[Glasgow]

Geen zorgen.

Pretty nauwe - HJT is in wezen een Register-editor. Zoals je zegt, dan scant het register en een logboek bij van de resultaten. Het heeft wel een aantal andere functies en - enige tijd in beslag nemen en krijgen om te weten wat ze zijn.

Hier is de Services deel uit van een log van mijn PC:

Logbestand van Trend Micro HijackThis v2.0.2
Scan opgeslagen om 21:49:17 op 07.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Draaiende processen:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ Mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers en Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ KeyNote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Ik maak dat 52 processen. Mijn Taakbeheer zegt 81 processen.

Neem een kijkje op de processen die in uw log en degenen die in uw Taakbeheer en vertel me wat anders.

[Glasgow]

Ik bedoel dit toe te voegen - dat is het onderste gedeelte van mijn log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP client v1.01 + fah.exe - Onbekende eigenaar - E: \ Program Files \ Folding @ Home Windows SMP client v1.01 \ fah.exe (dossier ontbreekt)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Onbekende eigenaar - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Onbekende eigenaar - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Niet veel diensten zijn, zijn er? Kan je van een reden waarom zo weinig diensten daadwerkelijk worden weergegeven?

[Bubba]

Uw eerste vraag is eenvoudig. De HJT log geeft geen enkele van mijn systeem processen. Wat ik niet weet is waarom. Ik heb dit op het nastreven van Malware U als goed, en had een paar antwoorden, maar zijn definitief. Een daarvan is dat misschien HJT is niet geconfigureerd voor Vista64, een ander zegt dat dit normaal is voor Vista HJT log. Nog een ander wees erop dat al mijn 023 (dienst) inzendingen werden niet goed weergegeven, die brengt ons terug tot een onverenigbaarheid met Vista64 of Vista als geheel. Ik heb geen UAC ingeschakeld, ach, ik heb geen van de MS-beveiliging spullen ingeschakeld.

Zoals de vraag waarom yoou zijn 81 processen en HJT toont slechts 52, ik weet het niet. Ik heb een HJT log voor deze computer (ik heb mijn eerste PL00a waren), en ik zal vergelijken wat wordt weergegeven op de HJT log met wat wordt weergegeven in Taakbeheer en ga terug naar je. Ik zal ook kijken naar de diensten en zien wat ik kan bedenken

Opmerking: Als ik dit typ, ben ik met mijn oude machine die een Vista-machine.

[Glasgow]

Misschien vindt u een uitleg over HJT worden sommige helpen - dat is iets wat ik adviseren stagiairs te lezen eerste anyway.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Correctie eerste uit mijn bovenstaande post. Mijn oude machine (wat doe ik dit ook op een lol) is een XP machine niet een Vista-machine. Processen betrokken revisted van de XP-machine:

Ik reran HJT gekopieerd en het proces deel vervolgens immedially opengesteld Taakbeheer en vergeleken de nummers. Ik had 50 processen op HJT en 58 op Taakbeheer. Ik typte de task manager lijst op een notitieblok doc en vervolgens via de HJT lijst. Ik geschrapt uit de task manager alles lijst die werd vertoond op de HJT lijst om te zien wat er links. Twee vragen voordat ik ga verder:

1). Is er een manier om het proces vanuit Taakbeheer in plaats van doen wat ik deed, IE: open een notitieblok doc en handmatig elke inschrijving in?

2). Taakbeheer toont een vermelding als "Winlogon.exe" terwijl HJT geeft het volledige pad (pad is de juiste term?) Zoals C: \ WINDOWS \ system32 \ winlogon.exe. Aangezien het proces dat ik als voorbeeld, Winlogon.exe kan malware (trojan denk ik), al is het niet van het pad C: \ WINDOWS \ system32, zou het leuk zijn om te weten het volledige pad. Dus hoe krijg ik het volledige pad van Windows Taakbeheer?

Terug naar mijn processen, Ik eindigde met 11 links op mijn lijst, en niet 8. Ik denk aan twee redenen voor that.Off de 11 werden er drie svchost.exe 's. Ik miste een eventueel bij het verwijderen van de ene lijst naar de andere. Een proces dat op de lijst is HJT HJT die uiteraard niet open toen ik deed taakmanager zodat zij niet zien daar. Dat elimineert 2. Van de resterende 9, 2 werden notepad.exe 's die niet open toen ik deed het HJT, en twee zouden de andere twee Svchost.exe' s. Ik heb nog niets die vertelt wat opent die, net dat ze op grote schaal gebruikt door Windows. Van de resterende 5 processen niet op HJT twee waren:
Systeem:
systeem is een proces, waaruit blijkt op de taken op voornamelijk Windows XP, Windows 2003 Server en latere versie van Windows. Dit is een standaard systeem teller en kan niet worden verwijderd.

System Idle Process:
het systeem inactief is niet een proces, meer een teller die is weergegeven in WinTasks gebruikt om te meten hoeveel tijd de CPU idle is die op een bepaalde tijd. Deze teller wordt weergegeven hoeveel CPU-bronnen, uitgedrukt als een percentage zijn 'inactief' en beschikbaar voor gebruik. Kan niet worden gedood.

Ik ga ervan uit dat deze twee open tot taak manager en als zodanig niet had gezien. Dat laat drie, twee van die ik Clueless van de redenen waarom zij niet werden weergegeven door HJT, vooral die voor de Media player sinds mediaspeler heeft in het verleden is misbruikt door malware is het niet? Zij zijn:

alg.exe:
De alg.exe uitvoerbaar kunnen toepassingen (zoals de IM-clients, RTSP, BitTorrent, SIP, en FTP) van een client-computer dynamisch gebruik maken van passieve TCP / UDP-poorten in de communicatie met bekende poorten op een server.

wmpnetwk.exe:
wmpnetwk.exe is de belangrijkste applicatie voor Windows Media Player Network Sharing Service. Het wordt gebruikt om delen van Windows Media Player bibliotheken.
Taskmgr.exe

De resterende proces is:

Csrss.exe:
De Microsoft Client Server Runtime Server subsysteem maakt gebruik van het proces Csrss.exe voor het beheer van de meerderheid van de grafische instructie geeft in het kader van het Microsoft Windows besturingssysteem. Csrss.exe controles draadsnijden en Win32 console venster functies. Threading is waar de aanvraag splitst zich in meerdere taken tegelijk uitvoeren.

Hoewel ik ben niet helemaal zeker, ik denk dat dit zou kunnen hebben geopend nadat ik liep toen ik HJT geopend meerdere exemplaren van het notitieblok te schrijven en vergelijken van gegevens. Elke gedachten of je kritiek hebben op wat ik net geschreven zou worden gewaardeerd. Ik heb mijn eerste oefening afgewerkt (en had het critiqued door een instructeur) op Malware U, dus dit is iets extra's voor mijn eigen wens om te leren meer en beter inzicht in processen, en als zodanig zal ik niet "vals spelen" door vraagt u over.

Ten aanzien van uw diensten de vraag: heb ik niet onderzocht zij nog volledig, noch zorgvuldig gekeken naar de gegevens, ik ben van plan om iets te doen vergelijkbaar met mijn eigen HJT log als ik met mijn proces log, het vergelijken van de lijst met 023 er werkelijke diensten lijst maar uit de manchet ............

De kleine ik heb gelezen en in staat is geweest om te begrijpen over diensten zou leiden me te geloven dat uw lijst is kort, want alleen met de open diensten, niet de hangende zijn, of de ......... crap, ik vergeet de andere twee klassen van Dienstenniveau lol, dat is de reden waarom ik moet doen meer onderzoek. Anyways, als ik op de goede weg met dat, laat het me weten.

bedankt. Ik waardeer je de tijd neemt en uitdagende me er zeker van wat ik heb leren voordat ik tuit het af. Ik geloof niet dat er ooit zoiets als "teveel onderwijs" of "te veel leren." Ach, er is zo veel kennis dat het onmogelijk is om ooit beginnen te leren het allemaal.

[Glasgow]

Krijg je daar. Heb je de tutorial op Christus? Hij noemt witte lijsten - Die kunnen helpen een beetje.

Zoals ik al eerder zei, ik ga niet voor een specifiek probleem, zoals die betreffende Winlogon, omdat uw mentoren op MU zal omgaan met dat soort dingen op hun eigen manier. Degenen onder ons die betrokken zijn in het onderwijs hebben allemaal onze eigen methoden en "hoe" en het zou niet goed voor mij om te proberen vooruit te lopen op de stijl van iemand anders.

Een proces is alleen software die draait op een pc. Sommige diensten zijn processen en vanaf wanneer de pc opstart - in andere woorden, geen interactie met de gebruiker nodig is om te beginnen met hen.

Enig idee waarom je had meer dan een svchost service weergegeven?

[Bubba]

Ik heb gelezen dat tutorial sinds ik begon lol, en bijna begrijpen ongeveer een 1 / 4 van het (zij verbonden is als een van de eerste dingen die ze willen ons te lezen). Ik moet hebben gemist de witte lijsten, maar ik ga terug en controleer specifiek voor.

Wat de mensen van Malware U beantwoording van de vragen die ik stelde aan u, hebben ze niet. Ik heb een thread gepost er bijna twee dagen zonder een enkel antwoord. Ik werd bekeken 40 keer, dus ik knpow het is gezien, maar geen antwoorden. Het is langzaam zinkend vaststelling van de lijst en zal voor altijd begraven in obscuriteit, onbeantwoord vrees ik, door te late of vroege morgen woensdag.

Er zijn zoveel gevallen van SVCHost voor redundantie en betrouwbaarheid (het hele ding belenden weg te nemen zoveel. Exe en draaien ze in. Dll's etc. ....). Dat is waarschijnlijk het enige wat ik wist voordat ik begon aan deze cursus, maar zoals gebruikelijk, niet begrijpen volledig en niet wist hoe om te vertellen wat SVChost werd klantenserviceovereenkomsten wat. Ik vond echter een grote tutorial over op howtogeek.com die toont hoe u op de opdrachtregel. LOL ik keek weer en geeft details over hoe te leren en te gebruiken proces explorer. Ik heb over dat daar ook. Hier is de link, het ziet er goed uit voor mij. I t toont hoe dat te doen in zowel XP en Vista. Ik moet gaan lezen dat nu en volg alle schakels van.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glasgow]

Hallo weer

Dat is een goede uitleg van svchost. U kan ook gebruik wilt maken van zoiets als Process Explorer te kijken naar die dll-bestanden worden geplaatst op uw eigen systeem. Het kan heel verhelderend. Also check out Autoruns.

Nogmaals, ik wil niet vooruitlopen op iets dat kan worden komende uw manier van MU, maar ik vermoed dat ze kunnen ook op zoek zijn naar je te doen wat onderzoek en ten minste een gaan op de beantwoording van uw vragen (dat is de manier waarop ik zou werken ...).

Als je echt vastzit voor een antwoord, post hier terug en ofwel zelf of EF zullen proberen ons best om een antwoord.