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Manager Extended Mount (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Υπηρεσία - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Δεν υπάρχουν πολλές υπηρεσίες, υπάρχουν; Μπορεί να σου φαίνεται ένας λόγος για τον οποίο τόσο λίγες υπηρεσίες που πράγματι φαίνεται;

[Bubba]

Το πρώτο ερώτημα είναι εύκολη. Η HJT log δεν εμφανίζει καμία από τις διαδικασίες του συστήματος μου. Αυτό που δεν ξέρω το λόγο. Έχω την επιδίωξη του σε Malware U, επίσης, και οι δύο απαντήσεις, αλλά κανένας δεν ήταν οριστική. Ο ένας είναι ότι ίσως HJT δεν έχουν ρυθμιστεί για Vista64, άλλο λέει αυτό είναι φυσιολογικό για κάθε Vista HJT log. Μια άλλη τόνισε ότι όλα μου τα 023 (υπηρεσία) καταχωρήσεις δεν εμφανίζονται σωστά το οποίο μας φέρνει πίσω είτε σε ασυμβατότητα με Vista64 ή Vista στο σύνολό της. Δεν έχω UAC ενεργοποιημένο, καλό, δεν έχω κανένα από τα κράτη μέλη της ασφάλειας stuff ενεργοποιημένη.

Ως προς το γιατί yoou έχουν 81 διαδικασίες λειτουργίας και HJT δείχνει μόνο το 52, δεν ξέρω. Έχω ένα HJT συνδεθείτε για αυτό τον υπολογιστή (έκανα την πρώτη μου PL00a με αυτήν), και θα το συγκρίνει αυτό που φαίνεται στο HJT συνδεθείτε με αυτό που δείχνει στο έργο του διαχειριστή και να έρθουμε σε επαφή μαζί σας. Θα εξετάσει επίσης τις υπηρεσίες και να δούμε τι μπορώ να το καταλάβω

Σημείωση: Όπως σας τύπο αυτό, είμαι χρησιμοποιώντας παλιά μου μηχανή που είναι μια μηχανή Vista.

[Glaswegian]

Μπορείτε να βρείτε ένα φροντιστήριο για να HJT κάποια βοήθεια - είναι κάτι που συμβουλεύει τους ασκούμενους να διαβάσετε πρώτα ούτως ή άλλως.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Διόρθωση πρώτη μετά από πάνω μου. Το παλιό μηχάνημα (πράγμα που κάνω αυτό για πολύ lol), είναι μια μηχανή XP δεν είναι Vista μηχάνημα. Διαδικασίες λόγω revisted από το μηχάνημα XP:

I reran HJT αντιγραφή και στη συνέχεια το τμήμα της διαδικασίας immedially άνοιξαν Task Manager και σύγκριση των αριθμών. Είχα 50 διαδικασίες επί HJT και 58 για την αποστολή του διαχειριστή. I δακτυλογραφηθεί το καθήκον του διαχειριστή κατάλογο σε ένα σημειωματάριο έγγραφο και στη συνέχεια πέρασε από το HJT λίστα. Θα διαγραφούν από τη Διαχείριση εργασιών λίστα που δείχνει τα πάντα για το HJT κατάλογο για να δείτε τι είχε απομείνει. Δύο ερωτήσεις πριν πάω περαιτέρω:

1). Υπάρχει τρόπος να λάβετε την διαδικασία κατάλογο από τη Διαχείριση εργασιών αντί να κάνει αυτό που έκανα, δηλαδή: ανοίξετε ένα σημειωματάριο έγγρ και το χέρι του τύπου σε κάθε είσοδο;

2). Διαχείριση εργασιών μόνο δείχνει μια καταχώρηση όπως "Winlogon.exe" HJT ενώ δείχνει την πλήρη διαδρομή (διαδρομή είναι η σωστή έννοια;), όπως C: \ WINDOWS \ system32 \ Winlogon.exe. Δεδομένου ότι η διαδικασία που χρησιμοποίησα ως παράδειγμα, μπορεί να Winlogon.exe κακόβουλου λογισμικού (trojan νομίζω), αν δεν είναι από τη διαδρομή C: \ WINDOWS \ system32, θα ήταν καλό να γνωρίζουμε την πλήρη διαδρομή. Λοιπόν, πώς μπορώ να πάρω την πλήρη διαδρομή από το Windows Task Manager;

Επιστροφή στην μου διεργασίες, στην πραγματικότητα κατέληξε με 11 αριστερά στη λίστα μου, δεν 8. Μπορώ να σκεφτώ δύο λόγους για that.Off το 11, τρεις ήταν Svchost.exe 's. Εγώ να χαθεί μία διαγραφή, όταν από τη μία λίστα με τις άλλες. Μια διαδικασία που δείχνουν για το HJT λίστα HJT οποία φυσικά δεν ήταν ανοικτές όταν έκανα καθήκον του διαχειριστή έτσι δεν έδειξε μέχρι εκεί. Αυτό εξαλείφει 2. Από τα υπόλοιπα 9, 2 ήταν Notepad.exe 's που δεν ήταν ανοιχτή όταν έκανα το HJT, και τα δύο θα είναι οι άλλες δύο Svchost.exe' s. Έχω βρεθεί τίποτα δεν έχει ακόμη που λέει ό, τι εκείνες που ανοίγει, απλά ότι έχουν χρησιμοποιηθεί ευρέως από τα Windows. Από το υπόλοιπο 5 διεργασίες που δεν εμφανίζεται στην HJT δύο ήταν τα εξής:
Σύστημα:
σύστημα είναι μια διαδικασία που εμφανίζεται, για την αποστολή, κυρίως για τα Windows XP, Windows 2003 server και νεότερη έκδοση των Windows. Αυτό είναι ένα προεπιλεγμένο σύστημα αντιπαραγωγική και δεν μπορεί να αφαιρεθεί.

System Idle Process:
το σύστημα σε κατάσταση αδράνειας διαδικασία δεν είναι μια διαδικασία, περισσότερο ένας μετρητής που εμφανίζεται στο WinTasks χρησιμοποιείται για τη μέτρηση του πόσο χρόνο αδράνειας της CPU έχει κάθε στιγμή. Αυτή η αντιμετώπιση θα εμφανίσει πόσο CPU Πόρων, ως ποσοστό είναι «αδρανής» και διαθέσιμο για χρήση. Δεν μπορεί να σκοτωθεί.

Θεωρώ δεδομένο ότι αυτές οι δύο ανοίξει με καθήκοντα διαχειριστή και ως εκ τούτου δεν θα μπορούσε να έχει δει. Έτσι, απομένουν τρεις, δύο εκ των οποίων είμαι clueless με το γιατί δεν είχαν εμφανιστεί από HJT, ειδικά το ένα για Media player από το media player έχει κατά το παρελθόν αντικείμενο εκμετάλλευσης από κακόβουλα προγράμματα που δεν έχει; Αυτές είναι:

alg.exe:
Η alg.exe εκτελέσιμες επιτρέπει στις εφαρμογές (όπως Συνομιλίας πελάτες, RTSP, BitTorrent, SIP, και FTP) από έναν υπολογιστή-πελάτη να χρησιμοποιήσει δυναμικά παθητική TCP / UDP θύρες επικοινωνίας με γνωστά λιμάνια σε διακομιστή.

wmpnetwk.exe:
wmpnetwk.exe είναι το κύριο εκτελέσιμο για το Windows Media Player Network Sharing Service. Είναι χρησιμοποιείται για την μετοχή του Windows Media Player βιβλιοθήκες.
Taskmgr.exe

Το υπόλοιπο της διαδικασίας είναι:

Csrss.exe:
Η Microsoft Client Server Runtime Server υποσυστήματος Csrss.exe χρησιμοποιεί τη διαδικασία για τη διαχείριση της πλειοψηφίας των γραφικών διδασκαλίας θέτει υπό το λειτουργικό σύστημα Microsoft Windows. Csrss.exe ελέγχων τα σπειρώματα και κονσόλα Win32 παράθυρο χαρακτηριστικά. Threading είναι όταν η ίδια η αίτηση χωρίζεται σε ταυτόχρονη λειτουργία πολλαπλών καθηκόντων.

Αν και δεν είμαι απόλυτα σίγουρος, νομίζω ότι αυτό θα μπορούσε να έχει ανοίξει μετά I διήρκεσε HJT όταν άνοιξε πολλές εμφανίσεις του notepad να γράψω και να συγκρίνει τα δεδομένα. Κάθε κριτικές σκέψεις ή έχετε σχετικά με αυτό που μόλις έγραψα θα εκτιμηθεί. Έχω τελειώσει την πρώτη μου excercise, (και εάν είχε critiqued από εκπαιδευτή), κατά Malware U, οπότε αυτό είναι κάτι επιπλέον για τη δική μου επιθυμία να μάθετε περισσότερα, καθώς και καλύτερη κατανόηση των διαδικασιών, και, ως εκ τούτου δεν θα είναι «απάτη» με ζητώντας σας σχετικά με αυτό.

Όσον αφορά τις υπηρεσίες σας ερώτηση: Έχω την έρευνά τους δεν έχει ακόμη πλήρως και δεν εξέτασε προσεκτικά τα δεδομένα, που σκοπεύω να κάνω κάτι παρόμοιο με το δικό μου ημερολόγιο HJT όπως έκανα με τη διαδικασία μου ημερολόγιο, τη σύγκριση της λίστας με τις 023 υπάρχουν πραγματικές υπηρεσίες καταλόγου, αλλά από την σφαλιάρα ............

Η μικρή έχω διαβάσει και ήταν σε θέση να γνωρίζουμε για τις υπηρεσίες θα με κάνουν να πιστεύω ότι η λίστα σας είναι μικρή, διότι είναι το μόνο που δείχνει ανοικτή υπηρεσίες, δεν τις εκκρεμείς αυτές, ή την ......... χάλια, θα ξεχάσω τις άλλες δύο κατηγορίες Sevices lol, γι 'αυτό πρέπει να κάνουμε περισσότερη έρευνα. Tελoσπάvτωv, αν είμαι στο σωστό δρόμο με αυτό, επιτρέψτε μου να το γνωρίζω.

ευχαριστώ. Εκτιμώ το χρόνο σας και την προκλητική μου, ώστε να είναι βέβαιος για το τι είμαι εγώ εκχύνω μάθησης πριν από το διακόπτη. Δεν πιστεύω ότι υπάρχει ποτέ κάτι τέτοιο ως "πάρα πολύ διδασκαλία" ή "πολύ μάθηση". Heck, υπάρχει τόσο πολύ η γνώση ότι είναι αδύνατο να αρχίσουν να μαθαίνουν ποτέ όλα.

[Glaswegian]

Μπορείτε να είστε εκεί. Διάβασες το φροντιστήριο στη π.Χ.; Αναφέρει λευκές λίστες - Ότι μπορεί να βοηθήσει λίγο.

Όπως είπα και πριν, είμαι δεν πρόκειται να απαντήσει σε συγκεκριμένες ερωτήσεις, όπως αυτές που αφορούν Winlogon, γιατί σας σε καθηγητές MU θα ασχολείται με τέτοια πράγματα με τον δικό τους τρόπο. Όσοι από εμάς ασχολούνται με τη διδασκαλία όλων έχουν τις δικές μας μεθόδους και "μέσα" και δεν θα ήταν σωστό εκ μέρους μου να προσπαθήσω και να προκαταλάβει το στυλ του κάποιος άλλος.

Η διαδικασία είναι μόνο το λογισμικό που εκτελείται σε έναν υπολογιστή. Ορισμένες υπηρεσίες και διαδικασίες, που αρχίζει όταν το PC μπότες - με άλλα λόγια, η αλληλεπίδραση του χρήστη δεν είναι αναγκαία για την έναρξη τους.

Κάθε ιδέα γιατί είχε περισσότερες από μία υπηρεσία που δείχνει Svchost;

[Bubba]

Έχω ανάγνωση εκμάθηση ότι από τότε που άρχισα lol, και σχεδόν το καταλάβουν περίπου το 1 / 4 της (που συνδέεται με ένα από τα πρώτα πράγματα που θέλουν να διαβάσουν). Θα πρέπει να έχουν χάσει το λευκό τους καταλόγους, αλλά θα πάμε πίσω και να ελέγχουν ειδικά για αυτό.

Όσον αφορά στα παιδιά Malware U απαντώντας στις ερωτήσεις που θέτει σε σας, δεν το έχουν. Έχω είχε μια κλωστή δημοσιεύτηκε εκεί για περίπου δύο ημέρες, χωρίς μια ενιαία απάντηση. Θα έχει προβληθεί 40 φορές, γι 'αυτό είναι knpow έχουν δει, αλλά δεν απαντά. Είναι αργά βυθίζεται κάτω στη λίστα και θα είναι για πάντα θαμμένο σε αφάνεια, αναπάντητα Φοβούμαι, από αργά ή νωρίς αύριο, Τετάρτη.

Υπάρχουν τόσα πολλά για τις εμφανίσεις του Svchost απολύσεων και της αξιοπιστίας (το όλο θέμα συνορεύω λαμβάνοντας μακριά τόσα πολλά. Exe του και τη μετατροπή τους σε. Dll της ect ....). Αυτό είναι ίσως το μόνο πράγμα που ήξερα πριν αρχίσει αυτή η πορεία, αλλά ως συνήθως, δεν καταλαβαίνω απόλυτα και δεν γνωρίζουν πώς να πει τι ήταν Svchost εξυπηρέτηση τι. Μόλις βρεθεί όμως μια μεγάλη φροντιστήριο γι 'αυτό για howtogeek.com που δείχνει πώς να πάρει στη γραμμή εντολών. LOL Μόλις εξεταστεί και πάλι και λεπτομέρειες πώς να αποκτήσετε και να χρησιμοποιήσετε το Process Explorer. Έχω ζητήσει γι 'αυτό εκεί επίσης. Εδώ ο δεσμός, φαίνεται μεγάλη για μένα. T I δείχνει πώς να το κάνουμε και στα δύο XP και Vista. Πρέπει να πάω τώρα και διαβάστε ότι ακολουθεί όλες τις συνδέσεις από αυτό.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Γεια σας και πάλι

Αυτό είναι μια πολύ καλή εξήγηση του Svchost. Ακόμα μπορείτε να χρησιμοποιήσετε κάτι σαν Process Explorer να εξετάσει τα αρχεία DLL που είναι φορτωμένα στο δικό σας σύστημα. Μπορεί να είναι αρκετά αποκαλυπτική. Επίσης ελέγξτε έξω Autoruns.

Και πάλι, δεν θέλω να προκαταλάβει οτιδήποτε που μπορεί να προέρχονται από το δρόμο σας MU, αλλά υποψιάζομαι ότι μπορεί επίσης να ψάχνει για σας να κάνετε κάποια έρευνα και, τουλάχιστον, έχουν προχωρήσει σε απαντήσω στις ερωτήσεις σας (αυτός είναι ο τρόπος που θα λειτουργήσει ...).

Εάν είστε πραγματικά κολλήσει για μια απάντηση, μετά και πάλι εδώ, είτε ο ίδιος ή EF θα προσπαθήσω το καλύτερο δυνατόν για να δώσει μια απάντηση.