Вернуться Форум Bashtel.RU > Архив > Развлекательно-игровой портал АРЕНА
 
 
Опции темы Опции просмотра

Дисконекты и bonjour (С:\Program Files\Bonjour\mdnsresponder.exe)
Старый 14.08.2008, 13:24   #1
Мимо проходил
 
Аватар для RuslanM
 
RuslanM вне форума
Регистрация: 08.08.2008
Сообщений: 2
По умолчанию Дисконекты и bonjour (С:\Program Files\Bonjour\mdnsresponder.exe)

Все у кого установлен любой продукт Adobe и периодические дисконекты:
Наконец-то (вроде-бы) разобрался с проблемой периодических дисконектов в сети... Предположительно проблемы вызывало следующее:

Обнаружил в системе странный сервис - bonjour, запускается как "C:\Program Files\Bonjour\mdnsresponder.exe", висит в списке задач, авторизуется стандартным брандмауэром и потихоньку жрет мой траффик. Это троян? Как мне от него избавиться?

Ответ: Это не троян. Это "выдумки" славной Adobe Corporation - слежка за пользователями, купившими и не купившими ее продукт - Adobe Photoshop CS3. Насколько подобная вещь неправомерна, решать правозащитникам, на мой взгляд, давно пора уже, как в свое время одну всем нам знакомую софтверную компанию, наказать ее за это. Но пока суд да дело, нам стоит избавиться от "сего бонжура" - на это Вы имеете полное право: Ваш компьютер, Ваш реестр, что хотите, то и делаете, если не нарушаете явно подтвержденных Вами соглашений.
Для начала создайте CMD-файл (в любом текстовом редакторе, с любым именем файла, но с расширением CMD) со следующим содержанием:

sc stop "Bonjour Service"
sc delete "Bonjour Service"
exit

и запустите его. Тем самым Вы остановите и удалите сервис. Удалить папку Program Files\Bonjour\ без снятия защиты с нее, скорее всего, не удастся, поэтому удалим ее чуть позже,а сейчас нам нужно очистить реестр. Существует способ удаления "навязчивого сервиса" из реестра вручную, но, если Вы не специалист в данном вопросе, лучше не рисковать, а скачать LSP-Fix ( http://cexx.org/lspfix.htm). Скачав, запустите, согласитесь (С помощью галочки I know what I'm doing), что Вы действительно действуете, находясь в здравом уме и твердой памяти, а затем выделите mdnsnsp.dll в окне слева и нажмите кнопку ">>", чтобы mdnsnsp.dll переместилось в правое окно, с последующим бравым надавливанием на кнопку "Finish". Все, перегружаем компьютер, удаляем злосчастную папку Program Files\Bonjour\

а учитывая то, что я этот процесс с помощью двух своих мегафайрволов перекрыл, то и выдача адресов для моего компа периодически перекрывалась. Подтверждает мои предположения следующая цитата:


Winsock 2 имеет как бы две "зеркальные стороны" - Winsock API и Winsock SPI. Winsock API предназначен для реализации архитектуры открытых систем Windows (WOSA), обладающей стандартными API интерфейсами между Winsock и использующими его приложениями. SPI - это интерфейс между Winsock и поставщиками служб Winsock.

Поставщики услуг SPI бывают двух типов:

· Поставщик пространства имен (Namespace Provider, NSP). Задача поставщика пространства имен - независимое от протокола разрешение имен, т.е. преобразование дружественного имени в зависимый от протокола адрес. Классическим примером может являться DNS, который преобразует дружественное для пользователя имя www.z-oleg.com в IP адрес сервера, на котором размещен данный сайт;
· Поставщик транспорта (Transport Service Provider, TSP). TSP - это службы, предоставляющие функции установления связи, передачи данных, управления потоком, обработки ошибок и т.п. Поставщики транспортной службы бывают двух видов - базовые и многоуровневые. Базовые (Base) поставщики реализуют конкретные детали сетевого транспортного протокола (типа TCP/IP), включая базовые сетевые функции протокола, такие как отправка и получение данных по сети. Многоуровневые (Layered) поставщики реализуют только высокоуровневые функции связи нуждаются в базовом поставщике для фактического обмена по сети;

Как видно из рисунка, поставщиков NSP и TSP может быть несколько (если точнее - то практически неограниченно много). Еще более интересно то, что список используемых LSP и TSP хранится в специальной базе данных (которая размещена в реестре). Более того, в Winsock API есть функции, которые позволяют программе не только получать списки LSP и TSP, но и регистрировать своих поставщиков.

С точки зрения физической реализации провайдер SPI является обычной DLL, разработанной по определенному стандарту - в частности, эта DLL обязана экспортировать ряд функций для взаимодействия с Winsock.

С одной стороны, хранение списка поставщиков и их параметров в базе данных и наличие функции для управления этой базой является очень грамотным шагом - любое приложение может инсталлировать свои провайдеры SPI, расширяя возможности Winsock. При этом прикладной программе совершенно не обязательно знать с том, какие конкретно провайдеры SPI и как именно обеспечивают разрешение имен и обмен по сети. Получается универсальная система, и многие программы используют эти возможности - при помощи AVZ нетрудно исследовать настройки SPI и посмотреть, какие провайдеры там зарегистрированы - в списке провайдеров можно обнаружить Firewall, антивирусы, разнообразные антишпионские программы, утилиты для борьбы с рекламой, учета трафика и т.п.

Однако теперь давайте посмотрим на SPI глазами разработчика вирусов и SpyWare/AdWare программ. Получается, что установив 2-3 провайдера можно взять под контроль весть обмен компьютера с сетью. При помощи своего поставщика пространства имен вредоносная программа может отслеживать запросы на разрешение имени (собственно для шпионажа) и вмешиваться в этот процесс. Упрощенно говоря, к примеру вы запрашиваете адрес сайта www.yandex.ru, а "вражеский" NSP выдаст вместо этого IP адрес скажем адрес www.никому не известный поисковик.com Аналогичные "безобразия" можно устраивать на уровне поставщика транспорта - SpyWare чаще всего устанавливают свои Layered Service Providers - LSP. Получается, что открытость и универсальность SPI Winsock становится его уязвимым местом - создатели вредоносного ПО знают это и активно используют. Примеров очень много - Spy.NewDotNet (not-a-virus:AdWare.NewDotNet), Spy.SAHAgent, Spy.WebHancer, Trojan.Riler, Adware.SpywareNuker, Backdoor.Kika … - список можно продолжать достаточно долго. Кроме вмешательства в работу Winsock выполнение backdoor-компоненты в виде SPI имеет множество преимуществ - скрытный запуск, отсутствие видимого процесса.

Возможность установки вредоносной в качестве SPI провайдера - это еще только половина проблемы. Оказывается, что у Winsock есть очень неприятная особенность - любое повреждение базы данных в реестре с описанием поставщиков SPI приводит к сбоям в работе Winsock (конкретный вид сбоев зависит от характера повреждения, однако все ошибки для пользователя обычно сводятся к двум - компьютер перестает "видеть Интернет" и возникают проблемы при работе с локальной сетью - если проанализировать приведенную в начале данного раздела схему, то такие ошибки понятны и закономерны). Причин повреждения настроек SPI может быть очень много, наиболее характерные:

· Удаление DLL, являющейся провайдером SPI без отмены ее регистрации в базе провайдеров SPI (DLL может быть удалена вручную, антивирусным сканером, анти-шпионской программой, штатным деинсталлятором - способ удаления не важен);
· Повреждение базы в реестре в ходе инсталляции/деинсталляции SPI провайдеров, либо в результате ручной "чистки" реестра.

При обнаружении ошибки Winsock в частности в вся система Windows в целом не принимают никаких мер по ее ликвидации и не выдают никаких диагностических сообщений. Важно отметить, что переустановка системы "поверх" имеющейся не приводит к исправлению настройки SPI.

Как видно из приведенного мной описания, термин LSP встретился пару раз - я вообще заострил на нем внимание из-за утилиты LSP Fix и кочующего по описаниям троянских и SpyWare программ термина "LSP" - его применение во многих случая не совсем корректно. Причем тенденции "исправления" терминологии постепенно появляются - в последних описаниях вирусов они начинают давать более корректные и конкретные термины типа "…Registers a Windows sockets SPI hook in the LSP chain named…". Поэтому "лечить" и восстанавливать необходимо именно настройки SPI, а не LSP …
Все это чисто предположения, и подтверждения специалистов не мешали бы :-)... А так пока вроде живу без дисконектов, а будут о5 - буду копать дальше....
 
 

Старый 14.08.2008, 13:36   #2
Завсегдатай форума
 
Аватар для veselmoloko
 
veselmoloko вне форума
Регистрация: 30.11.2006
Адрес: Стерлитамак
Сообщений: 1,435
По умолчанию

после установки фотошопа просто заблокировал любую активность для этого файла
 
 

Старый 14.08.2008, 13:40   #3
Мимо проходил
 
Аватар для RuslanM
 
RuslanM вне форума
Регистрация: 08.08.2008
Сообщений: 2
По умолчанию

Цитата:
Сообщение от veselmoloko Посмотреть сообщение
после установки фотошопа просто заблокировал любую активность для этого файла
ага и после этого дисконекты...
 
 

Старый 14.08.2008, 14:11   #4
Завсегдатай форума
 
Аватар для veselmoloko
 
veselmoloko вне форума
Регистрация: 30.11.2006
Адрес: Стерлитамак
Сообщений: 1,435
По умолчанию

раз в сутки
 
 

Старый 14.08.2008, 14:40   #5
Модератор
 
Emerl вне форума
Регистрация: 10.03.2008
Сообщений: 1,981
Отправить сообщение для Emerl с помощью AIM
По умолчанию

Причем тут mdnsresponder.exe? Дисконнекты бывают у всех пользователей БИС раз в сутки и с этим ничего не поделаешь.
 
 
 


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Дисконекты yx! Технические вопросы 3 21.10.2014 13:02
Дисконекты LNet Помощь в настройке ADSL модемов 20 27.03.2009 18:58
Проблема с qip.Дисконекты ArhangeL_UGA2 Развлекательно-игровой портал АРЕНА 17 15.08.2008 19:21
Дисконекты ТИГРА Компьютеры 0 08.08.2008 16:31



Текущее время: 04:04. Часовой пояс GMT +3.


vBulletin skin developed by: eXtremepixels
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
top of page