Заметил я как-то у себя в процессах какого-то левого парня, и это мне не очень понравилось. Стал копать в инете, нарыл много интересного.
Процессы mdnsNSP.dll и mDNSResponder.exe – за вами следят из ADOBE
Это не троян. Это “выдумки” славной Adobe Corporation – слежка за пользователями, купившими и не купившими ее продукт – Adobe Photoshop CS3. Насколько подобная вещь неправомерна, решать правозащитникам, на мой взгляд, давно пора уже, как в свое время одну всем нам знакомую софтверную компанию, наказать ее за это. Но пока суд да дело, нам стоит избавиться от “сего бонжура” – на это Вы имеете полное право: Ваш компьютер, Ваш реестр, что хотите, то и делаете, если не нарушаете явно подтвержденных Вами соглашений.
Сервис все время висит в процессах и раздражает своим присутствием. А ведь вы не давали согласие на его установку, ADOBE вас об этом предупреждала? Нет. Так и нечего шарить по вашей собственности! Bonjour может попасть с другим софтом адобе или макромедии, даже с прогой от айпод например или Plug and Play дровами, возможно со скайпом.
А как его остановить?
Пуск->Настройки->Панель управления->Администрирование->Службы
Или
Пуск->Выполнить и набираешь C:\WINDOWS\system32\services.msc /s
Видишь службу с дурацким именем : ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 ##
Щелкаешь на ней правой кнопкой -> Свойства-> тип запуска -> Отключен, саму службу остановить соответствующей кнопкой.
Полное удаление (инструкция для вычищения)
В консоли
sc stop “Bonjour Service”
sc delete “Bonjour Service”
regsvr32 /u “C:\Progra~1\Bonjour\explorerplugin.dll”
regsvr32 /u “C:\Progra~1\Bonjour\mdnsnsp.dll”
ren “C:\Progra~1\Bonjour” xxx
del %systemroot%\system32\dns-sd.exe
del %systemroot%\system32\dnssd.dll
В реестре
HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries удаляем подветку, где идёт упоминание о mdnsnsp.dll (например 000000000007). Устанавливаем HKLM\System\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Num_Catalog_Entries со значением нового кол-ва каталогов (например, 6, до этого у нас было 7).
Ищем и удаляем в реестре любые ключи связанные с explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour.
Перегружаемся.
Удаляем папку xxx в “c:\Program files”.
По материалам:
https://forum.allavatars.ru/index.php?topic=503.0
https://forum.tiera.ru/viewtopic.php?t=14924
Как же это не троям, если антивирусник его таким видит?
Отличная статья.Респект автору.
Большое спасибо!!! Убрал на хрен этот сервис. Антивирус его не определяет, но напрягает его постоянное наличие в памяти. Написано четко и понятно.
не разобрался с консолем. при введении вышеуказаного, мне пишут “псевдоним не найден”. шо робить? и при его полном удалении через консоль и реестр, “бомжур” сможет снова себя проявлять при новых установках эдабовского софта? или это уже раз и навсегда? или куда легче вообще не морочить себе голову с удалением и просто отключить службу, а бонжур пусть себе висит тихонько в «c:\Program files»???
ответте плиз на камент =)
Что такое консоль, что такое реестр, что с ними делать? :(((
Спасибо за статью, я тоже отключил, похоже на троян.
спасибо. очень парило, теперь все в порядке.
спасибо огромное. задолбал меня этот сервис. долбанул его хайджеком, но не добил. теперь все в порядке. спасибо за подробную инструкцию.
что интересно, на вирустотал никто не определяет в нем вирус, а на вирскан 35 из 40 антивиров на него ругнулись, типа троян и т.п.
Объясните пожалуйста когда ищу в редакторе реестра файлы-explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour
То мне после поиска реестра компьютер выдает только две эти строчки.
Имя- PackedCatalogItem
значение-25 53 79 73 74 65 6d %SystemRoot%\system32\mswsock.dll
тип- REG_BINARY
И ВТОРАЯ СТРОКА имя-по умолчанию(написано так)
Тип-REG_SZ
Значение не присвоено
Вот надо их удалять или это не относиться к программе Bonjour?
Проверка файла – действительно ли он от ADOBE или под него замаскировали вирус – https://www.filecheck.ru/process/mdnsresponder.exe.html
Статья хорошая, я правда всё убрал при помощи тотал командера, там утилита есть starter называется.
Плюч ко всему эта служба ещё и интернет трафик кушает, у меня за несколько засов 11 мб.
Ребяты! Это ж протокол Бонжур! Он для работы с Apple (айфоны там или айподы всякие) После его отрубания, может и не заработать айТюнс например корректно
to FroL:
Если это протокол, то почему нас не предупреждают о его установке? И где заявление конфидециальности?
строка в службе ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 ## у меня это называлось просто Служба Bonjou и папка из Program files\Bonjour с dllкой не хотела удалятся пока ее не удалил, вот так
что делать если нет такой службы ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 ##
