Author Topic: Непонятные вирус-процессы, которые аваст (Read 9542 times)

OxyKsu · « **on:** December 19, 2010, 02:05:16 PM »

Всем привет! Надеюсь, кто-нибудь сможет помочь. Недавно заметила у себя на компьютере такую неприятность. Через интернет массово отправляются какие-то данные, страницы не грузятся. При проверке запущенных процессов через диспетчер задач обнаружила незнакомые мне процессы:
G001.exe
G002.exe
E001.exe
E003.exe
F001.exe
room.exe
mDNSResponder.exe
Все от пользователя SYSTEM, то есть сидят в системных файлах. Отключить из диспетчера можно до перезагрузки. Аваст поймать их не может, полезная программа троян ремувер тоже. Вручную парочку удалила, но после перезагрузки опять появились. Как с этой напастью бороться? Кто с подобным сталкивался?

Nameless13 · « **Reply #1 on:** December 19, 2010, 08:46:30 PM »

Скачайте MBAM, установите, обновите базы и выполните полную проверку. После сканирования откроется текстовый файл, его содержимое скопируйте в следующее сообщение. Мож кто чего подскажет по логу.

OxyKsu · « **Reply #2 on:** December 20, 2010, 08:19:52 PM »

спасибо за совет! Сегодня в папке систем32 руками ловила, вроде удалила всех. После перезагрузки не появились в отличие от прошлых разов, надеюсь и не будет больше. Программу скачаю, проверю на всякий случай. Еще раз спасибо

barsukRed · « **Reply #3 on:** December 25, 2010, 06:25:02 PM »

Quote from: OxyKsu on December 19, 2010, 02:05:16 PM

G001.exe
G002.exe
E001.exe
E003.exe
F001.exe
room.exe
mDNSResponder.exe

Случаем фотошопчик не стоит у Вас?

OxyKsu · « **Reply #4 on:** January 17, 2011, 06:34:16 PM »

Quote from: barsukRed on December 25, 2010, 06:25:02 PM

Случаем фотошопчик не стоит у Вас?

Эммм... Стоит вообще-то... Но как-то связи не вижу, именно этой версией и этим установочным диском пользуюсь довольно давно, а с подобными вредностями не сталкивалась. В данный момент эти процессы удалены с компа, но все же интересно что это такое было? Все сидели в папке C:\WINDOWS\system32\t
Довольно странное название для папки как по мне. Если Вы какой-то подробной информацией располагаете - расскажите пожалуйста

George Yves · « **Reply #5 on:** January 17, 2011, 07:13:26 PM »

Quote from: OxyKsu on January 17, 2011, 06:34:16 PM

Quote from: barsukRed on December 25, 2010, 06:25:02 PM
Случаем фотошопчик не стоит у Вас?
Эммм... Стоит вообще-то... Но как-то связи не вижу

http://forum.chel-net.ru/showthread.php?t=5434

OxyKsu · « **Reply #6 on:** January 26, 2011, 06:38:24 PM »

Quote from: George Yves on January 17, 2011, 07:13:26 PM

http://forum.chel-net.ru/showthread.php?t=5434

Спасибо за ссылку, но к сожалению прочитать что по ней не могу. У меня инет через юсб модем, айпи динамичный. Сайт по ссылке выдает сообщение что мой айпи заблокирован администрацией даже после смены айпи (переподключении). Можно получить ту же информацию вкратце тут?

George Yves · « **Reply #7 on:** January 26, 2011, 07:42:18 PM »

Quote

Процессs mdnsNSP.dll и mDNSResponder.exe - за вами следят из ADOBE

Если после установки Photoshop CS3 вы наблюдаете в папке Program Files вашего компьютера папку с именем Bonjour и двумя файлами в ней (mdnsNSP.dll и mDNSResponder.exe) - знайте, за вами следят из ADOBE. Cервис все время висит в процессах и раздражает своим присутствием. А ведь вы не давали согласие на его установку, ADOBE вас об этом предупреждала? Нет. Так и нечего шарить по вашей собственности! Bonjour может попасть с другим софтом адобе или макромедии, даже с прогой от айпод например или Plug and Play дровами, возможно со скайпом.

А как его остановить?

Пуск->Настройки->Панель управления->Администрирование->Службы
Или
Пуск->Выполнить и набираешь C:\WINDOWS\system32\services.msc /s
Видишь службу с дурацким именем :##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 # #
Щелкаешь на ней правой кнопкой -> Свойства-> тип запуска -> Отключен, саму службу остановить соотвествующей кнопкой.

Полное удаление (инструкция для вычищения)

В консоле
sc stop "Bonjour Service"
sc delete "Bonjour Service"
regsvr32 /u "C:\Progra~1\Bonjour\explorerplugin.dll"
regsvr32 /u "C:\Progra~1\Bonjour\mdnsnsp.dll"
ren "C:\Progra~1\Bonjour" xxx
del %systemroot%\system32\dns-sd.exe
del %systemroot%\system32\dnssd.dll

В реестре
HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries удаляем подветку, где идёт упоминание о mdnsnsp.dll (например 000000000007). Устанавливаем HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Num_Catalog_Entries со значением нового кол-ва каталогов (например, 6, до этого у нас было 7).

Ищем и удаляем в реестре любые ключи связанные с explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour.

Перегружаемся.

Удаляем папку xxx в "c:\Program files".

Тот же текст (с комментариями) можете прочитать тут: http://b-109.info/news/2007-09-18-85

BlackAngel · « **Reply #8 on:** June 25, 2011, 06:28:55 AM »

А у меня вообще Аваст не желает работать, а когда пытаешся уего удалить - он не удаляется. И переустановить его тоже не выходит(((

GeneZis · « **Reply #9 on:** June 25, 2011, 08:23:14 AM »

Quote from: BlackAngel on June 25, 2011, 06:28:55 AM

А у меня вообще Аваст не желает работать, а когда пытаешся уего удалить - он не удаляется. И переустановить его тоже не выходит(((

Создайте отдельную тему с подробным описанием проблемы.

Author Topic: Непонятные вирус-процессы, которые аваст (Read 9542 times)

OxyKsu

Непонятные вирус-процессы, которые аваст

Nameless13

Re: Непонятные вирус-процессы, которые аваст

OxyKsu

Re: Непонятные вирус-процессы, которые аваст

barsukRed

Re: Непонятные вирус-процессы, которые аваст

OxyKsu

Re: Непонятные вирус-процессы, которые аваст

George Yves

Re: Непонятные вирус-процессы, которые аваст

OxyKsu

Re: Непонятные вирус-процессы, которые аваст

George Yves

Re: Непонятные вирус-процессы, которые аваст

BlackAngel

Re: Непонятные вирус-процессы, которые аваст

GeneZis

Re: Непонятные вирус-процессы, которые аваст