Странный Xorpix

[igorr]

Здравствуйте!
У меня стоит XP SP2, KAV5 и Outpost Firewall, последним я достаточно часто провожу проверку на наличие SpyWare.
Последние разы он устойчиво показывал мне наличие в системе трояна типа Xorpix, который сама программа удалить не в состоянии. В качестве адреса предлагается строка в реестре HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg. Удалить ее вручную тоже не получается. При загрузке в Безопасном режиме строка отсутствует. Внешне вирус пока себя ничем не проявляет. Поиск в Сети навел на этот форум. Прочитал Правила, скачал интересную программку AVZ (спасибо Олегу...). Следуя Правилам, прогнал систему через CureIt и затем AVZ. Первая нашла еще один троян, пропущенный остальными. А вот с AVZ произошла незадача. Пункт 8 проверки не пошел. Дойдя до каких-то файлов в \Local Settings\Temporary Internet Files\Content.IE5, AVZ вылетела (самозакрылась). И так несколько раз подряд. Пришлось вручную удалить все временные файлы И-нета из этой папки в корзину (в режиме Очистка диска удаляться автоматически они отказались). После этого проверка AVZ дошла до конца. Напоследок еще раз прогнал систему через Firewall. По ее данным, Xorpix остался на месте... Кому верить? Заранее спасибо за помощь!

[Макcим]

"Пофиксите" в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O20 - Winlogon Notify: crypt32chain- - C:\WINDOWS\
O20 - Winlogon Notify: cryptnet- - C:\WINDOWS\
O20 - Winlogon Notify: cscdll- - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui- - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: reset5- - C:\WINDOWS\
O20 - Winlogon Notify: ScCertProp- - C:\WINDOWS\
O20 - Winlogon Notify: Schedule- - C:\WINDOWS\
O20 - Winlogon Notify: sclgntfy- - C:\WINDOWS\
O20 - Winlogon Notify: SensLogn- - C:\WINDOWS\
O20 - Winlogon Notify: termsrv- - C:\WINDOWS\
O20 - Winlogon Notify: wlballoon- - C:\WINDOWS\
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)

Обновите КАВ до 7-й версии.

[igorr]

Пофиксил...
Все убралось, кроме строки:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS
Как видно из прилагаемого лога. Пытался несколько раз, но строка стоит, как влитая. Т.е., с чего началось, тем и закончилось. Увы!

[Bratez]

Отключите восстановление системы.
Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName( 'partnershipreg');
BC_DeleteSvc('Reset 5');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Посмотрите, нужно ли вам что-либо из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

[igorr]

Большое спасибо за помощь, но!..
/Отключите восстановление системы.
Отключил.
/Выполните скрипт в AVZ:
Выполнил. Без толку. И один раз, и два, и в обычном режиме, и в безопасном...
/Посмотрите, нужно ли вам что-либо из этого:
....
/Лишнее отключим.
Может быть и можно что-нибудь отключить. Только вот как? Я, честно говоря, в таких тонкостях разбираюсь не очень. Посоветуйте!
Не знаю что скрывается за этим: (см. ниже). Остальное я бы отключил по своей инициативе.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Спасибо!

[Bratez]

Ненужные сервисы можно отключить скриптом:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Добавлено через 1 минуту

А вот непотопляемая строчка - странно. Вы умеется пользоваться regedit'ом?

[igorr]

А вот непотопляемая строчка - странно. Вы умеется пользоваться regedit'ом?

На начальном уровне. Просканировать реестр, найти нужную строчку, удалить... Наверное, не более. Но не удаляется ведь строка! Пишет, что невозможно удалить.

[Bratez]

С помощью regedit найдите ключ:
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg
и попытайтесь его удалить.
Если не получится, в его контекстном меню выберите "Разрешения..." и проверьте есть ли доступ для вашей учетной записи.

[igorr]

Ни полного доступа, ни чтения, ни особых разрешений. Все неактивировано (серые квадратики). Попытки изменить владельца (даже на администратора) приводят к "отказано в доступе".
Перезагрузился в Безопасном режиме, вошел, как Администратор. Без разницы. Строка не удаляется. И Владельца поменять не могу. Не дает доступа.

[pig]

А включить наследование прав от контейнера? Либо на самом ключе, либо в разрешениях для Notify поставить птицу "Сбросить разрешения для всех дочерних объектов..."

[igorr]

Спасибо! Помогло. Удалил весь раздел partnershipreg