[Glasgowa]

Bez obáv.

Docela blízko - hjt je v podstate Editor databázy Registry. Ako ste povedal, že testuje registra a vytvára záznam o jeho výsledku. To má niekoľko ďalších funkcií rovnako - vezme nejaký čas, a dozvedieť sa, aké sú.

Tu je časť Služby záznam z môjho PC:

Logfile Trend Micro HijackThis v2.0.2
Scan uložené v 21:49:17 dňa 07.11.2008
Platforma: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Zavádzacia mód: Normálny

Bežiace procesy:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ Explorer.exe
C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Zväzok Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program Files \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program Files \ Winamp \ winampa.exe
E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ SetPoint \ SetPoint.exe
E: \ Program Files \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program Files \ SpywareGuard \ sgmain.exe
E: \ Program Files \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers a Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program Files \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Hlavná \ keynote.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Documents and Settings \ All Users \ Data aplikací \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Dělám, že 52 procesov. Moja Task Manager hovorí 81 procesov.

Sa pozrieť na procesy, ktoré máte uvedené vo svojom denníku a tie uvedené vo vašom Task Manager a povedz mi čo je iný.

[Glasgowa]

Myslel som pridáte - to je spodná časť môjho denníka

O23 - Service: ATK Klávesnica Service (ATKKeyboardService) - ASUSTeK Computer Inc - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technológia CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technológia CZ, sro - E: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service pre CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP klienta v1.01 + fah.exe - Neznámy vlastník - E: \ Program Files \ Folding @ Home Windows SMP klienta v1.01 \ fah.exe (file chýba)
O23 - Service: InstallDriver Tabuľka Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Procesné Manager, ARGONNE Národné Lab (mpich2_smpd) - Neznámy vlastník - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Bezplatná služba (SnoopFreeSvc) - Neznámy vlastník - C: \ WINDOWS \ system32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorizační Service (VMAuthdService) - VMware, Inc - C: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Rozšírené (vmount2) - VMware, Inc - C: \ Program Files \ Common Files \ VMware \ VMware Virtuálne Image Úprava \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Nie je veľa služieb tam, sú tam? Môžeme si myslíte, že z dôvodov, prečo tak málo služieb skutočne objaví?

[Bubba]

Vaša prvá otázka je jednoduchá. V hjt log sa nezobrazuje žiadne z mojich systému procesov. Co nevím, je, prečo. Bol som pri sledovaní tohto Malware U rovnako, a mali pár odpovedí, ale žiadna bola konečná. Jedným z nich je, že snad hjt nie je nakonfigurovaný pre Vista64, iné praví toto je bežná pre všetky Vista hjt log. Ďalším poukázal na to, že všetky moje 023 (služba) záznamy neboli správne zobrazené, ktorá nás privádza späť k buď k nezlučiteľnosti Vista64 alebo Vista ako celku. Nemám UAC zapnutý, sakra, ja nemám žiadne z MS bezpečnosť vďaka zapnutá.

Ako prečo yoou má 81 procesov prebiehajúcich a hjt ukazuje len 52, nevím. Mám hjt log na tomto počítači (som urobil môj prvý PL00a s ním), a budem porovnávať, čo je zobrazené na hjt log s tým, čo je zobrazené v Správcovi úloh a späť k vám. Budem sa tiež pozrieť na služby a uvidíte, čo sa dá vymyslieť

Poznámka: Ako som už na tento typ, já jsem s použitím môj starý stroj, ktorý je Vista stroj.

[Glasgowa]

Tie by mohli nájsť návod na hjt potrebné pomoct - je to niečo, čo radí stážistu na čítanie prvého ne.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Oprava prvého z mojich vyššie poštou. Môj starý počítač (což já dělám tohle príliš lol), jedná sa o stroj XP nie Vista stroj. Procesy otázku revisted z XP machine:

I reran hjt a skopírovali Procesné časť potom immedially otvorili Task Manager a v porovnaní s číslami. Mal som 50 procesov na hjt a 58 na Správca úloh. I zadaným úlohou manažéra list do doc notepad a potom pomocou hjt zoznamu. I sa vypúšťa z Task Manager zoznam všetkého, čo je zobrazené na hjt zoznamu vidieť to, čo bolo vľavo. Dve otázky, ako som ísť ešte ďalej:

1). Existuje spôsob, ako sa dostať na zoznam procesu od Správca úloh namiesto čo som urobil, IE: otvoriť notepad doc ručne a každý typ vstupu do?

2). Správca úloh zobrazuje len záznam ako "Winlogon.exe" kým hjt ukazuje plnú cestu (cesta je správny výraz?), Ako je C: \ WINDOWS \ system32 \ Winlogon.exe. Vzhľadom k tomu, že proces som použil ako príklad, môže byť Winlogon.exe malware (Trojan myslím), ak nie je z cesty C: \ WINDOWS \ system32, bolo by pekné vedieť, že celú cestu. Tak ako som si celú cestu od Správca úloh systému Windows?

Späť do mojich procesov, som skutočne skončil s 11 vľavo na mojom zozname, a nie 8. Nemôžem myslieť z dvoch dôvodov that.Off 11, tri boli svchost.exe 's. I když možná vynechal jedno mazanie z jedného zoznamu do druhého. Jeden proces ukazujúci na hjt zoznam bol hjt čo samozrejme nebol otvorený, keď som Task Manager, takže nepreukázalo hore. To eliminuje 2. Zo zvyšných 9, 2 boli notepad.exe 's, ktoré neboli otvorené, keď som urobil hjt a dvaja by mali byť ďalšie dve Svchost.exe' s. Zistil som, že zatiaľ nič, ktorý rozpráva, čo sa otvorí ty, stačí, že sú hojne využívané Windows. Zo zostávajúcich 5 postupov, ktoré nie sú uvedené na hjt dve:
Systém:
Systém je proces, ktorý ukazuje na úlohy prevažne Windows XP, Windows 2003 Server a novšie verzie Windows. Toto je predvolené systém čeliť, a nemôže byť odstránený.

Systém Idle procesu:
systém nečinný proces nie je procesom, skôr proti, ktoré sa zobrazujú v WinTasks používa pre merania, koľko nečinnosti procesora má v konkrétnom čase. Táto protiopatrenia sa zobrazí, koľko CPU zdroje, ako je percento 'nečinnosti' a je k dispozícii na použitie. Nemôže byť zabitý.

Já jsem za predpokladu, že tieto dve otvoriť s úlohou manažéra a ako také by nemali byť vidieť. Takže tri, dva, z ktorých som bezradný, prečo neboli zobrazené hjt, najmä jeden pre médiá prehrávač Media Player, pretože v minulosti boli využívané malware má ne? Sú to:

alg.exe:
V alg.exe spustitelnému umožňuje aplikácií (ako sú IM klientov, RTSP, BitTorrent, SIP a FTP) z klientskeho počítača na dynamicky využívať pasívne TCP / UDP portoch v komunikácii so známymi porty na serveri.

wmpnetwk.exe:
wmpnetwk.exe je hlavný spustiteľný pre Windows Media Player siete Zdieľanie Service. Je využívaný na zdieľanie Windows Media Player knižnice.
Taskmgr.exe

Zvyšné postup je nasledujúci:

Csrss.exe:
Microsoft Klient Server Runtime Server subsystém využíva proces Csrss.exe pre správu väčšiny grafických súborov výuka pod operačným systémom Microsoft Windows. Csrss.exe kontrol závitování a Win32 konzola okno vlastností. Threading je v prípade, že žiadosť sama rozdeľuje do niekoľkých súbežných bežiace úlohy.

I keď si nie som úplne istý, myslím, že by to mohlo mať otvorené po tom, co jsem běžel hjt, keď som otvoril viac inštancií notepad zapisovať a porovnávať údaje. Akejkoľvek myšlienky alebo kritiku ste o tom, čo som napísal by ocenili. Som absolvoval svoju prvú excercise, (a mal ho critiqued s inštruktorom), na Malware U, takže to je niečo extra pre moju vlastnú túžbu dozvedieť sa viac a lepšie pochopiť procesy, a ako taký nebudu "podvod", ktoré požiada vás o tom.

Ak sa vaše služby otázku: som nie celkom ešte dopracovať, ani pozorne pozrel na dáta, mám v pláne urobiť niečo podobné s mojím vlastným hjt log, ako som urobil s mojimi procesu prihlásiť, a to porovnaním s 023 list tam skutočné služby zozname, ale spatří ............

Malý som bol schopný prečítať a pochopiť, o službách by ma vedú k presvedčeniu, že zoznam je krátka, pretože je len ukazujúci otvorenej služby, a nie do doby, než ty, alebo ......... doprdele, já zapomněl na ďalšie dve kategórie služieb lol, čo je dôvod, prečo by som mal robiť viac výskumu. Tak ako tak, keď som na správnej ceste s tým, dajte mi vedieť.

vďaka. Oceňuji to bereš čas a napadá ma, aby ste sa uistili, ze to, co jsem učenie, ako som ho striekať. Neverím, že existuje vôbec taká vec ako "príliš veľa výučby" alebo "príliš veľa učenia". Heck, existuje toľko vedomostí, že nie je možné vôbec začať sa učiť všetko.

[Glasgowa]

Ste tam dostať. Mali by ste si prečítať tutoriál na BC? Spomína Whitelist - Ktoré by mohli pomôcť trochu.

Ako som už povedal predtým, já nebudu odpovedať na konkrétne otázky, ako sú tie, ktoré sa týkajú Winlogon, pretože vaše lektormi na MU sa bude zaoberať vecí, ako že sa v ich vlastným spôsobom. Tí z nás, podieľa sa na výučbe všetky majú svoje vlastné metódy a "cesta" a to by nebolo pre mňa to skúsiť a pre-nepredurčuje štýl niekoho iného.

A práve proces je softvér bežiaci na počítači. Niektoré služby sú procesy, rovnako tak, keď začína PC topánky - inými slovami, bez interakcie s užívateľom je potrebné začať nich.

Máte poňatie, prečo by ste mali viac ako jednu službu Svchost zobrazujú?

[Bubba]

Bol som čítania, že výukový program, pretože som začal lol, pochopiť a takmer o 1 / 4 na to (je spojený ako jedna z prvých vecí, ktoré nám chcú čítať). Musel som vynechal biele listy, ale uvidíme sa vrátiť a skontrolovať, zvlášť pre to.

Ak sa ľudia na Malware U odpovede na položené otázky, som s vami, že nebudú. Jsem měl vlákno posta tam takmer dva dni bez jedinej odpovede. I bolo zobrazené 40 krát, tak som knpow je to došlo, ale žiadne odpovede. Je pomaly potápí sa ustanovuje zoznam a bude navždy pochovania do temnoty, nezodpovedaná som strach, na konci roka alebo začiatkom zajtra stredu.

Existuje mnoho prípadov Svchost pre redundancia a spoľahlivosti (celá vec dosadať odobratie toľko. Exe a odbočka do. Dll to ect ....). To je asi jediná vec, čo som vedel, že predtým, ako som začal tento kurz, ale ako zvyčajne, nebolo to úplne pochopiť, a nevedel, ako to povedať, čo bolo Svchost servis co. Len som našiel však skvelý tutoriál o tom na howtogeek.com, ktorý ukazuje, ako sa dostať do príkazového riadku. LOL Já len podíval znovu a informácií, ako získať a používať proces explorer. Požiadal som o tom tam rovnako. Tu je odkaz, vyzerá to pre mňa skvelé. I to ukazuje, ako na to v oboch XP a Vista. Musím ísť čítať, že teraz a sledovať všetky väzby z neho.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glasgowa]

Ahoj znova

To je docela dobré vysvetlenie Svchost. Môžete tiež chcieť použiť niečo ako Process Explorer pozrieť sa na dll súbory, ktoré sú naložené na svoj vlastný systém. Môže to byť docela odhaliť. Tiež skontrolujte Autoruns.

Opäť platí, že nechcem, aby pre-brániť nič, môže byť vaša cesta prichádza z MU, ale mám podozrenie, že môže byť tiež hľadá pre svoj robiť určité výskumné a aspoň majú ísť na odpovedanie na vaše otázky (to je spôsob, akým som by práce ...).

Ak ste naozaj prilepené na odpoveď, poštou späť, a to buď sám, alebo sa pokúsi EF snažiť poskytnúť odpoveď.