HijackThis login käynnisssä olevat prosessit

Sitten siellä login ylhäällä on se Running processes (prosessit käynnissä) kohta joka ilmoittaa prosessit mitkä on login otto-hetkellä käynnissä koneella.Näissä prosesseissa on hyvin usein myös käynnissä viruksia, troijalaisia yms..mitkä ovat myös siellä login 04-alkuisissa käynnisssä.Suurin osa on tietenkin ihan koneen tavallisia tai jonkin tarpeellisen ohjelman prosesseja (esim virustorjunta -/ palomuuriohjelma).
Login / koneen prosessit saa nyt myös suoraan näkyviin ilman , että sitä logia tarvitsee ensin tallentaa.Avattuasi HijackThis ohjelman paina sieltä oikealta Config--> ylhäältä Misc Tools--> Open process manager ja näin avautuu ikkuna missä on listattu kaikki prosessit.

Esimerkki



Näitä prosesseja voitte sitten voitte tutkia rivin viimeisenä olevan tiedostonimen perusteella.Käyttäkää hakuna nimeä .exe päätteen kanssa tai ilman sitä. esim. navapsvc.exe tai navapsvc.
Hakuja voitte suorittaa monessa paikassa.Tässä niissä muutama.
answersthatwork.com
liutilities.com
reger24.de
sekä tietysti aina Google

esim. navapsvc.exe antaa seuraavan tuloksen.Löytyy vain yksi tulos.


Siellä oikealla selostetaan mikä se on ja mihin ohjelmaan se mahdollisesti kuuluu.Siellä myös on suositus mitä sille pitäisi tehdä.

Siellä katsottiin tämän rivin merkitys
C:\Program Files\Norton AntiVirus\navapsvc.exe

Ylläolevassa esimerkkikuvassa siellä kerrotaan,että se kuuluu Norton Antivirus torjuntaohjelmaan ja suositus on ,että siihen ei kosketa.

esim. winlogon antaa seuraavan tuloksen.Sieltä täytyy ottaa mukaan kaikki ne tulokset mistä löytyy toi winlogon.exe


Ylläolevan esimerkkikuvan tuloksessa näkyy kaksi kaksi (2) tulosta.
Haettiin siis tuon rivin loppuosan olevalla hakusanalla. Sitten joudutaan vielä katsomaan mikä sen rivin alkuosan polku on .Tässä se on siis
C:\WINDOWS\system32\winlogon.exe
Siten tämän rivin tulos on se ylimmäinen rivi koska winlogon.exe sijaitsee oikeassa polussa (suositus on jätetään paikalleen). Jos se olisi väärässä polussa esim.
C:\WINDOWS\winlogon.exe
se voisi olla Netsky-virus tai joku muu uusi virus ja suositus on ,että suoritetaan heti päivitetyllä virustorjuntaohjelmalla virusscannaus ja mieluiten vielä vikasietotilassa.
Huom ! Kyseinen winlogon.exe esiintyy ainoastaan Windows NT4/2000/XP/2003 käyttöjärjestelmissä, joten jos sulla on Windows 95/95/ME käyttöjärjestelmä niin sulla on varmasti virus.

esim. vsmon.exe antaa seuraavan tuloksen.Löytyy seuraava tulos.

Ylläolevassa esimerkkikuvassa siellä kerrotaan kohdassa Description,että se kuuluu Zone Alarm palomuuriohjelmaan ja kohdassa Security risk: No (ei siis ole virus , troijalainen yms..)
siksi myös tämä rivi
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
on ihan OK.

esim. winexplor.exe ei noista perinteisistä hakupaikosta löydy mitään ja Googlekin antaa vain muutaman tuloksen.
Niistä kun katsoo muutaman niin on syytä epäillä ,että tämä on virus tai troijalainen tms..
C:\windows\system32\winexplor.exe

koska siellä Googlen tuloksissa on useita HijackThis logeja ja niitä tutkimalla sieltä löytää niistä 04-alkuisista tämän rivin.
O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE

Aina kun löydätte epäilyttäviä prosesseja koneelta ja siellä login muissakin riveissä on epäilyttäviä rivejä niin hakekaa apua niistä foorumeista ja liittäkää logi mukaan.

Varoituksen sana vielä kerran
Älkää siis missään tapauksessa alkako niitä itse poistamaan



Viimeinen päivitys: 29.01.2016 08:11


Takaisin HijackThis sivulle.


Copyright © 2004 Nimimerkki Ad-Aware