|
|
#11
7nde Nov 2008, 14:54
| ||||||||||||
| ||||||||||||
 HJT logg Ingen fare.
__________________
Ganske nær - HJT er egentlig et Registerredigering. Som du sier, det skanner registeret og produserer en logg over sine resultater. Det har flere andre funksjoner i tillegg - ta litt tid og få vite hva de er. Her er Services del av en logg fra min PC: Logfile of Trend Micro HijackThis v2.0.2 Scan lagret 21:49:17, on 07/11/2008 Plattform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Kjører prosesser: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ Services.exe C: \ WINDOWS \ system32 \ Lsass.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe C: \ WINDOWS \ system32 \ Spoolsv.exe E: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe C: \ WINDOWS \ system32 \ CTsvcCDA.exe E: \ Programfiler \ Diskeeper Corporation \ Diskeeper \ DkService.exe E: \ progra ~ 1 \ AVG \ AVG8 \ avgrsx.exe C: \ Programfiler \ Fellesfiler \ Microsoft Shared \ VS7Debug \ mdm.exe E: \ FAH \ smpd.exe C: \ WINDOWS \ system32 \ nvsvc32.exe C: \ WINDOWS \ system32 \ SnoopFreeSvc.exe C: \ WINDOWS \ system32 \ Svchost.exe E: \ progra ~ 1 \ AVG \ AVG8 \ avgemc.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ Explorer.exe C: \ Programfiler \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe C: \ WINDOWS \ system32 \ rundll32.exe C: \ WINDOWS \ SnoopFreeUI.exe C: \ Programfiler \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe C: \ Programfiler \ Fellesfiler \ LogiShrd \ LComMgr \ Communications_Helper.exe C: \ Programfiler \ Fellesfiler \ LogiShrd \ LComMgr \ LVComSX.exe E: \ Program Files \ Winamp \ winampa.exe E: \ progra ~ 1 \ AVG \ AVG8 \ avgtray.exe E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe C: \ WINDOWS \ system32 \ rundll32.exe C: \ WINDOWS \ system32 \ Ctfmon.exe E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe E: \ Programfiler \ Microsoft Office \ Office10 \ msoffice.exe C: \ Programfiler \ Fellesfiler \ Logishrd \ KHAL2 \ KHALMNPR.EXE E: \ Program Files \ SpywareGuard \ sgmain.exe E: \ Program Files \ SpywareGuard \ sgbhp.exe F: \ Iain \ Drivers og Software \ CoreTemp \ Core Temp.exe E: \ FAH \ fah6.exe.exe E: \ FAH \ mpiexec.exe E: \ FAH \ smpd.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ FAH \ FahCore_a1.exe E: \ Programfiler \ Mozilla Firefox \ firefox.exe E: \ Program Files \ HJTHotkey \ HJTHotkey.exe E: \ Program Files \ Keynote \ keynote.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe F: \ Iain \ HijackThis \ HiJackThis.exe Jeg gjør som 52-prosesser. Min Task Manager sier 81-prosesser. Ta en titt på de prosesser som er oppført i loggen og de som er oppført i Oppgavebehandling og fortelle meg hva som er annerledes. Min System: It's all mine ...
|
|
#12
7nde Nov 2008, 15:06
| |||
| |||
| HJT logg Jeg mente å legge til dette - dette er den nederste delen av min logg O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc. - C: \ WINDOWS \ ATKKBService.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ progra ~ 1 \ AVG \ AVG8 \ avgemc.exe O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Programfiler \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Kundekommentarer V1.01 + fah.exe - Unknown owner - E: \ Program Files \ Folding @ Home Windows SMP Kundekommentarer V1.01 \ fah.exe (file mangler) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programfiler \ Fellesfiler \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Programfiler \ Fellesfiler \ Logitech \ Bluetooth \ LBTServ.exe O23 - Service: MPICH2 Prosess Manager, Argonne National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Snoop Gratis Service (SnoopFreeSvc) - Unknown owner - C: \ WINDOWS \ system32 \ SnoopFreeSvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Programfiler \ VMware \ VMware Workstation \ VMware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Programfiler \ Fellesfiler \ VMware \ VMware Virtual Image Editing \ vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe Ikke mange tjenester der, er det? Kan du tenke på en grunn til at så få tjenester faktisk vises? |
|
#13
7nde Nov 2008, 16:25
| |||
| |||
| HJT logg Ditt første spørsmålet er enkelt. Den HJT loggen viser ingen av systemet prosesser. Hva jeg ikke vet er hvorfor. Jeg har fulgt dette Malware U også, og har hatt et par svar, men ingen har vært avgjørende. Det ene er at kanskje HJT er ikke konfigurert for Vista64, en annen sier at dette er vanlig for noen Vista HJT logg. Nok et påpekt at alle mine 023 (tjeneste) innlegg ble ikke skikkelig vises som fører oss tilbake til enten en uforlikelighet til Vista64 eller Vista som helhet. Jeg har ikke UAC skrudd på, pokker, jeg har ikke noen av MS sikkerhet ting på. På hvorfor yoou har 81 prosesser som kjører og HJT viser kun 52, vet jeg ikke. Jeg har en HJT logg for denne datamaskinen (det gjorde jeg mitt første PL00a med det), og jeg vil sammenligne det som vises i HJT loggen med det som vises i Oppgavebehandling, og kommer tilbake til deg. Jeg vil også se på tjenester og se hva jeg kan finne ut Merk: Som jeg skriver dette, jeg bruker min gamle maskin som er en Vista maskin. |
|
#14
8th 2008 nov 03:14
| |||
| |||
| HJT logg Du kan finne en tutorial på HJT å være litt hjelp - det er noe jeg anbefaler deltakerne å lese første likevel. http://www.bleepingcomputer.com/tuto...utorial42.html |
|
#15
9 november 2008, 09:39
| |||
| |||
| HJT logg Rettelse først fra min over innlegget. Min gamle maskin (som jeg gjør dette på altfor lol), er en XP maskin ikke en Vista maskin. Behandler spørsmålet revisted fra XP-maskin: Jeg reran HJT og kopierte Process del deretter immedially åpnet Task Manager og sammenliknet tallene. Jeg hadde 50 prosesser på HJT og 58 på Oppgavebehandling. Jeg har skrevet oppgaven manager listen på en notisblokk doc og deretter gikk gjennom HJT listen. Jeg slettet fra Task Manager venteliste alt som ble vist på HJT for å se det som var igjen. To spørsmål før jeg går videre: 1). Er det en måte å få prosessen fra Oppgavebehandling i stedet for å gjøre det jeg gjorde, IE: åpne en notepad doc og manuelt hver oppføring i? 2). Oppgavebehandling bare viser en oppføring som "Winlogon.exe" mens HJT viser hele banen (er banen riktig ord?), For eksempel C: \ WINDOWS \ system32 \ Winlogon.exe. Siden prosessen jeg brukt som et eksempel Winlogon.exe kan malware (trojan tror jeg), hvis den ikke fra banen C: \ WINDOWS \ system32, ville det være fint å kjenne hele banen. Så hvordan får jeg hele banen fra Windows Oppgavebehandling? Tilbake til min prosesser jeg faktisk endte opp med 11 igjen på min liste, ikke 8. Jeg kan tenke på to grunner til that.Off 11, tre var Svchost.exe 's. Jeg kanskje savnet en når du sletter fra en liste til den andre. En prosess på de HJT listen ble HJT som selvsagt ikke var åpne når jeg gjorde oppgaven manager så den ikke vises der. Som eliminerer 2. Av de resterende 9, 2 ble Notepad.exe er noe som ikke var åpne når jeg gjorde det HJT, og to skulle de to andre Svchost.exe 's. Jeg har funnet noe ennå som forteller hva åpner dem, bare at de er mye brukt av Windows. Av de resterende 5 prosesser ikke vises på HJT to: System: Systemet er en prosess som vises på oppgavene på hovedsak Windows XP, Windows 2003 server, og senere versjon av Windows. Dette er et standard system teller og kan ikke fjernes. System idle Process: System idle prosessen er ikke en prosess, mer en teller som er vist i WinTasks brukt for å måle hvor mye inaktivt CPU har på noen bestemt tid. Denne telleren vil vise hvor mye CPU-ressurser, som en prosentandel er "uvirksom" og tilgjengelige for bruk. Kan ikke bli drept. Jeg antar at disse to åpne opp med oppgave bestyrer og derfor hadde ikke vært sett. Det går tre, to av dem er jeg clueless på hvorfor de ikke ble vist av HJT, særlig for Medieavspiller siden mediespiller har i det siste blitt utnyttet av malware er det ikke? De er: alg.exe: Den alg.exe kjørbar tillater programmer (som direktemeldingsklienter, RTSP, BitTorrent, SIP og FTP) fra en klientdatamaskin for dynamisk benytte passiv TCP / UDP-porter i kommunikasjonen med kjente havner på en server. wmpnetwk.exe: wmpnetwk.exe er hovedårsaken kjørbar for Windows Media Player Network Sharing Service. Den brukes til å dele Windows Media Player biblioteker. taskmgr.exe De resterende er: Csrss.exe: Microsoft Client Server Runtime Server undersystemet benytter prosess Csrss.exe for å håndtere det meste av grafisk instruksjon sett under Microsoft Windows-operativsystem. Csrss.exe kontrollene tråder og Win32 konsoll vinduet funksjoner. Threading er der programmet deler seg i flere samtidig kjørende oppgaver. Mens jeg ikke helt sikker, tror jeg dette kunne ha åpnet etter at jeg kjørte HJT når jeg åpnet flere forekomster av notepad til å skrive ned og sammenligne data. Noen tanker eller critiques du på hva jeg nettopp skrev ville være verdsatt. Jeg har fullført mitt første excercise, (og hadde det critiqued av en instruktør), på Malware U, så dette er noe ekstra for mitt eget ønske om å lære mer, og bedre forstå prosesser, og derfor vil jeg ikke være "jukse" ved å spør deg om det. Som til tjenester spørsmålet: Jeg har ikke undersøkt det fullt ennå, heller ikke nøye så på data, jeg har tenkt å gjøre noe lignende med mitt eget HJT logg som jeg gjorde med min prosess loggen sammenligne 023 med det faktiske tjenester listen men utenfor cuff ............ Det lille jeg har lest og vært i stand til å forstå om tjenester vil føre meg til å tro at listen er kort fordi det er bare å vise det åpne tjenester, ikke venter seg, eller ......... crap, jeg glemmer de to andre klasser sevices lol, det er derfor jeg trenger å gjøre mer forskning. Anyways, hvis jeg er på rett vei med det, la meg vite det. takk. Jeg setter pris på at du tar deg tid og utfordrende for meg å være sikker på hva jeg lære før jeg tut det av. Jeg tror ikke at det er stadig noe slikt som "for mye undervisning" eller "for mye læring". Pokker, det er så mye kunnskap som det er umulig å stadig begynne å lære alt. |
|
#16
10th 2008 nov 14:32
| |||
| |||
| HJT logg Du får det. Visste du lese veiledningen på BC? Det nevner hvitelister - Som kan hjelpe litt. Som jeg sa tidligere, jeg ikke kommer til å svare på spesifikke spørsmål, slik som om Winlogon, fordi veiledere ved MU vil omhandle ting som det på sin måte. De av oss som deltar i undervisningen har alle våre egne metoder og "måter" og det ville ikke være riktig for meg å prøve og pre-empt stilen på noen andre. En prosess er bare programvare kjøres på en PC. Noen tjenester er prosesser også, starter når PC støvlene - med andre ord ingen brukermedvirkning er nødvendig for å starte dem. Aner du hvorfor du hadde mer enn én instans av svchost vises? |
|
#17
10th 2008 nov 20:55
| |||
| |||
| HJT logg Jeg har lest at opplæringen siden jeg startet lol, og nesten forstå om en 1 / 4 av den (den er knyttet til et av de første tingene de vil ha oss til å lese). Jeg må ha glemt den hvite lister, men jeg skal gå tilbake og se spesielt for det. Som folk på Malware U svare på spørsmålene jeg stilte til deg, har de ikke. Jeg har hatt en tråd postet der i nesten to dager uten et eneste svar. Jeg har sett 40 ganger, så jeg knpow det har blitt sett, men ingen svar. Det er sakte synker nedover i listen og vil være evig begravd i ukjent, ubesvarte jeg frykter, ved sen morgen eller tidlig onsdag. Det er så mange tilfeller av Svchost for redundans og pålitelighet (hele greia abut tar bort så mange. Exe og gjøre dem til. Dll's ect ....). Det er sannsynligvis det eneste jeg visste før jeg startet dette kurset, men som vanlig, ikke forstå det helt, og ikke vet hvordan du skal fortelle hva Svchost var servicen hva. Jeg fant imidlertid en stor tutorial om det på howtogeek.com som viser hvordan du kommer til kommandolinjen. LOL Jeg har nettopp sett igjen, og det inneholder informasjon om hvordan komme seg til og bruke Process Explorer. Jeg har spurt om det der også. Her er linken, det ser bra for meg. Det viser hvordan du gjør det i både XP og Vista. Jeg trenger å gå lese det nå og følg alle koblingene fra det. http://www.howtogeek.com/howto/windo...is-it-running/ |
|
#18
12th Nov 2008, 12:57
| |||
| |||
| HJT logg Hei igjen Det er en ganske god beskrivelse av svchost. Du kan også bruke noe lignende Process Explorer å se på hvilke dll filer som lastes inn på ditt eget system. Det kan være veldig avslørende. Også sjekke ut Autoruns. Igjen, jeg vil ikke pre-empt noe som kanskje kommer din vei fra MU, men jeg mistenker at de kan også være på utkikk etter din til å gjøre noen undersøkelser, og minst en går til å svare på spørsmål (det er slik jeg ville fungere ...). Hvis du virkelig fast på svar, legge tilbake hit og enten selv eller EF vil prøve vårt beste for å gi et svar. |
