[Glaswegian]

Nu vă faceţi griji.

Destul de aproape - HJT este, în esenţă, o Registry Editor. Aşa cum aţi spus, aceasta scanează registri şi produce un jurnal de rezultatele sale. Ea are o serie de alte funcţii precum şi - să ia o anumită perioadă de timp şi de a cunoaşte care sunt acestea.

Iată de Servicii parte dintr-un jurnal de la PC-ul meu:

Logfile de Trend Micro HijackThis v2.0.2
Scan salvate la 21:49:17, pe 07.11.2008
Platforma: Windows XP SP3 (WINNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Rularea procese:
C: \ Windows \ system32 \ smss.exe
C: \ Windows \ system32 \ winlogon.exe
C: \ Windows \ system32 \ services.exe
C: \ Windows \ system32 \ lsass.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Windows \ system32 \ ZoneLabs \ vsmon.exe
C: \ Windows \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ Windows \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ Windows \ system32 \ nvsvc32.exe
C: \ Windows \ system32 \ SnoopFreeSvc.exe
C: \ Windows \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ Windows \ system32 \ winlogon.exe
C: \ WINDOWS \ Explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volumul Panel \ VolPanlu.exe
C: \ Windows \ system32 \ Rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ Windows \ system32 \ RUNDLL32.EXE
C: \ Windows \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers şi Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Keynote \ keynote.exe
C: \ Windows \ system32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Eu fac ca 52 procese. Task Manager meu spune că 81 procese.

Arunca o privire la procesele enumerate în jurnalul tău şi pe cele enumerate în Task Manager şi spune-mi ce este diferit.

[Glaswegian]

Am vrut să adăugaţi această - acest lucru este în partea de jos a pct. meu jurnal

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service pentru CDROM Access - Creative Technology Ltd - C: \ Windows \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + + Program Files Folding @ home Windows SMP Client V1.01 + fah.exe - Unknown owner - E: \ Program Files \ Folding @ home Windows SMP Client V1.01 \ fah.exe (fişier lipsesc)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Procesul Manager, ARGONNE National Lab (mpich2_smpd) - Unknown owner - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ Windows \ system32 \ nvsvc32.exe
O23 - Service: Snoop serviciu gratuit (SnoopFreeSvc) - Unknown owner - C: \ Windows \ system32 \ SnoopFreeSvc.exe
O23 - Service: VMware serviciu de autorizare (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ VMWare-authd.exe
O23 - Service: VMware serviciul DHCP (VMnetDHCP) - VMware, Inc - C: \ Windows \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc - C: \ Windows \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ Windows \ system32 \ ZoneLabs \ vsmon.exe

Nu prea multe servicii de acolo, sunt acolo? Pot să vă gândiţi la un motiv pentru care atât de puţini servicii apărea de fapt?

[Bubba]

Prima întrebare este simplu. De HJT log nu este afişat nici de sistemul meu procese. Ce nu ştiu de ce este. Eu am fost cel care urmăresc acest Malware U, de asemenea, şi au avut o serie de răspunsuri, dar nici unul nu au fost definitiv. Unul este faptul că, probabil, HJT nu este configurat pentru Vista64, spune un alt acest lucru este normal pentru orice Vista HJT log. Un alt subliniat că toate mi 023 (serviciu) intrările nu au fost afişate corect, care ne aduce înapoi să fie o incompatibilitate a Vista64 sau Vista ca un întreg. Eu nu am UAC pornit, la dracu, nu am nici una dintre MS securitate chestii pornit.

De ce yoou au 81 procese rulează HJT şi arată doar 52, nu stiu. Am o HJT log pentru acest computer (Eu mi-am făcut primul PL00a cu aceasta), şi i se va compara ceea ce este afişat în cadrul HJT jurnal cu ceea ce se arată în Task Manager şi mă întorc la tine. De asemenea, voi uita-te la a serviciilor şi a vedea ceea ce am putea gasi

Notă: După cum am acest tip, sunt utilizaţi vechea mea masina, care este o maşină de Vista.

[Glaswegian]

S-ar putea găsi un tutorial pe HJT de a fi de ajutor - este ceva ce recomanda stagiarilor de a citi prima oricum.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Rectificarea de la primul meu post de mai sus. Vechiul meu maşină (care fac acest lucru pe o prea lol), este o maşină XP Vista nu o maşină. Procese întrebare revisted de la XP machine:

Am reran HJT şi copiat Procesul porţiune apoi immedially deschis Task Manager şi faţă de numere. Am avut 50 procese pe HJT şi 58 la Task Manager. Am tastat Task Manager lista pe un doc notepad, apoi a trecut prin HJT lista. Am şters de pe lista de Task Manager tot ce a fost afişat în cadrul HJT lista pentru a vedea ce a mai ramas. Două întrebări înainte de a pleca mai departe:

1). Există o modalitate de a obtine lista de la procesul de Task Manager în loc de a face ceea ce am făcut, şi anume: deschide o notepad doc şi manual tip fiecare intrare în?

2). Task Manager arata doar o intrare, cum ar fi "winlogon.exe" în timp ce HJT arată calea completă (este calea corectă termen?), Cum ar fi C: \ Windows \ system32 \ winlogon.exe. Având în vedere că procesul am folosit ca un exemplu, poate fi winlogon.exe malware (troieni cred), dacă aceasta nu este calea de la C: \ Windows \ system32, ar fi frumos să cunoaşteţi calea completă. Deci, cum a face I a lua calea completă de la Windows Task Manager?

Inapoi la procesul meu, de fapt, am terminat cu 11 la stânga de pe lista mea, nu 8. Nu pot gândi de două motive pentru that.Off de 11, trei au fost svchost.exe "s. Am pierdut un eventual când ştergeţi de la o lista de la altul. Un proces care arată pe de HJT lista HJT care a fost, desigur, nu a fost deschis, atunci când am făcut Task Manager astfel că nu au apărut aici. Care elimină 2. Din restul de 9, 2 au fost notepad.EXE-i care nu au fost deschise, atunci când am făcut HJT, şi doi ar fi celelalte două Svchost.exe "s. Nu am găsit nimic care spune încă ce se deschide cele, doar că acestea sunt utilizate pe scară largă de către Windows. Din restul de 5 procese care nu figurează pe HJT doi au fost:
Sistemul de:
sistem este un proces care apare cu privire la sarcinile în principal, pe Windows XP, Windows 2003 Server, iar mai târziu versiune de Windows. Acesta este un sistem contra şi implicit nu poate fi eliminat.

Sistemul de neîntemeiat Procesului:
sistemul inactiv proces nu este un proces, mai mult o contra pe care este afişat în WinTasks folosit pentru masurarea timpului de inactivitate cât de mult de procesor are la un anumit timp. Acest contor va afişa cât de multe resurse de procesor, ca un procent sunt "inactiv" şi disponibile pentru utilizare. Nu poate fi ucis.

Sunt în ipoteza în care aceste două deschide cu Task Manager şi, ca atare, nu ar fi fost văzut. Asta lasă trei, doi, din care am clueless de ce nu au fost afişate de HJT, în special pentru un Media player media player, deoarece în trecut a fost exploatată de a malware-ului nu-i asa? Acestea sunt:

alg.exe:
De alg.exe executabil permite aplicaţii (cum ar fi chat clienti, RTSP, BitTorrent, SIP, şi FTP) de la un computer client de a utiliza dinamic pasivă TCP / UDP porturi, în comunicarea cu cunoscute porturi de pe un server.

wmpnetwk.exe:
wmpnetwk.exe este principalul executabil pentru Windows Media Player Network Sharing Service. Este folosit pentru a partaja Windows Media Player biblioteci.
taskmgr.exe

Restul de proces este:

csrss.exe:
Microsoft Client Server Runtime Server subsistem utilizează în procesul de gestionare a csrss.exe majoritate a grafic de instruire stabileşte în conformitate cu sistemul de operare Microsoft Windows. Csrss.exe controale de filetat şi Win32 console fereastra caracteristici. Threading este în cazul în care cererea pleacă în sine rulează simultan în mai multe sarcini.

Deşi nu sunt în totalitate sigur, cred că acest lucru ar putea fi deschis după ce am fugit HJT când am deschis mai multe instanţe de notepad de a scrie şi de a compara datele. Orice gândurile sau criticile pe care le-aţi de pe ceea ce am scris ar fi apreciat. Am terminat primul meu excercise, (şi a avut-o criticate de către un instructor), la Malware U, astfel încât acesta este ceva extra pentru propria mea dorinta de a afla mai multe, şi mai bună înţelegere a proceselor, şi, ca atare, eu nu va fi "inselat" de întreb pe tine despre asta.

Ca să vă servicii întrebare: nu am cautat-o pe deplin încă, şi nici nu a analizat cu atenţie de date, am de gând să faci ceva similar cu propria mea HJT log ca am facut cu procesul meu jurnal, a comparat 023 lista cu efective acolo lista de servicii, dar de pe bantă ............

Cel mic Am citit şi am fost în stare să înţeleagă despre serviciile mă face să cred că lista este scurtă, pentru că este doar să arate deschis servicii, şi nu de cele în curs, sau de ......... rahat, am uitat de celelalte două clase de sevices lol, motiv pentru care am nevoie pentru a face mai mult de cercetare. Oricum, dacă sunt pe calea dreapta cu care, spune-mi.

mulţumesc. Apreciez că ai timpul si provocator de mine pentru a fi siguri de ceea ce am de învăţare înainte de a mă zvârli-o. Nu cred că există niciodată un astfel de lucru ca fiind "prea mult de predare" sau "prea mult de învăţare". La dracu, nu există atât de multe cunoştinţe, că este imposibil de a începe să înveţe niciodată pe toate.

[Glaswegian]

Esti obtinerea de acolo. Ai citit tutorialul de la BC? Acesta menţionează whitelists - Care ar putea ajuta un pic.

După cum am spus, nu am de gând să răspundeţi unor întrebări specifice, cum ar fi cele referitoare la winlogon, pentru ca dvs. tutori la UM se va ocupa de lucruri de genul asta în propria cale. Cei dintre noi implicate în procesul de predare, toate au propriile metode şi "căi" şi nu ar fi potrivită pentru mine pentru a încerca să preîntâmpine stilul de altcineva.

Un proces este doar software-ul care rulează pe un PC. Unele servicii sunt procese, de asemenea, începând de când PC-ul cizme - cu alte cuvinte, fără interacţiune cu utilizatorul, este necesară pentru a începe să le.

Orice idee de ce ai avut mai mult de un serviciu de Svchost arată?

[Bubba]

Am citit că tutorial deoarece am inceput lol, şi aproape înţelege despre o 1 / 4 din el (ea este legată ca una dintre primele lucruri pe care le doriţi ca noi să citiţi). Cred ca am pierdut alb liste, dar voi reveni şi verifica în special pentru asta.

În ceea ce oamenii de la U Malware a răspunde la întrebările puse am pentru tine, nu au. Am avut un fir postat acolo timp de aproape două zile, fără un singur răspuns. Nu a fost vizualizat de 40 de ori, asa ca am knpow acesta a fost văzut, dar nu răspunde. Este lent scufundarea în jos pe listă şi va fi pentru totdeauna îngropate în umbră, fără răspuns mă tem, de târziu mâine devreme sau miercuri.

Sunt atât de multe cazuri de Svchost pentru concediere şi fiabilitate (totul se învecina ţinând departe atât de multe. Exe şi transformarea lor în. Dll de ect ....). Aceasta este, probabil, singurul lucru care l-am ştiut, înainte de care am inceput acest curs, dar, ca de obicei, nu au înţeles-o complet şi nu a ştiut cum să-i spun ce a fost Svchost service ce. Am găsit însă o mare tutorial despre asta pe howtogeek.com, care arată cum, pentru a ajunge la linia de comandă. LOL Am privit-o din nou şi detalii Cum se ajunge la proces şi de a folosi Explorer. Am întrebat despre faptul că de acolo, de asemenea. Iată link-ul, se pare mare pentru mine. Eu mi arată cum se face în ambele XP şi Vista. Am nevoie de citit ca să merg acum şi urmaţi toate link-urile de la ea.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glaswegian]

Buna din nou

Asta e una destul de bună explicaţie a Svchost. S-ar putea dori, de asemenea, de a utiliza ceva de genul Process Explorer să se uite la dll care sunt încărcate fişierele de pe propriul dvs. sistem. Ea poate fi destul de revelator. De asemenea, verificaţi Autoruns.

Din nou, nu vreau să preîntâmpine orice, care poate fi venind de la UM-ţi de drum, dar cred că ele pot fi, de asemenea, căutaţi-vă pentru a face unele de cercetare şi de cel puţin un du-te la a răspunde la întrebări (care este modul în care o ar munca ...).

Dacă sunteţi cu adevărat a blocat pentru un raspuns, posta din nou aici şi nici pe mine sau EF va încerca noastre cele mai bune pentru a oferi un răspuns.