[Glasgow]

Non preoccuparti.

Pretty close - HJT è essenzialmente un editor del Registro di sistema. Come si dice, ma la scansione del registro e produce un log dei risultati. Non sono molte altre funzioni, come pure - di prendere un po 'di tempo e di conoscere quello che sono.

Ecco i servizi da parte di un registro dal mio PC:

Logfile di Trend Micro HijackThis v2.0.2
Scan salvato in 21:49:17, a 07/11/2008
Piattaforma: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Processi in esecuzione:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ Mdm.exe
E: \ Fäh \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
E: \ Program Files \ Logitech \ setpoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ Msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Driver e Software \ CoreTemp \ Core Temp.exe
E: \ Fäh \ fah6.exe.exe
E: \ Fäh \ mpiexec.exe
E: \ Fäh \ smpd.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Fäh \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ KeyNote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Dati applicazioni \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Fare che il 52 processi. My Task Manager dice 81 processi.

Dai un'occhiata alla elencati i processi nel vostro log e quelli elencati nel Task Manager e mi dica cosa è diversa.

[Glasgow]

Ho voluto aggiungere questo - questa è la parte inferiore del mio log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc. - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service per CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: Fäh @ E: + + Program Files Folding @ Home LSP Windows Client V1.01 + fah.exe - Sconosciuto proprietario - E: \ Program Files \ Folding @ Home LSP Windows Client V1.01 \ fah.exe (file mancanti)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Sconosciuto proprietario - E: \ Fäh \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Sconosciuto proprietario - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Program Files \ VMware \ VMware Workstation \ vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Non molti servizi, ci sono? Potete pensare ad un motivo per cui così pochi servizi effettivamente apparire?

[Bubba]

La sua prima domanda è facile. Il HJT log non viene visualizzato uno dei miei processi di sistema. Che cosa non so il motivo per cui è. Sono stato a perseguire questo malware U come bene, e hanno avuto un paio di risposte, ma non sono stati definitivi. Uno di questi è che forse HJT non è configurato per Vista64, dice un altro questo è normale per qualsiasi Vista HJT log. Tuttavia, un altro ha sottolineato che tutti i miei 023 (servizio) le voci non sono state correttamente visualizzato che ci riporta ad una incompatibilità di Vista64 o Vista nel suo insieme. Non ho UAC acceso, diamine, non ho alcuna delle cose MS sicurezza acceso.

Per quanto riguarda il motivo per cui yoou hanno 81 processi in esecuzione e HJT mostra solo 52, non so. Ho un HJT log per questo computer (ho fatto il mio primo PL00a con esso), e confrontare ciò che mi sta mostrando il log HJT con ciò che viene visualizzato in Task Manager e tornare a voi. Farò anche a guardare i servizi e vedere quello che posso capire

Nota: Come ho questo tipo, io sto usando la mia vecchia macchina che è una macchina Vista.

[Glasgow]

Si potrebbe trovare un tutorial su HJT per essere di aiuto - è qualcosa che mi consiglia di leggere prima tirocinanti comunque.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Correzione prima da sopra il mio post. La mia vecchia macchina (che sto facendo questo uno troppo lol), è una macchina XP non Vista macchina. Processi questione revisted dalla macchina XP:

I reran HJT e copiato il processo parte poi immedially aperto Task Manager e rispetto i numeri. Ho avuto 50 processi su HJT e 58 su Task Manager. Ho digitato il Task Manager su un elenco notepad doc e poi attraverso il HJT lista. Ho eliminato dal Task Manager elenco mostrando tutto ciò che era sulla lista HJT per vedere cosa è stato lasciato. Due domande prima di andare oltre:

1). C'è un modo per ottenere la lista dei processi dal task manager, invece di fare ciò che ho fatto, IE: aprire un notepad doc e digitare manualmente ogni voce in?

2). Task Manager mostra solo una voce come "Winlogon.exe« mentre HJT mostra il percorso completo (percorso è il termine corretto?), Come ad esempio C: \ WINDOWS \ system32 \ winlogon.exe. Poiché il processo che ho usato come esempio, può essere winlogon.exe malware (trojan credo), se non è il percorso da C: \ WINDOWS \ system32, sarebbe bello sapere il percorso completo. Allora, come faccio ad avere il percorso completo da Windows Task Manager?

Torna ai miei processi, ho finito con 11 a sinistra sulla mia lista, e non 8. Non posso pensare a due ragioni per that.Off il 11, tre sono stati svchost.exe 's. Ho forse perso uno quando si eliminano da una lista all'altra. Un processo mostrando il HJT elenco è stato HJT che ovviamente non è stato quando ho aperto Task Manager in modo che non ha mostrato fino lì. Che elimina 2. Dei restanti 9, 2 sono stati notepad.exe 's che non sono stati aperti, quando ho fatto il HJT, e due sarebbero gli altri due Svchost.exe' s. Ho trovato ancora nulla di ciò che dice che si apre quelli, solo che essi sono ampiamente utilizzati da Windows. Dei restanti 5 processi non indicato HJT due sono stati i seguenti:
Sistema:
sistema è un processo che mostra fino sui compiti principalmente su Windows XP, Windows 2003 server e versione successiva di Windows. Si tratta di un contatore di default del sistema e non possono essere rimossi.

Processo di inattività del sistema:
il processo di inattività del sistema non è un processo, più un contatore che viene visualizzato in WinTasks utilizzato per misurare la quantità di tempo di inattività della CPU è avere in un determinato momento. Questo contatore per visualizzare la quantità di risorse della CPU, in percentuale sono 'inattivo' e disponibili per l'uso. Non può essere ucciso.

Ma penso che questi due si aprono con task manager e, come tale, non sarebbe stato visto. Che lascia tre, due dei quali sono clueless per spiegare perché non sono stati visualizzati da HJT, in particolare quello per il lettore multimediale Media Player, poiché in passato è stata sfruttata dal malware non ha? Essi sono:

alg.exe:
Il alg.exe eseguibile permette alle applicazioni (come il client di messaggistica istantanea, RTSP, BitTorrent, SIP, e FTP) da un computer client per utilizzare dinamicamente passiva TCP / UDP per comunicare con nota porti su un server.

wmpnetwk.exe:
wmpnetwk.exe è il principale eseguibile per Windows Media Player di condivisione delle reti di servizio. E 'utilizzata per condividere le librerie di Windows Media Player.
taskmgr.exe

Il restante processo è il seguente:

Csrss.exe:
Il Microsoft Client Server Runtime Server sottosistema Csrss.exe utilizza il processo per la gestione di gran parte del set di istruzioni grafiche sotto il sistema operativo Microsoft Windows. Csrss.exe controlli filettare finestra di console Win32 e caratteristiche. Threading è se la domanda si divide in esecuzione simultanea di più compiti.

Anche se io non sono del tutto sicuro, credo che questo potrebbe avere aperto dopo che ho eseguito HJT quando ho aperto più istanze di Blocco note per scrivere e confrontare i dati. Ogni pensiero o le critiche che hai in quanto ho appena scritto sarebbe apprezzato. Ho finito il mio esercita il primo, (e se fosse critiqued da un istruttore), a U malware, quindi questo è qualcosa in più per il mio desiderio di saperne di più, e capire meglio i processi, e come tale non sarò "barare" con in cui si chiede al riguardo.

Per quanto riguarda i servizi questione: non ho ancora studiato a fondo, né ha esaminato attentamente i dati, ho in programma di fare qualcosa di simile con i miei HJT log come ho fatto con il mio processo di log, confrontando la lista con 023 vi elenco effettivo dei servizi, ma fuori il bracciale ............

Il poco che ho potuto leggere e di capire sui servizi mi porterebbe a credere che l'elenco è breve, perché è solo mostrando i servizi aperti, non sono in attesa, o il ......... crap, ho dimenticato le altre due classi di servizi lol, che è il motivo per cui ho bisogno di fare di più nella ricerca. Anyways, se sono sulla strada giusta con quella, let me know.

grazie. Mi rendo conto che è il tempo e mi sfida per essere sicuri di ciò che sto imparando prima becco via. Non credo che ci sia sempre una cosa come "troppo insegnamento" o "troppo di apprendimento". Anzi, vi è tanto la conoscenza che è impossibile iniziare mai di imparare tutto.

[Glasgow]

Stai sempre lì. Hai letto il tutorial su aC? Si parla di whitelist - Che potrebbero essere di aiuto un po '.

Come ho detto prima, non mi va di rispondere a domande specifiche, quali quelle riguardanti Winlogon, perché il suo tutor a MU si occuperà di come le cose che a loro modo. Quelli di noi coinvolti nella didattica hanno tutti i nostri metodi e le "modalità" e non sarebbe giusto per me per cercare di anticipare lo stile di qualcun altro.

Un processo è solo software che gira su un PC. Alcuni servizi sono i processi e, a partire, quando il PC stivali - in altre parole, non è necessaria l'interazione dell'utente per avviare la loro.

Qualsiasi idea del perché si ha più di un servizio svchost mostrando?

[Bubba]

Ho letto che da quando ho iniziato tutorial lol, e quasi comprendere circa un 1 / 4 di esso (essa è legata, come una delle prime cose che ci vuole per leggere). Devo aver perso la liste bianche, ma mi torna indietro e verificare in particolare per questo.

Quanto alla gente di malware U rispondere alle domande che ho posto a voi, non hanno. Ho avuto un thread inviato lì per quasi due giorni senza una sola risposta. Mi è stata visualizzata 40 volte, così ho knpow è stato visto, ma nessuna risposta. Si sta lentamente sprofondando verso il basso l'elenco e sarà sepolto per sempre in oscurità, senza temo, alla fine o all'inizio di domani Mercoledì.

Ci sono tanti casi di Svchost per la ridondanza e affidabilità (il tutto abut togliere tanti. Exe e trasformandoli in. Dll's ecc ....). Questo è probabilmente l'unica cosa che ho conosciuto prima che ho iniziato questo corso, ma come al solito, non capisco completamente e non sapeva come dire ciò che Svchost è stato quello di manutenzione. Ho appena trovato però una grande lezione al riguardo su howtogeek.com che mostra come ottenere la riga di comando. LOL ho appena guardato di nuovo e dettagli su come ottenere e utilizzare Process Explorer. Ho chiesto su che laggiù oltre. Ecco il link, sembra grande per me. I t mostra come fare in entrambi i XP e Vista. Ho bisogno di andare a letto che adesso e seguire tutti i collegamenti da essa.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glasgow]

Ciao di nuovo

That's a pretty good spiegazione di svchost. Si potrebbe anche voler usare qualcosa di simile Process Explorer guardare file dll che vengono caricati sul proprio sistema. Può essere molto rivelatrici. Anche check out Autoruns.

Ancora una volta, non voglio anticipare nulla, che possono essere la strada proveniente da MU, ma ho il sospetto che può essere anche cercando di fare la vostra ricerca e almeno avere un andare a rispondere alle vostre domande (questo è il mio modo di di lavorare ...).

Se siete veramente bloccato per una risposta, dopo di nuovo qui e sia io o EF proverà il nostro meglio per fornire una risposta.