Форум Академгородка, Новосибирск > Сервис Bonjour
Помощь - Поиск - Пользователи - Календарь
Полная версия этой страницы: Сервис Bonjour
Форум Академгородка, Новосибирск > Хобби и увлечения > Фотография > Обработка изображений
Jozhik
при установке PhotoShop CS3 мне установился в папку C:\Program Files\Bonjour некий программный модуль, состоящий из двух элементов mDNSresponder.exe и mdnsNSP.dll. оба элемента выдают себя за части ядра MS Windows XP. Гугль выдаёт инфу о том, что сервис Bonjour грохнули и через него распространяется первый вирус для Mac'ов. прогу я у себя снёс, а вот mdnsNSP.dll использует какой-то скрытый процесс. Dr. Web в этих компонентах ничего заразного не видит, ZoneAlarm не показывает, что кто-то ломится в И-нет.

можете объяснить что это, работает ли это всё в среде Windows XP, или это всё таки вирус, который является элементом защиты PhotoShop CS3?

тему продублирую в ветке Макинтошников, может там кто-нибудь знает ответ.
tSteve
Может и офф конечно, но меня сей процесс тоже волнует. Буду рад получить инфу.
username
это всетаки не вирус
а чем он мешает? ну удалите его, проблем то

sc stop "Bonjour Service"
sc delete "Bonjour Service"
exit

про то что это шпион это байки, и ничему он не мешает

QUOTE
Bonjour is a general method to discover services on a local area network. This technology is widely used throughout Mac OS X and allows users to set up a network without any configuration. Currently it is used by Mac OS X and on other operating systems to find printers and file sharing servers. It is also used by iTunes to find shared music, iPhoto to find shared photos, iChat, Adobe Creative Suite 3, Proteus, Adium, Fire, Skype, and the Gizmo Project to find other users on the local network, TiVo Desktop to find digital video recorders and shared media libraries, SubEthaEdit and e to find document collaborators, and Contactizer to find and share contacts, tasks and events information. Additionally it is used by Safari to find local web servers and configuration pages for local devices, and by Asterisk to advertise telephone services along with configuration parameters to VoIP phones and dialers. Bonjour Browser can be used to view all services declared by these applications and more.

Without special DNS configuration, Bonjour only works within a single broadcast domain, which is usually a small area.

Bonjour is sometimes misunderstood to make services on a personal computer (for instance, file sharing) available to the public Internet, which could be considered a security risk. In fact, Bonjour does not provide any extra access to services, even on the same local area network (LAN); it merely announces ("advertises") their existence. For example, a user can browse a list of nearby computers which share files—Bonjour on these computers has told the user that the service is available—but he or she must still provide a password to access any protected files on these machines. Additionally, Bonjour works only in a close range; by default, its messages only reach users of the same link. Thus, the only security impact of Bonjour is that advertised services are no longer protected by security through obscurity on the local network. If the services are protected through a means other than obscurity, they will remain protected.

Bonjour services are implemented at the application level largely using standard TCP/IP calls, rather than in the operating system. Although Mac OS X provides various Bonjour services, Bonjour works on other operating systems. Apple has made the source code of the Bonjour multicast DNS responder, the core component of service discovery, available as a Darwin open source project. The project provides source code to build the responder daemon for a wide range of platforms, including Mac OS 9, Mac OS X, Linux, *BSD, Solaris, VxWorks, and Windows. In addition, Apple provides a user-installable set of services called Bonjour for Windows as well as Java libraries. Alrough Bonjour is not required for use of these programs, to date these programs silently install the software such as Adobe Creative Suite 3, iTunes, Cerulean Studios' Trillian Pro 3, Ruckus Music Player from Ruckus Network, and e, a collaborative text editor for Microsoft Windows.Bonjour Protocol Specifications
IPv4LL Dynamic Configuration of IPv4 Link-Local Addresses
mDNS Multicast DNS
DNS-SD DNS-Based Service Discovery
DNS-LLQ DNS Long-Lived Queries
DNS-UL Dynamic DNS Update Leases
NAT-PMP NAT Port Mapping Protocol


Originally, Bonjour had been released under the controversial Apple Public Source License which caused its adoption to be severely hampered on Linux and other Free Software desktops. This led to the development of the Avahi project under the less controversial LGPL license. Nowadays Avahi is the default Zeroconf implementation on all Linux distributions and has even been ported to Apple's own Mac OS X operating system.


кратко по русски - программа, объединяющая компьютеры и другие устройства в сеть и позволяющая им взаимодействовать друг с другом в рамках рабочей группы
Jozhik
QUOTE (username @ Aug 9 2007, 03:53)
про то что это шпион это байки, и ничему он не мешает

удаление его из компа на работе привело к смерти explorer.exe
Jozhik
QUOTE (username @ Aug 9 2007, 03:53)
sc stop "Bonjour Service"
sc delete "Bonjour Service"
exit

что за комманды и для какой ОС?
username
к смерти explorer.exe скорей всего привела ошибка ДНК пользователя или какой-то другой аномальный фактор

для виндовс команды, епта smile.gif

остановить сервис
удалить сервис
выйти из консоли
Jozhik
QUOTE (username @ Aug 9 2007, 04:05)
к смерти explorer.exe скорей всего привела ошибка ДНК пользователя или какой-то другой аномальный фактор

а... ну да, ошибка в ДНК сисадмина с 10-тилетним стажем... более умное оскорбление придумать можете?
username
я точно знаю что стаж на ДНК не отражается, такова наша природа

во первых каким образом удаляли?
во вторых что подразумевается под словами "смерти explorer.exe" ?
Jozhik
QUOTE (username @ Aug 9 2007, 04:17)
что подразумевается под словами "смерти explorer.exe" ?

удаляли в безопастном режиме компоненты, а потом из реестра ключи
после этого умер експлорер (перестал грузится рабочий стол, диспетчер задач и пр.)
Jozhik
QUOTE (username @ Aug 9 2007, 04:05)
для виндовс команды, епта smile.gif

только что проделал - не помогло. дллка как была занята непойми чем, так и осталась...
username
ну вот вы сами подумайте, вы перелопатили реестр, перестал грузиццо explorer, кто здесь виноват, сервис или кривые руки? smile.gif

инструкция для вычищения

в консоле
sc stop "Bonjour Service"
sc delete "Bonjour Service"
regsvr32 /u "C:\Progra~1\Bonjour\explorerplugin.dll"
regsvr32 /u "C:\Progra~1\Bonjour\mdnsnsp.dll"
ren "C:\Progra~1\Bonjour" xxx
del %systemroot%\system32\dns-sd.exe
del %systemroot%\system32\dnssd.dll

В реестре HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries удаляем подветку, где идёт упоминание о mdnsnsp.dll (например 000000000007). Устанавливаем HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Num_Catalog_Entries со значением нового кол-ва каталогов (например, 6, до этого у нас было 7).

Ищем и удаляем в реестре любые ключи связанные с explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour.

Перегружаемся

Удаляем папку xxx в "c:\Program files"
username
QUOTE (Jozhik @ Aug 9 2007, 03:25)
QUOTE (username @ Aug 9 2007, 04:05)
для виндовс команды, епта smile.gif

только что проделал - не помогло. дллка как была занята непойми чем, так и осталась...

перегружаться кто будет? biggrin.gif
Jozhik
QUOTE (username @ Aug 9 2007, 04:32)
ну вот вы сами подумайте, вы перелопатили реестр, перестал грузиццо explorer, кто здесь виноват, сервис или кривые руки? smile.gif

а... ну да... только зачем он цепляется к експлореру? что ему там понадобилось? и каким образом этот сервис попал на другую машину, на которой никакого фотошопа никогда не стояло?
username
QUOTE (Jozhik @ Aug 9 2007, 03:39)
QUOTE (username @ Aug 9 2007, 04:32)
ну вот вы сами подумайте, вы перелопатили реестр, перестал грузиццо explorer, кто здесь виноват, сервис или кривые руки? smile.gif

а... ну да... только зачем он цепляется к експлореру? что ему там понадобилось? и каким образом этот сервис попал на другую машину, на которой никакого фотошопа никогда не стояло?

сервис к эксплореру не цепляется, умерший эксплорер это косяк ваших действий.. вырезали прописаный сервис в защищеном режиме и удивляюцца, варвары smile.gif

на другую машину он мог попасть с другим софтом адобе или макромедии, даже с прогой от айпод например или Plug and Play дровами, возможно со скайпом
SergeiR
username огромное спасибо за доставленные минуты искреннего удовольствия. С меня, при случае, причитается 8)
username
я текилу люблю rolleyes.gif
SamuelClash
Народ очнитесь!!!!!
Программа самостоятельно устанавливается на ваш компьютер делает запись в реестре , регистрируется как сервис
Пропускает весь интернет траффик через себя снифит все... очень любит пароли фтп после кражи которых на сайтах в индексах случайным образом оказываються iframe с данлоадом очередного трояна... Были замечены массовые спам рассылки с инфицированых машин, но это всего скорее после прогрузки дополнительных модулей. Запустите unlocker и попробуйте удалить эти файлы, заметите что ваша ася, браузер, каспер и все остальные проги сидят в нете через этот сервис.

А ТЕПЕРЬ СКАЖИТЕ... вы до сих пор считаете что это не вирус ?

rolleyes.gif
.bg
SamuelClash - спасибо. Давно так не смеялся.Таким образом можно и windows вирусом назвать
SergeiR
Старая тема 8) Уже все давно разобрались.. Да и не ставит стандартная поставка этой штуки.
SamuelClash
Вы реально заблуждаетесь. Не буду вас ни в чем переубеждать. Может изначально это и был путевый сервис, сейчас он троянит.
Stiks
Всем добрый день! Смех смехом а вот на моей машине после удаления службы описаными выше методами переодически слетает панель задач и значки со стола какой либо последовательности я так и не уловил. Неисправность может вылезти и во время работы так и на простое компа. Выглядит это так: панель задач исчезает потом так же загружается. Иногда Explorer exe просит отправить отчёт об ошибке. Народ подскажите пожалуйста что можно сделать?
morose
Цитата(username @ 09.08.2007, 3:32) *
ну вот вы сами подумайте, вы перелопатили реестр, перестал грузиццо explorer, кто здесь виноват, сервис или кривые руки? smile.gif

инструкция для вычищения

в консоле
sc stop "Bonjour Service"
sc delete "Bonjour Service"
regsvr32 /u "C:\Progra~1\Bonjour\explorerplugin.dll"
regsvr32 /u "C:\Progra~1\Bonjour\mdnsnsp.dll"
ren "C:\Progra~1\Bonjour" xxx
del %systemroot%\system32\dns-sd.exe
del %systemroot%\system32\dnssd.dll

В реестре HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries удаляем подветку, где идёт упоминание о mdnsnsp.dll (например 000000000007). Устанавливаем HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Num_Catalog_Entries со значением нового кол-ва каталогов (например, 6, до этого у нас было 7).

Ищем и удаляем в реестре любые ключи связанные с explorerplugin.dll, mdnsnsp.dll, mdnsresponder.exe и Program files\Bonjour.

Перегружаемся

Удаляем папку xxx в "c:\Program files"


Один раз , кажется сразу после установки ФШ сей способ сработал, а вот вчера привел к тому, что перестали работать (выходить в сеть) интернет приложения (эксплорер, бат, опера, файрфокс...) вобщем странно как-то
Zebooka
Панику тут развели. Ставите пиратский софт - неча паниковать. Тем более, что эта приблудина от Эпла.

Цитата
When you install any edition of the Adobe Creative Suite 3 family or a Creative Suite 3 component on Windows, Bonjour is installed as a service on the machine. Bonjour is Apple's open source implementation of zero-configuration networking software. It is used by Adobe Version Cue CS3 client applications to dynamically discover Version Cue Servers on the local network.

Когда вы ставите любой приложение Адоб ЦС3, то эта фигня устанавливается как сервис в винду. Она используется для Version Cue, чтобы приложения могли находить друг друга в сети.

ЗЫ: Про удаление вы жути какие-то рассказываете. Достаточно:
1) остановить сервис и отключить его вообще (сервис имеет имя вида )
2) выполнить "C:\Program Files\Bonjour\mDNSResponder.exe" –remove
3) выполнить regsvr32 /u "C:\Program Files\Bonjour\mdnsNSP.dll"
4) ребутнуться и можно грохнуть папочку если она вам не нужна.

DedMedved
Немного предыстории: у меня на машине вирус стащил пароли доступа и с моего хостинга стал идти спам.

Ни NOD32 ни DrWeb вирус вытащить не могут (НОД просто слетает в середине проверки с перезагрузкой системы, ДрВеб успевает выкинуть мессагу что вирус есть в папке локальных настроек пользователя .../Bonjour и тоже система падает)

Сейчас система неработоспособна и похоже восстановлению не подлежит.

Так что бонжур бонжуру рознь ...
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.
Русская версия IP.Board © 2001-2024 IPS, Inc.