[Глазго]

Не беспокойтесь.

Близко - HJT, по существу, является редактор реестра. Как вы говорите, он сканирует реестр и выпускает журнал о ее результатах. У него есть ряд других функций, а - принять какое-то время и узнать, какие они есть.

Вот Услуги часть лог с моего компьютера:

LOGFILE от Trend Micro HijackThis v2.0.2
Сканирования сохраняются в 21:49:17 от 07/11/2008
Платформа: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Режим загрузки: Нормальный

Запуск процессов:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Корпорация \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Том Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ Setpoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Иайн \ Драйверы и программное обеспечение \ CoreTemp \ Основные Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Основной \ keynote.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Documents и Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Иайн \ HijackThis \ HiJackThis.exe


Я делаю, что 52 процессов. Моя задача менеджера говорит 81 процессов.

Вы можете посмотреть на процессы, перечисленные в ваш журнал, и те, перечисленных в диспетчер задач, и скажите мне, что разные.

[Глазго]

Я имел в виду, чтобы добавить это - это в нижней части моего журнала

O23 - Service: АТК Клавиатура обслуживания (ATKKeyboardService) - ASUSTeK Computer ИНК - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 Электронная почта Scanner (avg8emc) - AVG Технологии CZ, с.р.о. - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Технологии CZ, с.р.о. - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative служба CDROM доступа - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Корпорация \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Складываемые @ Home Windows SMP клиента v1.01 + fah.exe - Неизвестный владелец - E: \ Program Files \ Folding @ Главная Windows SMP клиента v1.01 \ fah.exe (файл пропавших без вести)
O23 - Service: InstallDriver Таблица Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth обслуживания (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Процесс менеджер Аргоннской Национальной лаборатории (mpich2_smpd) - Неизвестный владелец - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver обслуживания (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Бесплатная служба (SnoopFreeSvc) - Неизвестный владелец - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Авторизация обслуживания (VMAuthdService) - VMware, Inc - E: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP служба (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Виртуальная горе Менеджер Расширенная (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Виртуальная Редактирование изображений \ vmount2.exe
O23 - Service: VMware NAT служба - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Интернет-монитор (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Не многие услуги там есть? Вы можете думать о причине, почему так мало услуг на самом деле, как?

[Bubba]

Ваш первый вопрос очень просто. В HJT журнала не показывается ни одно из системных процессов. То, что я не знаю, почему. Я достижения этой вредоносной программы на U, а, и имели несколько ответов, но никто не был окончательным. Одна заключается в том, что, возможно, HJT не настроен на Vista64, другой говорит, что это является нормальным для любого Vista HJT журнала. Еще одна указала, что все мои 023 (сервис) записей не были должным образом отображается которая возвращает нас либо несовместимости с Vista64 или Vista в целом. У меня нет UAC включена, щеколда, у меня нет какой-либо из MS безопасности материал включен.

Как и почему yoou имеют процессов, запущенных 81 и HJT показывает только 52, я не знаю. У меня есть HJT журнала для этого компьютера (я сделал свой первый PL00a с ним), и я буду сравнивать то, что показывается на HJT вход с тем, что отображается в диспетчере задач и вернуться к вам. Я также буду смотреть на услуги, и посмотреть, что я могу понять,

Примечание: Как я типа это, я использую мои старые машины, которая представляет собой Vista машины.

[Глазго]

Вы можете найти учебник по HJT будет помощь - это что-то я советую прочитать слушателей первого в любом случае.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Поправка первого моего поста выше. Моя старая машина (что я делаю это на слишком LOL), является XP машина не машина Vista. Процессы вопрос revisted XP из машины:

Я reran HJT и скопировал часть процесса затем immedially открыл диспетчер задач и сравнивать числа. Мне было 50 процессов на HJT и 58 в Task Manager. Я набрал куратору список на блокнот документ, а затем прошли через HJT перечень. Я удалил из диспетчера задач перечень всего, что было указание на HJT списка, чтобы узнать, что осталось. Два вопроса, прежде чем пойти дальше:

1). Есть ли способ получить список процесс из диспетчера задач, а делать то, что я сделал, а именно: открыть блокнот документ и вручную тип каждого входа в систему?

2). Диспетчер задач показывает только один вход, такие как "Winlogon.exe", а HJT показывает полный путь (это путь правильный термин?), Например, C: \ WINDOWS \ system32 \ winlogon.exe. Поскольку процесс я использовал в качестве примера, можно winlogon.exe вредоносных программ (Trojan я думаю), если оно не по пути C: \ WINDOWS \ system32, то было бы неплохо знать полный путь. Итак, как я получу полный путь от Windows Task Manager?

Перейти к моей процессы, я на самом деле оказалась 11 оставили в моем списке, а не 8. Я думаю, две причины для that.Off 11, три были svchost.exe 'С. Я, возможно, упустил один при удалении из списка в другой. Один процесс указанием на HJT перечень HJT который, разумеется, не было открытым, когда я сделал Task Manager поэтому не показываться там. Это устраняет 2. Из оставшихся 9, 2 notepad.exe 'S, которые не были открыты, когда я в HJT, а два будут два других Svchost.exe' С. Я пока ничего не нашли, который говорит то, что открывает те, просто, что они широко используются в Windows. Из оставшихся 5 процессов не показывается на HJT два:
Система:
Система представляет собой процесс, который отображается на главной задачи, на Windows XP, Windows 2003 Server и поздние версии Windows. Это умолчанию система борьбы и не может быть удален.

Бездействие системы процесса:
система простоя процесс не является процессом, в контрнаступление, которое отображается в WinTasks используемый для измерения, сколько времени простоя процессора имеет в любой конкретный момент времени. Этот счетчик будет отображать, сколько ресурсов процессора, в процентах являются "простоя" и доступны для использования. Не может быть убит.

Я исходя из того, что эти два открытия с Task Manager, и как таковые не были бы видны. Остается три, два из которых я понятия о том, почему они не отображаются в HJT, особенно для медиа проигрыватель Media Player, поскольку в прошлом были использованы вредоносным она нет? Ими являются:

alg.exe:
В alg.exe исполняемый позволяет приложениям (например, клиентов мгновенных сообщений, RTSP, BitTorrent, SIP и FTP) с клиентского компьютера на динамично использовать пассивное TCP / UDP портов в связи с известными портов на сервере.

wmpnetwk.exe:
wmpnetwk.exe является основной исполняемый файл для Windows Media Player сеть обслуживания. Он используется для обмена Windows Media Player библиотек.
Taskmgr.exe

Оставшиеся процесс:

csrss.exe:
В Microsoft Client Server Runtime Server подсистема использует процесс csrss.exe для управления большинством графический инструкция устанавливает в соответствии с Microsoft Windows операционной системы. Csrss.exe контроля резьбы и Win32 консольное окно возможностей. Threading, где распадается сама заявка на несколько одновременных Запуск задачи.

Хотя я не совсем уверен, я думаю, что это могло бы открыли после того, как я побежал HJT, когда я открыл несколько экземпляров блокнот записывать и сравнивать данные. Любая мысль или у Вас есть критические замечания о том, что я написал бы оценил. Я закончил мое первое пребывание (и она critiqued по инструктор), вредоносных программ на U, так что это нечто дополнительное к моей желание больше узнать и лучше понять процессы, и как таковые меня не будет "обман" на прошу вас об этом.

Как к вашим услугам вопрос: я не исследовал в полной мере пока, не внимательно посмотрел на данные, я планирую сделать нечто подобное с моей HJT журнал, как я сделал с моим процесс регистрации, по сравнению с 023 в список существует фактический перечень услуг, но у манжеты ............

Маленькая Я прочитал и был в состоянии понять, об услугах, приведет меня к мнению, что список не хватает, так это только с указанием открытых услуг, а не до них, или ......... дерьмо, я забыл о двух других классах Услуги LOL, вот почему я должен делать больше исследований. Любом случае, если я на правильном пути в том, что, дайте мне знать.

спасибо. Благодарим вас за время и сложным мне быть уверенным, что я узнал, прежде чем я носик его. Я не верю, что есть еще такая вещь как "слишком много преподавание" или "слишком много обучения". Heck, существует так много, что невозможно все начать изучать все это.

[Глазго]

Вы уже там. Вы читать учебник по БК? Он упоминает белые списки - Что, возможно, поможет немного.

Как я сказал ранее, я не собираюсь отвечать на конкретные вопросы, такие, как те, которые касаются Winlogon, потому что ваши преподаватели на MU будет касаться, например, что по-своему. Те из нас, участвующих в обучении все наши собственные методы и способы ", и не было бы права на меня, чтобы попытаться упредить стиль кто-то еще.

Процесс только программное обеспечение работает на ПК. Некоторые услуги являются процессы, а, начиная, когда компьютер загружается - иными словами, без вмешательства пользователя необходимо, чтобы начать их.

Любая идея, почему у вас более одного Svchost службы показывается?

[Bubba]

Я читал, что учебник, так как я начал LOL, и почти понимаю около 1 / 4 от его (это связано как одна из первых вещей они хотят, чтобы мы читать). Я должен иметь пропустил белые списки, но я вернуться и проверить, специально для этого.

Что касается людей на вредоносные программы У отвечая на вопросы, заданные я вам, это не так. Я имел нить размещены там в течение почти двух суток без единого ответа. Я был просмотрен 40 раз, так что я knpow это было видно, но нет ответов. Он медленно тонущие в списке и будет навеки похоронен в безвестность, я без страха, в конце или в начале завтра среду.

Есть так много случаев Svchost для резервирования и надежности (в целом вещь граничить унося так много. EXE и их превращения. DLL в ECT ....). Вот, пожалуй, единственное, что я знал до того, как я начал этот курс, но, как обычно, не понимает, он полностью и не знали, как рассказать о том, что Svchost обслуживание было на что. Я только что нашел однако большая учебник об этом на howtogeek.com который показывает, как получить доступ к командной строке. LOL я посмотрел еще раз, и она подробно, как получить доступ к использованию и Process Explorer. Я задал вопрос о том, что там, как хорошо. Вот ссылка, это выглядит здорово мне. I T показывает, как это сделать в XP и Vista. Мне нужно пойти, что теперь читать и следовать все ссылки с нее.
http://www.howtogeek.com/howto/windo...is-it-running/

[Глазго]

Привет еще раз

Это очень хорошее объяснение Svchost. Кроме того, можно использовать что-то хотел Process Explorer смотреть на DLL-файлы, которые в настоящее время загружается на вашей собственной системы. Это может оказаться весьма показательным. Кроме того, проверить Autoruns.

Опять же, я не хочу упредить все, что может быть ваш предстоящий путь от Союза, но я подозреваю, они также могут быть перспективными для вашего сделать некоторые исследования, и по меньшей мере иметь искать ответа на ваши вопросы (что, как я будет работать ...).

Если вы действительно застряли на ответ после вернуться сюда, и либо сам или EF постараемся от нас зависящее, чтобы дать ответ.