Avast WEBforum

Non-English Zone => Русский => Topic started by: OxyKsu on December 19, 2010, 02:05:16 PM

Title: Непонятные вирус-процессы, которые аваст
Post by: OxyKsu on December 19, 2010, 02:05:16 PM: Всем привет! Надеюсь, кто-нибудь сможет помочь. Недавно заметила у себя на компьютере такую неприятность. Через интернет массово отправляются какие-то данные, страницы не грузятся. При проверке запущенных процессов через диспетчер задач обнаружила незнакомые мне процессы:
G001.exe
G002.exe
E001.exe
E003.exe
F001.exe
room.exe
mDNSResponder.exe
Все от пользователя SYSTEM, то есть сидят в системных файлах. Отключить из диспетчера можно до перезагрузки. Аваст поймать их не может, полезная программа троян ремувер тоже. Вручную парочку удалила, но после перезагрузки опять появились. Как с этой напастью бороться? Кто с подобным сталкивался?
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: Nameless13 on December 19, 2010, 08:46:30 PM: Скачайте MBAM (http://www.techspot.com/downloadget.php?id=4716&file=1&evp=0a59f9584bb65ce60f8292a3fc06e555), установите, обновите базы и выполните полную проверку. После сканирования откроется текстовый файл, его содержимое скопируйте в следующее сообщение. Мож кто чего подскажет по логу.
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: OxyKsu on December 20, 2010, 08:19:52 PM: спасибо за совет! Сегодня в папке систем32 руками ловила, вроде удалила всех. После перезагрузки не появились в отличие от прошлых разов, надеюсь и не будет больше. Программу скачаю, проверю на всякий случай. Еще раз спасибо
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: barsukRed on December 25, 2010, 06:25:02 PM: Quote from: OxyKsu on December 19, 2010, 02:05:16 PM
G001.exe
G002.exe
E001.exe
E003.exe
F001.exe
room.exe
mDNSResponder.exe
Случаем фотошопчик не стоит у Вас?
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: OxyKsu on January 17, 2011, 06:34:16 PM: Quote from: barsukRed on December 25, 2010, 06:25:02 PM
Случаем фотошопчик не стоит у Вас?
Эммм... Стоит вообще-то... Но как-то связи не вижу, именно этой версией и этим установочным диском пользуюсь довольно давно, а с подобными вредностями не сталкивалась. В данный момент эти процессы удалены с компа, но все же интересно что это такое было? Все сидели в папке C:\WINDOWS\system32\t
Довольно странное название для папки как по мне. Если Вы какой-то подробной информацией располагаете - расскажите пожалуйста
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: George Yves on January 17, 2011, 07:13:26 PM: Quote from: OxyKsu on January 17, 2011, 06:34:16 PM
Quote from: barsukRed on December 25, 2010, 06:25:02 PM
Случаем фотошопчик не стоит у Вас?
Эммм... Стоит вообще-то... Но как-то связи не вижу
http://forum.chel-net.ru/showthread.php?t=5434
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: OxyKsu on January 26, 2011, 06:38:24 PM: Quote from: George Yves on January 17, 2011, 07:13:26 PM
http://forum.chel-net.ru/showthread.php?t=5434
Спасибо за ссылку, но к сожалению прочитать что по ней не могу. У меня инет через юсб модем, айпи динамичный. Сайт по ссылке выдает сообщение что мой айпи заблокирован администрацией даже после смены айпи (переподключении). Можно получить ту же информацию вкратце тут?
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: George Yves on January 26, 2011, 07:42:18 PM: Quote
Процессs mdnsNSP.dll и mDNSResponder.exe - за вами следят из ADOBE

Если после установки Photoshop CS3 вы наблюдаете в папке Program Files вашего компьютера папку с именем Bonjour и двумя файлами в ней (mdnsNSP.dll и mDNSResponder.exe) - знайте, за вами следят из ADOBE. Cервис все время висит в процессах и раздражает своим присутствием. А ведь вы не давали согласие на его установку, ADOBE вас об этом предупреждала? Нет. Так и нечего шарить по вашей собственности! Bonjour может попасть с другим софтом адобе или макромедии, даже с прогой от айпод например или Plug and Play дровами, возможно со скайпом.

А как его остановить?

Пуск->Настройки->Панель управления->Администрирование->Службы
Или
Пуск->Выполнить и набираешь C:\WINDOWS\system32\services.msc /s
Видишь службу с дурацким именем :##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 # #
Щелкаешь на ней правой кнопкой -> Свойства-> тип запуска -> Отключен, саму службу остановить соотвествующей кнопкой.

Полное удаление (инструкция для вычищения)

В консоле
sc stop "Bonjour Service"
sc delete "Bonjour Service"
regsvr32 /u "C:\Progra~1\Bonjour\explorerplugin.dll"
regsvr32 /u "C:\Progra~1\Bonjour\mdnsnsp.dll"
ren "C:\Progra~1\Bonjour" xxx
del %systemroot%\system32\dns-sd.exe
del %systemroot%\system32\dnssd.dll

В реестре
HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries удаляем подветку, где идёт упоминание о mdnsnsp.dll (например 000000000007). Устанавливаем HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Num_Catalog_Entries со значением нового кол-ва каталогов (например, 6, до этого у нас было 7).

Ищем и удаляем в реестре любые ключи связанные с explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour.

Перегружаемся.

Удаляем папку xxx в "c:\Program files".

Тот же текст (с комментариями) можете прочитать тут: http://b-109.info/news/2007-09-18-85
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: BlackAngel on June 25, 2011, 06:28:55 AM: А у меня вообще Аваст не желает работать, а когда пытаешся уего удалить - он не удаляется. И переустановить его тоже не выходит(((
Title: Re: Непонятные вирус-процессы, которые аваст
Post by: GeneZis on June 25, 2011, 08:23:14 AM: Quote from: BlackAngel on June 25, 2011, 06:28:55 AM
А у меня вообще Аваст не желает работать, а когда пытаешся уего удалить - он не удаляется. И переустановить его тоже не выходит(((
Создайте отдельную тему с подробным описанием проблемы.