[Glasgow]

Não se preocupe.

Muito perto - HJT é essencialmente um Editor do Registro. Como você disse, ele verifica o Registro e produz um registo dos seus resultados. Ele tem diversas outras funções tão bem - levar algum tempo e ficar a conhecer o que são.

Veja os Serviços parte de um log do meu PC:

Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 21:49:17, em 07/11/2008
Plataforma: Windows XP SP3 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ Mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Arquivos de Programas \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
E: \ Program Files \ Logitech \ Setpoint \ SetPoint.exe
E: \ Arquivos de Programas \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers e Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ KeyNote \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Eu faço que 52 processos. Meu Gerenciador de tarefas diz que 81 processos.

Tenha um olhar para os processos listados no seu diário e os listados no seu Gerenciador de Tarefas e me diga o que é diferente.

[Glasgow]

Eu quis dizer para adicionar este - esta é a seção inferior do meu log

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc. - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + + Program Files Folding @ Home Windows SMP Client V1.01 + fah.exe - Unknown owner - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (arquivo missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, Argonne National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Livre (Serviço SnoopFreeSvc) - Unknown owner - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Não existem muitos serviços, existem? Pode você pensar de uma razão para tão poucos serviços efectivamente aparecer?

[Bubba]

Sua primeira pergunta é fácil. O HJT log não está mostrando todo o meu sistema de processos. O que eu não sei é porquê. Tenho sido a prossecução deste Malware U, e tiveram um casal de respostas, mas nenhum deles ter sido definitivo. Uma delas é que talvez HJT não está configurado para Vista64, outro diz que é normal para qualquer Vista HJT log. Ainda outra salientou que todos os meus 023 (serviço) as entradas não foram devidamente indicadas, que nos traz de volta a qualquer uma incompatibilidade para Vista64 ou Vista como um todo. Eu não tenho o UAC ligado, diabos, eu não tenho nenhum dos itens de segurança MS ligado.

Quanto ao porquê yoou tem 81 processos em execução e HJT mostra apenas 52, não sei. Tenho um log HJT para este computador (eu fiz o meu primeiro PL00a com ele), e vou comparar o que está sendo exibido no log HJT com o que está sendo exibido no Gerenciador de tarefas e voltar para você. Vou olhar também para os serviços e ver o que posso descobrir

Nota: Como eu escreva isso, estou usando minha velha máquina, que é uma máquina Vista.

[Glasgow]

Você pode encontrar um tutorial em HJT de ser alguma ajuda - é algo que me aconselham a ler primeiro estágio, de qualquer forma.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Correção do meu primeiro post acima. A minha velha máquina (o que estou fazendo isso em um demasiado lol), é uma máquina XP não uma máquina Vista. Processos revisted questão a partir da máquina XP:

Eu reran HJT e copiou o Processo porção então immedially abriu Task Manager e compararam os números. Eu tinha 50 processos em HJT e 58 sobre o Gerenciador de tarefas. Eu digitei o task manager doc lista para um bloco de notas e em seguida passou a HJT lista. Eu suprimido da lista do gerente da tarefa tudo o que foi mostrado na HJT lista para ver o que foi deixado. Duas perguntas, antes de eu ir mais longe:

1). Existe uma maneira de obter a lista de processos task manager, em vez de fazer o que eu fiz, IE: abra um notepad doc e digitar manualmente em cada entrada?

2). Task manager mostra apenas uma entrada como "Winlogon.exe" enquanto HJT mostra o caminho completo (caminho é o termo correto?) Como C: \ WINDOWS \ system32 \ winlogon.exe. Uma vez que o processo que usei como um exemplo, pode ser winlogon.exe malware (trojan eu acho), se não for a partir do caminho C: \ WINDOWS \ system32, seria bom saber o caminho completo. Então, como faço para obter o caminho completo a partir do Windows task manager?

Voltar aos meus processos, eu realmente acabou com 11 à esquerda na minha lista, e não 8. Não posso pensar em duas razões that.Off a 11, três foram svchost.exe 's. Eu perdi um possivelmente ao apagar de uma lista para a outra. Um processo mostrando sobre o HJT lista foi HJT que naturalmente não foi aberto quando fiz tarefa gerente para que ele não aparece lá. Isso elimina 2. Dos restantes 9, 2 foram notepad.exe 's que não foram abertas quando fiz o HJT, e os outros dois seriam duas Svchost.exe' s. Eu encontrei nada ainda diz que o que abre estes, só que eles são amplamente utilizados pelo Windows. Dos restantes 5 processos não apresentados em duas HJT foram:
Sistema:
sistema é um processo que revela-se principalmente sobre as tarefas em Windows XP, Windows Server 2003 e versão posterior do Windows. Este é um sistema de balcão padrão e não pode ser removido.

System Idle Process:
o sistema ocioso processo não é um processo, mais que um contador é apresentado no WinTasks utilizado para medir a quantidade de tempo ocioso da CPU está a ter, em qualquer momento específico. Este contador irá mostrar quanta CPU Recursos, como uma percentagem são "idle" e disponível para uso. Não pode ser morto.

Estou partindo do princípio de que estes dois abrem com gerente da tarefa e, como tal, não teria sido observado. Isso deixa três, dois dos quais eu sou clueless quanto à razão pela qual eles não foram indicadas por HJT, especialmente a um dado para o Media Player Media Player, no passado, tem sido explorado pelo malware que não? Eles são:

alg.exe:
O alg.exe executável permite que aplicações (como clientes de mensagem instantânea, RTSP, BitTorrent, SIP e FTP) a partir de um computador cliente para utilizar passiva dinamicamente as portas TCP / UDP em comunicar com os conhecidos portos em um servidor.

wmpnetwk.exe:
wmpnetwk.exe é o principal executável para o Windows Media Player Network Sharing Service. Ele é usado para compartilhar o Windows Media Player bibliotecas.
taskmgr.exe

O restante processo é:

Csrss.exe:
A Microsoft Client Server Runtime Server subsistema Csrss.exe utiliza o processo de gestão da maioria dos gráficos instrução estabelece sob o sistema operacional Microsoft Windows. Csrss.exe controles roscagem e Win32 janela do console funcionalidades. Threading é onde a aplicação divide-se em múltiplas tarefas em execução simultânea.

Embora eu não estou completamente certo, eu acho que isso poderia ter aberto após Corri HJT quando eu abrir várias instâncias do Bloco de Notas para escrever e comparar dados. Quaisquer pensamentos ou críticas tem sobre o que eu escrevi seria apreciada. Tenho acabado o meu primeiro excercise, (e se tivesse critiqued por um instrutor), pelo Malware U, então isso é algo extra para o meu próprio desejo de aprender mais, e compreender melhor os processos e, como tal, não vou ser "batota", por perguntando-lhe sobre isso.

Quanto aos seus serviços pergunta: eu não tenho pesquisado-lo plenamente, no entanto, nem olhou atentamente os dados, estou planejando fazer algo parecido com o meu próprio HJT log como fiz com o meu processo diário, que compara a lista com 023 reais lá lista de serviços, mas fora do manguito ............

O pouco que tenho sido capaz de ler e compreender sobre os serviços que me levam a acreditar que a sua lista é curta porque é apenas mostrando os serviços abertos, e não o pending queridos, ou a ......... porcaria, eu esquecer as outras duas classes de sevices lol, é por isso que eu preciso fazer mais pesquisas. Anyways, se estou no caminho certo com isso, me avise.

obrigado. Agradeço-lhe tomar o tempo e desafiar-me para ter a certeza de que estou a aprender antes que eu bico-lo. Não creio que haja alguma vez tal coisa como "demasiado ensinar" ou "muito aprendizado". Heck, há tanto conhecimento que é impossível alguma vez começar a aprender tudo.

[Glasgow]

Você está chegando lá. Você leu o tutorial no BC? Menciona listas de permissões - Que poderia ajudar um pouco.

Como eu disse antes, eu não vou responder a questões específicas, tais como as relativas winlogon, porque o seu tutores em MU vai lidar com essas coisas à sua própria maneira. Aqueles de nós envolvidos no ensino de todos temos nossos próprios métodos e "formas" e que não seria adequado para mim e para tentar antecipar-se o estilo de alguém.

Um processo é apenas software rodando em um PC. Alguns serviços são processos tão bem, começando quando o PC botas - em outras palavras, sem interação do usuário é necessária para iniciá-los.

Qualquer idéia por que você teve mais de um serviço mostrando Svchost?

[Bubba]

Fui ler o tutorial desde que comecei lol, e quase compreender cerca de um 1 / 4 da mesma (que está relacionado como uma das primeiras coisas que eles querem para ler). Devo ter perdido a listas brancas, mas vou voltar e verificar especificamente para isso.

Quanto ao pessoal do Malware U respondendo as perguntas que colocou a você, eles não têm. Tive uma discussão postada lá por quase dois dias sem uma resposta única. I foi visualizada 40 vezes, então eu knpow ele foi visto, mas não há respostas. É lentamente afundando para baixo na lista e será para sempre enterrado no esquecimento, sem receio, pela tarde ou amanhã cedo quarta-feira.

São tantos os casos de Svchost para redundância e confiabilidade (a coisa toda abut tirar tantos. Exe's e transformando-as em. Dll's etc ....). Essa é provavelmente a única coisa que eu sabia antes de eu comecei o curso, mas como é habitual, não entendê-lo completamente e não sabia como dizer aquilo que foi Svchost serviço quê. Eu encontrei, porém, um grande tutorial sobre isso em howtogeek.com que mostra como chegar à linha de comando. LOL eu só olhei novamente e ele detalha como para obter e usar o Process Explorer. Já perguntei sobre isso lá também. Aqui está o link, ele parece ótimo para mim. Eu não mostra como fazê-lo em ambos os XP e Vista. Preciso ir ler que, agora e siga todas as ligações a partir dele.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glasgow]

Oi novamente

Essa é uma boa explicação do Svchost. Você pode também querer usar algo como Process Explorer olhar para dll que estão sendo carregados no seu próprio sistema. Pode ser bastante revelador. Também check out Autoruns.

Novamente, não quero antecipar-se qualquer coisa que pode chegar a sua forma de MU, mas desconfio que também pode estar procurando por seu fazer alguma pesquisa e ter, pelo menos, um vão em responder às vossas perguntas (essa é a maneira que eu ia trabalhar ...).

Se você está realmente preso por uma resposta, posto de volta aqui e nem eu ou EF vai tentar o nosso melhor para proporcionar uma resposta.