Здравствуйте!
У меня стоит XP SP2, KAV5 и Outpost Firewall, последним я достаточно часто провожу проверку на наличие SpyWare.
Последние разы он устойчиво показывал мне наличие в системе трояна типа Xorpix, который сама программа удалить не в состоянии. В качестве адреса предлагается строка в реестре HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg. Удалить ее вручную тоже не получается. При загрузке в Безопасном режиме строка отсутствует. Внешне вирус пока себя ничем не проявляет. Поиск в Сети навел на этот форум. Прочитал Правила, скачал интересную программку AVZ (спасибо Олегу...). Следуя Правилам, прогнал систему через CureIt и затем AVZ. Первая нашла еще один троян, пропущенный остальными. А вот с AVZ произошла незадача. Пункт 8 проверки не пошел. Дойдя до каких-то файлов в \Local Settings\Temporary Internet Files\Content.IE5, AVZ вылетела (самозакрылась). И так несколько раз подряд. Пришлось вручную удалить все временные файлы И-нета из этой папки в корзину (в режиме Очистка диска удаляться автоматически они отказались). После этого проверка AVZ дошла до конца. Напоследок еще раз прогнал систему через Firewall. По ее данным, Xorpix остался на месте... Кому верить? Заранее спасибо за помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксил...
Все убралось, кроме строки:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS
Как видно из прилагаемого лога. Пытался несколько раз, но строка стоит, как влитая. Т.е., с чего началось, тем и закончилось. Увы!
Большое спасибо за помощь, но!..
/Отключите восстановление системы.
Отключил.
/Выполните скрипт в AVZ:
Выполнил. Без толку. И один раз, и два, и в обычном режиме, и в безопасном...
/Посмотрите, нужно ли вам что-либо из этого:
....
/Лишнее отключим.
Может быть и можно что-нибудь отключить. Только вот как? Я, честно говоря, в таких тонкостях разбираюсь не очень. Посоветуйте!
Не знаю что скрывается за этим: (см. ниже). Остальное я бы отключил по своей инициативе.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Спасибо!
А вот непотопляемая строчка - странно. Вы умеется пользоваться regedit'ом?
На начальном уровне. Просканировать реестр, найти нужную строчку, удалить... Наверное, не более. Но не удаляется ведь строка! Пишет, что невозможно удалить.
С помощью regedit найдите ключ:
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg
и попытайтесь его удалить.
Если не получится, в его контекстном меню выберите "Разрешения..." и проверьте есть ли доступ для вашей учетной записи.
Ни полного доступа, ни чтения, ни особых разрешений. Все неактивировано (серые квадратики). Попытки изменить владельца (даже на администратора) приводят к "отказано в доступе".
Перезагрузился в Безопасном режиме, вошел, как Администратор. Без разницы. Строка не удаляется. И Владельца поменять не могу. Не дает доступа.
Последний раз редактировалось igorr; 07.02.2008 в 12:52.
А включить наследование прав от контейнера? Либо на самом ключе, либо в разрешениях для Notify поставить птицу "Сбросить разрешения для всех дочерних объектов..."
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: