[Glaswegian]

No worries.

Całkiem bliski - HJT jest zasadniczo Edytor rejestru. Jak mówisz, to skanuje Rejestr i tworzy dziennik jego wyników. To ma wiele innych funkcji, jak również - trochę czasu i poznać to, co oni są.

Oto Usługi część log z mojego komputera:

Logfile of Trend Micro HijackThis v2.0.2
Skanowanie zapisany na 21:49:17, na 07/11/2008
Platforma: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Uruchamianie procesów:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ program Mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ MSOFFICE.EXE
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers and Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Keynote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Dane aplikacji \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


I sprawia, że 52 procesów. Moje Task Manager mówi 81 procesów.

Zajrzyj do procesów wymienionych w dziennik i te wymienione w Menedżerze zadań i powiedz mi co innego.

[Glaswegian]

Miałam na myśli, aby dodać - jest to w dolnej części mojego dziennika

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc - C: \ WINDOWS \ atkkbservice.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service dla CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: Program Files + + Folding @ Home Windows Client SMP V1.01 + fah.exe - Unknown owner - E: \ Program Files \ Folding @ Home Windows Client SMP V1.01 \ fah.exe (plik brak)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Unknown owner - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Nie wiele usług, są tam? Czy myślisz o powód, dlaczego tak niewielu rzeczywiście pojawiają się usługi?

[Bubba]

Twoje pierwsze pytanie jest prosta. W HJT log nie pokazano żadnej z moich procesów systemowych. Co nie wiem, to dlaczego. Mam prowadzi w tej Malware U również i mieli kilka odpowiedzi, ale nie były ostateczne. Jednym z nich jest, że być może HJT nie jest skonfigurowany do Vista64, inny mówi, jest to normalne dla każdego Vista HJT zalogować. Jeszcze inny zwrócił uwagę, że wszystkie moje 023 (usługi) pozycje nie były prawidłowo wyświetlane, która przybliża nas do celu albo niezgodności Vista64 lub Vista jako całości. Nie mam UAC włączony, ryb, nie mam żadnej z MS bezpieczeństwa stuff włączony.

, Dlaczego yoou się 81 procesów uruchomionych i HJT pokazuje tylko 52, nie wiem. Mam HJT zalogować do tego komputera (zrobiłem moje pierwsze PL00a z nim), i porównać to, co jest wyświetlane w HJT log z tym, co pokazano w Menedżerze zadań i wrócić do Ciebie. Będę również spojrzeć na usługi i zobaczyć, co mogę dowiedzieć

Uwaga: Jak tego typu, mam moje stare maszyny za pomocą których jest Vista maszyny.

[Glaswegian]

Można znaleźć w samouczku HJT do pomocy - to coś Radzę stażystów do przeczytania pierwszej anyway.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Korekta pierwszy z mojej powyżej post. Moje stare maszyny (które I'm doing this one na zbyt lol), to maszyna nie XP Vista maszyny. Procesy pytanie revisted z XP maszyny:

I reran HJT i kopiowane Przetwarzaj część następnie immedially otwarcia Menedżera zadań i porównać numery. Miałem 50 procesów na HJT i 58 w Menedżerze zadań. I wpisany liście Menedżera zadań na notatnika doc, a następnie udał się poprzez HJT listy. I skreślony z listy Menedżera zadań, aby wszystko było pokazano na HJT listy, aby zobaczyć, co pozostało. Dwa pytania, zanim pójdę dalej:

1). Czy istnieje sposób na proces liście Menedżera zadań, zamiast robić to, co zrobiłem, IE: otworzyć notatnik doc i ręcznie wpisać w każdej pozycji?

2). Menedżer zadań pokazuje tylko jeden wpis, takich jak "Winlogon.exe" podczas HJT pokazuje pełną ścieżkę (ścieżka jest poprawny termin?), Takich jak C: \ WINDOWS \ system32 \ winlogon.exe. Ponieważ proces użyłem jako przykład winlogon.exe można złośliwym (trojan myślę), jeśli nie jest od ścieżki C: \ WINDOWS \ system32, byłoby miło wiedzieć pełną ścieżkę. Więc jak mogę uzyskać pełną ścieżkę z Windows Task Manager?

Powrót do mojej procesów I rzeczywiście zakończył się z 11 w lewo na mojej liście, a nie 8. Mogę myśleć o dwóch powodów that.Off 11, trzy zostały svchost.exe 's. I ewentualnie pominięto jeden podczas usuwania z listy do drugiej. Jeden proces pokazano na HJT wykaz został HJT która oczywiście nie była otwarta, gdy zrobiłem zadanie dlatego nie pojawiają się tam. To eliminuje 2. Z pozostałych 9, 2 były notepad.exe 's, które nie były otwarte, kiedy doszło do HJT, a dwa będą dwa pozostałe Svchost.exe "s. Nie znalazłem nic jeszcze, który mówi to, co otwiera tych, tylko że są one powszechnie wykorzystywane przez system Windows. Spośród pozostałych 5 procesów nie podana na dwa zostały HJT:
System:
systemu jest procesem, który pojawia się w sprawie zadań, głównie w systemie Windows XP, Windows 2003 Server i nowszych wersjach systemu Windows. Jest to domyślny system licznik i nie mogą być usunięte.

Proces bezczynności systemu:
Proces bezczynności systemu nie jest procesem bardziej licznik, który jest wyświetlany w WinTasks stosowane do pomiaru, jak dużo czasu bezczynności procesora ma w dowolnym czasie. Ten licznik wyświetli ile zasobów procesora, jako procent są "bezczynności" i gotowy do użycia. Nie mogą zostać zabite.

Jestem przy założeniu, że te dwa z otwarcia Menedżera zadań i jako takie nie byłyby widoczne. To pozostawia trzy, z których dwa Ja Clueless, dlaczego nie były one wyświetlane przez HJT, zwłaszcza dla jednej Odtwarzacz Media Player, ponieważ w przeszłości były eksploatowane przez złośliwym go nie ma? Są to:

alg.exe:
W alg.exe wykonywalnego pozwala aplikacji (takich jak IM klientów RTSP, BitTorrent, SIP i FTP) z komputera klienckiego dynamicznie wykorzystywać pasywne TCP / UDP w komunikacji z portami znane porty na serwerze.

wmpnetwk.exe:
wmpnetwk.exe jest głównym wykonywalny dla programu Windows Media Player Network Sharing Service. Jest on używany do dzielenia biblioteki programu Windows Media Player.
Taskmgr.exe

Pozostałe procesu:

Csrss.exe:
Microsoft Client Server Runtime Server podsystemu wykorzystuje proces Csrss.exe za zarządzanie większością graficzny zestawy instrukcji na system operacyjny Microsoft Windows. Csrss.exe kontroli gwintowania i Win32 konsoli okno właściwości. Threading jest w przypadku, gdy wniosek dzieli się na kilka jednoczesnych zadań bieżących.

Choć nie jestem całkowicie pewien, myślę, że to mogłoby mieć otwarte po wpadłem HJT kiedy otworzył wiele wystąpień do notatnika zapisać i porównywanie danych. Każdy myśli lub krytyką masz na to, co właśnie napisał byłoby appreciated. Mam gotowy mój pierwszy excercise (i gdyby critiqued przez instruktora), na Malware U, więc jest to coś extra na moje pragnienie, aby dowiedzieć się więcej i lepiej zrozumieć procesy, i jako taka nie będę "oszukiwania" przez z prośbą o to.

W odniesieniu do usług pytanie: Mam nie zbadali go jeszcze w pełni, ani dokładnie analizował dane, zamierzam zrobić coś podobnego z własnej HJT log jak zrobiłem z mojego procesu logowania, porównując 023 listy z tym rzeczywiste listę usług, ale poza cuff ............

Mały Znam i był w stanie zrozumieć o usługach doprowadziłoby do mnie, aby sądzić, że lista jest krótka, ponieważ jest tylko pokazano otwartych usług, a nie w oczekiwaniu na nich, lub ......... crap, I zapomnieć o pozostałych dwóch klas sevices lol, dlatego muszę robić więcej badań. Anyways, gdy jestem w drodze z tym, let me know.

dzięki. I Doceniamy poświęcenie czasu i trudne do mnie, aby upewnić się, co mam nauki przed chlusnąć je. Nie wierzę, że istnieje zawsze takie rzeczy jak "zbyt dużo nauki" lub "zbyt dużo nauki". Heck, nie jest tak dużo informacji o tym, że niemożliwe jest zawsze zaczynają się uczyć tego wszystkiego.

[Glaswegian]

You're Getting there. Czy przeczytać tutorial w BC? Wymienia białe - Które mogą okazać się nieco.

Jak powiedziałem wcześniej, I'm not going to odpowiedzi na konkretne pytania, np. dotyczące winlogon, ponieważ opiekunowie w MU zajmie się np., że na swój sposób. Ci z nas, wszystkich zaangażowanych w nauczanie ma własnych metod i "sposoby" i nie byłoby dla mnie, aby spróbować i wyprzedzać stylu kogoś innego.

Proces jest tylko oprogramowania uruchomionego na komputerze PC. Niektóre usługi są procesy oraz, począwszy gdy komputer buty - innymi słowy, bez interakcji użytkownika jest niezbędne do ich rozpoczęcia.

Każdy pomysł, dlaczego miał więcej niż jedną usługę svchost pokazano?

[Bubba]

I zostały czytanie tego samouczka, ponieważ zacząłem lol, zrozumieć i prawie o 1 / 4 z niego (jest to związane z jedną z pierwszych rzeczy, chcą nas czytać). I musi mieć nieodebranych białych list, ale I'll wrócić i sprawdzić, specjalnie do tego.

Co do ludzi na Malware U I odpowiadając na pytania, jakie stwarzają dla Ciebie, nie. I've had a wątku wysłana tam przez prawie dwa dni bez jednego odpowiedzi. I została wyświetlona 40 razy, więc knpow to widać, ale bez odpowiedzi. Jest to powoli zatonięcia dół listy i będzie zawsze pochowany w ciemność, I bez strachu, pod koniec jutro lub na początku środę.

Istnieje tak wiele przypadków svchost dla redundancji i niezawodności (wszystkiego abut pozbawianie tyle. Exe i obracając je. Dll's ect. ....). To jest prawdopodobnie jedyną rzeczą Wiedziałem, zanim zacząłem ten kurs, ale jak zwykle, nie rozumiem go zupełnie i nie wiedziałem co powiedzieć, jak svchost obsługi, co było. I just found a great tutorial jednak o tym na howtogeek.com które pokazuje, w jaki sposób dotrzeć do linii poleceń. LOL I just ponownie spojrzał i szczegóły jak dotrzeć do procesu i wykorzystania Explorer. Mam pytanie, że tam również. Oto link, wygląda wspaniale mnie. I nie pokazuje jak to zrobić zarówno w XP i Vista. Muszę go przeczytać, że teraz i po wszystkie linki z niego.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Hi again

That's a pretty good wyjaśnienie svchost. Można również użyć coś podobnego Process Explorer spojrzeć na dll, które są ładowane na własnym systemie. To może być całkiem jednoznaczne. Also check out Autoruns.

Znowu, nie chcę wyprzedzać wszystko, co może być na Twojej drodze z MU, ale podejrzewam że może być również poszukujących do niektórych badań, a przynajmniej mieć go na odpowiadanie na pytania (to sposób będzie pracować ...).

Jeśli jesteś naprawdę utkniesz na odpowiedź, po powrót tutaj i albo sam lub EF postara naszej udzielenie odpowiedzi.