[Glasgowbornas]

Inga problem.

Ganska nära - HJT är i huvudsak en Registereditorn. Som du säger, det söker igenom registret och bildar en logg över sitt resultat. Det har flera andra funktioner och - ta lite tid och få veta vad de är.

Här är de tjänster en del av en logg från min dator:

Loggfil av Trend Micro HijackThis v2.0.2
Scan sparades vid 21:49:17 den 07/11/2008
Plattform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Kör processer:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
E: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
C: \ WINDOWS \ system32 \ CTsvcCDA.exe
E: \ Program \ Diskeeper Corporation \ Diskeeper \ DkService.exe
E: \ progra ~ 1 \ AVG \ AVG8 \ avgrsx.exe
C: \ Program \ Delade filer \ Microsoft Shared \ VS7Debug \ mdm.exe
E: \ FAH \ smpd.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
C: \ WINDOWS \ system32 \ Svchost.exe
E: \ progra ~ 1 \ AVG \ AVG8 \ avgemc.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program \ Creative \ Sound Blaster X-Fi \ Volym Panel \ VolPanlu.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ SnoopFreeUI.exe
C: \ Program \ Creative \ Creative Live! Cam \ VideoFX \ StartFX.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ Communications_Helper.exe
C: \ Program Files \ Common Files \ LogiShrd \ LComMgr \ LVComSX.exe
E: \ Program \ Winamp \ winampa.exe
E: \ progra ~ 1 \ AVG \ AVG8 \ avgtray.exe
E: \ Program \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
E: \ Program Files \ Logitech \ Börvärde \ SetPoint.exe
E: \ Program \ Microsoft Office \ Office10 \ msoffice.exe
C: \ Program Files \ Common Files \ Logishrd \ KHAL2 \ KHALMNPR.EXE
E: \ Program \ SpywareGuard \ sgmain.exe
E: \ Program \ SpywareGuard \ sgbhp.exe
F: \ Iain \ Drivers och Software \ CoreTemp \ Core Temp.exe
E: \ FAH \ fah6.exe.exe
E: \ FAH \ mpiexec.exe
E: \ FAH \ smpd.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ FAH \ FahCore_a1.exe
E: \ Program \ Mozilla Firefox \ firefox.exe
E: \ Program Files \ HJTHotkey \ HJTHotkey.exe
E: \ Program Files \ Keynote \ keynote.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ Documents and Settings \ All Users \ Application Data \ LGMOBILEAX \ B2C_Client \ LGUserCSTool.exe
F: \ Iain \ HijackThis \ HiJackThis.exe


Jag gör att 52 processer. Min Aktivitetshanteraren säger 81 processer.

Ta en titt på de processer som anges i dina inloggningsuppgifter och de som anges i ditt Task Manager och berätta vad som är annorlunda.

[Glasgowbornas]

Jag menade att lägga till detta - det är den nedre delen av min logg

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK Computer Inc. - C: \ WINDOWS \ ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, sro - E: \ progra ~ 1 \ AVG \ AVG8 \ avgemc.exe
O23 - Service: AVG8 Watchdog (avg8wd) - AVG Technologies CZ, sro - E: \ progra ~ 1 \ AVG \ AVG8 \ avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E: \ Program \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: FAH @ E: + Program Files + Folding @ Home Windows SMP Client V1.01 + fah.exe - okänd ägare - E: \ Program Files \ Folding @ Home Windows SMP Client V1.01 \ fah.exe (akten saknas)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C: \ Program Files \ Common Files \ Logitech \ Bluetooth \ LBTServ.exe
O23 - Service: MPICH2 Process Manager, ARGONNE National Lab (mpich2_smpd) - Unknown ägaren - E: \ FAH \ smpd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Snoop Free Service (SnoopFreeSvc) - Unknown ägaren - C: \ WINDOWS \ System32 \ SnoopFreeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E: \ Program Files \ VMware \ VMware Workstation \ VMware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ WINDOWS \ system32 \ vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

Inte många tjänster där, finns det? Kan ni tänka på en anledning till varför så få tjänster som faktiskt visas?

[Bubba]

Din första fråga är enkel. Den HJT log inte visar någon av mina system processer. Vad jag vet inte varför. Jag har fört detta på Malware U också, och har fått ett par svar, men ingen har slutgiltig. En är att kanske HJT inte är konfigurerade för Vista64, en annan säger att detta är normalt för alla Vista HJT log. En annan påpekade att alla mina 023 (tjänst) uppgifterna inte var korrekt visas som för oss tillbaka till antingen en oförenlighet med Vista64 eller Vista som helhet. Jag har inte UAC aktiverat, fan, jag har inte något av de MS säkerhet grejer påslagna.

Till varför yoou har 81 processer igång och HJT visar bara 52, jag vet inte. Jag har en HJT log för den här datorn (jag gjorde min första PL00a med det), och jag kommer att jämföra vad som visas i HJT log med vad som visas i Aktivitetshanteraren och komma tillbaka till dig. Jag kommer också att titta på och se vad jag kan räkna ut

Obs: När jag skriver detta, jag använder min gamla dator som är en Vista-maskin.

[Glasgowbornas]

Du kan hitta en tutorial på HJT vara lite hjälp - det är något jag rekommenderar praktikanter för att läsa första ändå.

http://www.bleepingcomputer.com/tuto...utorial42.html

[Bubba]

Rättelse första från min ovanstående post. Min gamla dator (som jag gör här en på en alltför lol), är en XP-maskin inte en Vista maskin. Processer fråga revisted från XP maskin:

Jag reran HJT och kopieras Process del sedan immedially öppna Aktivitetshanteraren och jämfört siffrorna. Jag hade 50 processer om HJT och 58 på Aktivitetshanteraren. Jag skrev Aktivitetshanteraren lista på ett anteckningsblock doc och sedan gick igenom HJT listan. Jag utgår från Aktivitetshanteraren listan allt som visade på HJT listan för att se vad som var kvar. Två frågor innan jag går vidare:

1). Finns det något sätt att få igång processen listan från Aktivitetshanteraren istället för att göra vad jag gjorde, IE: öppna en notepad doc och manuellt varje post i?

2). Aktivitetshanteraren visar en post som "Winlogon.exe medan HJT visar den fullständiga sökvägen (är vägen rätt term?) T.ex. C: \ WINDOWS \ system32 \ Winlogon.exe. Eftersom processen jag används som ett exempel Winlogon.exe kan sabotageprogram (trojan tror jag), om det inte från vägen C: \ WINDOWS \ system32, det skulle vara trevligt att få veta den fullständiga sökvägen. Så hur kan jag få den fullständiga sökvägen från Windows Aktivitetshanteraren?

Tillbaka till mitt processer jag faktiskt slutade med 11 kvar på min lista, inte 8. Jag kan tänka mig två orsaker till that.Off de 11, tre var Svchost.exe "s. Jag kanske missade en när du tar bort från en lista till en annan. En process som visar på HJT lista HJT vilket naturligtvis inte var öppen när jag gjorde Aktivitetshanteraren så det inte dyker upp där. Detta eliminerar 2. Av de återstående 9, 2 var notepad.exe är som inte var öppet när jag gjorde HJT och två skulle de två andra Svchost.exe "s. Jag har inte funnit något ännu som talar om vad som öppnar dem, bara att de ofta används av Windows. Av de återstående 5 som inte visas på HJT två var:
System:
system är en process som visar på de uppgifter om främst Windows XP, Windows 2003 Server och senare versioner av Windows. Detta är ett standard system motverka och kan inte tas bort.

System Idle Process:
systemet inaktiv processen inte är en process, mer en räknare som visas i WinTasks används för att mäta hur mycket inaktiv Temne processorn har vid en viss tidpunkt. Denna counter visar hur mycket CPU-resurser, i procent är "inaktiv" och tillgängliga för användning. Kan inte bli dödad.

Jag utgår från att dessa två öppna med arbetsuppgift direktör och som sådan inte skulle ha sett. Då återstår tre, två som jag är borta till varför de inte visas av HJT, särskilt en för Mediespelare sedan mediaspelare har tidigare utnyttjats av sabotageprogram har det inte? De är:

alg.exe:
Den alg.exe körbara tillåter program (t.ex. IM klienter, RTSP, BitTorrent, SIP, och FTP) från en dator till dynamiskt utnyttja passiv TCP / UDP-portarna i kommunikationen med kända hamnar på en server.

wmpnetwk.exe:
wmpnetwk.exe är det viktigaste körbara för Windows Media Player Network Sharing Service. Det används för att dela med Windows Media Player bibliotek.
taskmgr.exe

De övriga är:

csrss.exe:
Microsoft Client Server Runtime Server delsystemets utnyttjar processen csrss.exe för förvaltningen av merparten av den grafiska instruktioner fastställs inom ramen för Microsoft Windows operativsystem. Csrss.exe kontroller gäng och Win32 console fönster funktioner. Gäng är där ansökan delas upp i flera samtidiga körs uppgifter.

Även om jag inte helt säker, jag tror att detta kan ha öppnats efter att jag körde HJT när jag öppnat flera instanser av anteckningsblock att skriva ner och jämföra data. Alla tankar eller kritik du har på det jag just skrev skulle uppskattas. Jag har avslutat min första träning, (och hade det critiqued av en instruktör), vid Malware U, så detta är något extra för min egen lust att lära mer, och bättre förstå processer, och som sådant kommer jag inte att "fuska" genom att ber er om det.

När det gäller dina tjänster fråga: Jag har inte undersökt det fullt ut ännu, inte heller noggrant tittat på data, jag planerar att göra något liknande med mina egna HJT log som jag gjorde med min process log, att jämföra 023-listan med det faktiska tjänster listan men utanför manschetten ............

Den lilla jag har läst och kunnat förstå om tjänster skulle leda mig att tro att din lista är kort eftersom det bara visar de öppna tjänsterna, inte i avvaktan på sådana, eller ......... skit, jag har glömt de andra två klasser av sevices lol, vilket är anledningen till att jag behöver göra mer forskning. Hur som helst, om jag är på rätt väg med det, låt mig veta.

tack. Jag uppskattar att du tar dig tid och utmanade mig att vara säker på vad jag lära innan jag sprutar det. Jag tror inte att det någonsin en sådan sak som "för mycket undervisning" eller "för mycket lärande". Heck, det finns så mycket kunskap att det är omöjligt att någonsin börja lära sig allt.

[Glasgowbornas]

Du får det. Har du läst handledningen på BC? Det nämns Listor - Som kan hjälpa en bit på vägen.

Som jag sade tidigare, jag tänker inte svara på specifika frågor, exempelvis sådana som rör Winlogon, eftersom din handledare på MU kommer att ta itu med saker på sitt eget sätt. De av oss som deltar i undervisningen har alla våra egna metoder och "sätt" och det skulle inte vara rätt för mig att försöka föregripa stil av någon annan.

En process är programvara som körs på en dator. Vissa tjänster är processer och, med början när datorn startar upp - med andra ord inga användaråtgärder behövs för att starta dem.

Någon aning om varför du fick mer än en Svchost tjänsten visar?

[Bubba]

Jag har behandlingen att självstudien sedan jag började lol, och nästan förstå om ett 1 / 4 av den (den är kopplad som en av de första sakerna som de vill att vi ska läsa). Jag måste ha missat den vita listor, men jag ska gå tillbaka och kontrollera särskilt för detta.

Som att folk på Malware U besvara de frågor jag ställde till er, har de inte. Jag har haft en konversation postat det i nästan två dagar utan ett enda svar. Jag har sett 40 gånger, så jag knpow det setts, men inga svar. Det är långsamt sjunker ner i listan och kommer att vara för evigt begravda i det fördolda, obesvarade jag rädd, som sent i morgon eller i början onsdag.

Det finns så många instanser av Svchost för redundans och tillförlitlighet (alltihop gränsa intill tar bort så många. Exe och göra dem till. Dll's ect ....). Det är antagligen det enda jag visste innan jag började den här kursen, men som vanligt inte förstod det helt och inte vet hur man berättar vad Svchost var service vad. Jag fann dock en stor handledning om den howtogeek.com som visar hur man tar sig till kommandoraden. LOL Jag tittade igen och information hur man tar sig till och använda Process Explorer. Jag har frågat om det där också. Här är länken, det verkar bra för mig. I t visar hur man gör det i både XP och Vista. Jag måste gå läsa att nu och följa alla länkar från den.
http://www.howtogeek.com/howto/windo...is-it-running/

[Glasgowbornas]

Hej igen

Det är en ganska bra förklaring av Svchost. Du kanske också vill använda något liknande Process Explorer att titta på vilka dll-filer som laddas på ditt eget system. Det kan vara ganska avslöjande. Besök även Autoruns.

Återigen, jag vill inte föregripa någonting som kan komma din väg från MU, men jag misstänker att de kan också leta efter er att göra vissa forskning och åtminstone ha en gå till att besvara dina frågor (det är så jag skulle fungera ...).

Om du verkligen fastnat för ett svar, skicka tillbaka hit och antingen själv eller EF försöker vårt bästa för att ge ett svar.