[Glaswegian]

Neraizējieties.

Diezgan tuvu - HJT būtībā Registry Editor. Kā jūs sakāt, tas skenē reģistru un veido reģistru par tās rezultātiem. Tai ir vairākas citas funkcijas, kā arī - ņem kādu laiku un iepazīt kādi tie ir.

Lūk pakalpojumus, kas ietilpst log no mana PC:

Logfile of Trend Micro HijackThis v2.0.2
Scan saglabāts 21:49:17, uz 07/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running procesiem:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ Windows \ Explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers un Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Keynote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Es veicu ka 52 procesi. Mans Task Manager saka 81 procesi.

Vai apskatīt procesi, kas uzskaitīti jūsu žurnālā un tiem, kuri iekļauti Jūsu Task Manager un pastāstīt man to, kas ir atšķirīgs.

[Glaswegian]

Es gribēju pievienot šo - tas ir apakšējā daļa manu log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative dienests CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Client V1.01 + fah.exe - Unknown īpašnieks - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (fails missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Unknown īpašnieks - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Unknown īpašnieks - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT serviss - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Interneta Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Nav daudz pakalpojumus, ir tur? Vai tu domā par iemeslu, kāpēc tik maz pakalpojumu faktiski parādīties?

[Bubba]

Savu pirmo jautājumu ir vienkārša. HJT žurnālu nerāda nevienu no manas sistēmas procesiem. Ko es nezinu, ir iemesls, kāpēc. Man ir bijusi konsekventa pie Malware U kā labi, un bija dažas atbildes, bet neviena nav galīgs. Viens ir, ka varbūt HJT nav konfigurēta Vista64, cits saka, ka tas ir normāli jebkuram Vista HJT log. Vēl viens norādīja, ka visa mana 023 (dienesta) ieraksti netika pienācīgi parādīts, kas ved mūs atpakaļ vai nu nesaderība ar Vista64 vai Vista, kā kopumā. Man nav UAC ieslēgts, heck, man nav neviena no MS drošības stuff ieslēgts.

Par to, kāpēc yoou ir 81 procesi darbojas un HJT rāda tikai 52, es nezinu. Man ir HJT žurnāls ar šo datoru (I bija mana pirmā PL00a ar to), un es salīdzināt, kas ir rādīta HJT žurnālu ar to, kas ir IP uzdevumu menedžeris un get back to you. Es arī apskatīt pakalpojumus un redzēt, ko es varu izrēķināt

Piezīme: Kā jau tipa, es esmu izmanto manu veco mašīnu, kas ir Vista mašīna.

[Glaswegian]

Jūs varētu atrast pamācību par HJT ir zināmā mērā palīdzēt - tas ir kaut kas man ieteikt praktikanti izlasīt pirmo anyway.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Korekcijas pirmā no mana iepriekš post. Mana vecā mašīna (ko es esmu darot vienu pārāk lol), ir XP mašīna nav Vista mašīna. Procesi jautājumu revisted no XP mašīna:

Es reran HJT un kopēt procesa daļu, tad immedially atvērt Task Manager, un, salīdzinot numurus. Man bija 50 procesiem HJT un 58 par darbu vadītāju. I typed Task Manager sarakstu uz notepad doc un tad izgāja caur HJT sarakstā. Es izdzēsu no Task Manager sarakstu visu, kas tika rādīta HJT sarakstu, lai redzētu, kas bija atlicis. Diviem jautājumiem, pirms es dodos tālāk:

1). Vai ir veids, kā iegūt procesu sarakstu no Task Manager, nevis darīt to, ko es darīju, IE: atver notepad doc un manuāli tips katru ierakstu?

2). Task manager tikai parāda ierakstu, piemēram, "Winlogon.exe", kamēr HJT parāda pilnu ceļu (ir ceļš pareizais termins?), Piemēram, C: \ WINDOWS \ system32 \ winlogon.exe. Tā kā process I izmantoti kā, piemēram, winlogon.exe var malware (Trojas es domāju), ja tas nav no ceļa C: \ WINDOWS \ system32, būtu jauki uzzināt pilnu ceļu. Tātad, kā es varu iegūt pilnu ceļu no Windows Task Manager?

Atpakaļ uz manu procesiem, es tiešām beidzās ar 11 kreisā manā sarakstā, nevis 8. Es domāju, ka divu iemeslu that.Off 11, trīs bija svchost.exe 's. Es, iespējams, izlaidis vienu, dzēšot no viena saraksta uz citu. Vienā procesā, norādot uz HJT saraksts tika HJT kas, protams, nevarēja, kad es to uzdevumu menedžeris, lai tā neliecināja tur. Kas novērš 2. No atlikušajām 9, 2 bija notepad.EXE 's, kas nav atvērtas, kad es tomēr HJT un divas tiks abiem pārējiem svchost.exe' s. Atradu nekas vēl kas stāsta, kas atver tos, tikai, ka tos plaši izmanto Windows. Un atlikušos 5 procesus, kas nav norādītas divas HJT bija:
Sistēma:
sistēma ir process, kas parādās uz pārsvarā par Windows XP, Windows 2003 server and later version of Windows uzdevumus. Šis ir noklusējuma sistēma pret, un to nevar noņemt.

System Idle Process:
sistēmas idle process nav process, vairāk counter kurā tiek parādīta WinTasks izmanto, lai mērītu, cik daudz dīkstāves laika CPU ir kam kādā konkrētā laikā. Šajā counter rādīs, cik daudz CPU resursus, kā procentuāli ir "brīvgaitā" un pieejams lietošanai. Nevar tikt nogalināti.

Es esmu pieņemot, ka šie divi atvērt ar Task Manager, un tādējādi tās nav novērotas. Tas atstāj trīs, divi no kuriem es esmu clueless, kāpēc tie nav uzrādījis HJT, jo īpaši viena Multivides atskaņotājs kopš media player ir kas agrāk ir jāizmanto pēc malware vai tā ir vai ne? Tās ir:

alg.exe:
Alg.exe izpild ļauj lietojumprogrammām (piemēram, IM klientu, rtsp, BitTorrent, SIP un FTP) no klienta datora uz dinamiski izmantot pasīvas TCP / UDP ports, sazinoties ar zināmu ostām uz servera.

wmpnetwk.exe:
wmpnetwk.exe ir galvenais izpildāmā Windows Media Player Network Sharing Service. To lieto, lai apmainītos ar Windows Media Player bibliotēku.
taskmgr.exe

Pārējās process ir šāds:

csrss.exe:
Microsoft Client Server Runtime Server apakšsistēma s izmanto process csrss.exe pārvaldības lielākā daļa grafisko instrukciju nosaka saskaņā ar Microsoft Windows operētājsistēmu. Csrss.exe kontroles vītņu un Win32 console loga funkcijas. Threading ir tad, ja pieteikuma izirst sevi vairākas vienlaicīgas darbības uzdevumus.

Lai gan es neesmu pilnīgi pārliecināts, es domāju, ka tas varētu būt, kas sāktas pēc I ilga HJT kad atklāja vairākus gadījumus notepad pierakstīt un salīdzināt datus. Jebkurš domas vai kritiku esat par to, ko es tikko wrote būtu appreciated. Esmu pabeidzis savu pirmo realizēšanai, (un ja tā kritizēja ko instruktors) pēc Malware U, lai tas ir kaut piemaksāt par savu vēlmi mācīties vairāk un labāk izprast procesus, un tādējādi man nebūs "ekonomisko noziegumu" ar jautā par to.

Attiecībā uz jūsu pakalpojumus jautājums: Man nav izpētītas pilnībā vēl ne uzmanīgi datus, es plānoju darīt kaut ko līdzīgu ar savu HJT žurnālā, kā man bija ar manu process log, salīdzinot 023 sarakstu ar tur faktisko pakalpojumu saraksts, bet pie aproci ............

Maz esmu izlasījis un varēja saprast par pakalpojumiem radītu man domāt, ka saraksts ir īss, jo tā ir tikai parāda atvērta pakalpojumu, ne līdz tiem, vai ......... crap, es aizmirst pārējo divu kategoriju sevices lol, tāpēc man jāveic vairāk pētījumu. Anyways, ja es esmu uz pareizā ceļa, ka, let me know.

pateicība. I appreciate Jūs lietojat laiku un izaicinājums man, lai pārliecinātos par to, kas es esmu mācīšanās pirms es snīpis it off. Es nedomāju, ka ir vēl tāda lieta kā "pārāk daudz mācības" vai "pārāk daudz learning". Heck, ir tik daudz zināšanu, ka ir iespējams vienmēr sāk mācīties visu.

[Glaswegian]

You're Getting there. Vai Jūs lasāt apmācība pie BC? Tajā minēts, baltie saraksti - Ka var palīdzēt mazliet.

Kā jau es teicu, es netaisos atbildēt uz īpašiem jautājumiem, piemēram, par Winlogon, jo jūsu repetitori pie MU nodarbosies ar lietām, piemēram, ka pēc saviem ieskatiem. Tie no mums iesaistīti mācību procesā visi ir mūsu pašu metodēm un "iespējas", un tas nebūtu pareizi man mēģināt apsteigt stila kāds cits.

Process ir tikai programmatūra darbojas uz PC. Dažus pakalpojumus procesiem, kā arī, sākot kad PC zābaki - citiem vārdiem sakot, bez lietotāja mijiedarbība ir nepieciešama, lai sāktu tos.

Jebkurai idejai kāpēc jums bija vairāk nekā viens svchost pakalpojumu rādītas?

[Bubba]

Es esmu lasījis, ka apmācība kopš es sāku lol, un gandrīz saprast apmēram 1 / 4 no tās (tas ir saistīts kā viena no pirmajām lietām, ko tie vēlas, lai mēs read). Man ir izlaista baltie saraksti, bet es iešu atpakaļ un pārbaudiet, īpaši attiecībā uz to.

Attiecībā uz folks at Malware U atbildot uz jautājumiem, man rada jums tās nav. Man bija pavediens posted tur gandrīz divas dienas bez vienu atbildi. Man ir skatīts 40 reizes, tāpēc es knpow tas ir redzējis, bet nav atbildes. Tas lēnām grimst noteikts sarakstā, un uz visiem laikiem apglabāti vērā tumsa, neatbildēti Baidos, ka kavēšanās rīt vai agrā trešdienas.

Ir tik daudzi gadījumi SVCHost atlaišanas un drošums (viss robežot atņemot tik daudz. Exe's un pārvēršot tos. Dll's ect ....). Tas ir iespējams, vienīgais, es zināju, pirms sāku šo kursu, bet kā parasti, nebija saprast pilnībā un nezina, kā pateikt ko SVChost bija apkalpošanas ko. Es tikko konstatēts, tomēr liela pamācību par to howtogeek.com kas rāda, kā nokļūt līdz komandrindu. LOL Es vienkārši skatījās atkal un to detaļas, kā iegūt un izmantošanas procesu pētnieks. Man ir uzdots jautājums, ka tur arī. Šeit ir saite, tas izskatās lieliski mani. I t rāda, kā to darīt gan XP un Vista. Man vajag iet lasīt, ka tagad un ievērojiet visas saites no tā.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Hi again

Tas ir diezgan labs paskaidrojums par svchost. Jūs arī varētu vēlēties izmantot kaut ko līdzīgu Process Explorer izpētīt, kādā dll faili tiek ielādēts jūsu pašu sistēmā. Tas var būt diezgan atklāt. Arī izbraukšana Autoruns.

Atkal, es negribu aizsteigties jebko, kas varētu būt nāk savu ceļu no MU, bet man ir aizdomas, tās var arī meklē jūsu darīt kādu pētījumu un vismaz ir aiziet atbildētu uz jūsu jautājumiem (tas ir, kā es darbotos ...).

Ja Jums ir patiešām iestrēdzis uz atbildi, nosūtīt atpakaļ šeit un vai nu pats vai EF mēģinās visu iespējamo, lai sniegtu atbildi.