文件名称：partnership.dll

　　文件大小：18432 bytes

　　AV命名：

　　Trojan-Proxy.Win32.Xorpix.cs　 Kaspersky

　　Trojan.Win32.Undef.bkc　 Rising

　　Proxy-Agent.ai　　McAfee

　　Win32:Xorpix-AZ　 Avast

　　加壳方式：Upack

　　编写语言：VC

　　文件MD5：313a79c4088dabc87ed6d45a93a94fd6

　　病毒类型：系统劫持者

　　行为：

　　1.释放病毒副本：

　　C:Documents and SettingsAll UsersDocumentsSettings config.ini　29 字节

　　C:Documents and SettingsAll UsersDocumentsSettings partnership.dll　13980 字节

　　2.添加注册表，开机注入Winlogon.exe：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifypartnershipreg

　　Asynchronous = REG_DWORD, 1

　　DllName = "C:Documents and SettingsAll UsersDocumentsSettingspartnership.dll"

　　Impersonate = REG_DWORD, 1

　　Startup = REG_SZ, "partnershipreg"

　　3.每隔一段时间检测该注册表项，如不在，则重新生成，并释放文件。

　　4.如果是XP以上系统，则删除wscsvc服务，禁用防火墙。

　　5.开启一个IE进程，监听多个端口，可能被用来做代理。

　　6.连接其他服务器，具体由config.ini配置文件实现。

　　解决方法：

　　1.下载 Unlocker和SREng，后断开网络，并结束IE（iexplorer.exe）进程。

　　2.安装完Unlocker，进入C:Documents and SettingsAll UsersDocumentsSettings

　　强行解除partnership.dll依附的模块。

　　3.然后删除partnership.dll。

　　4.打开Sreng，删除：partnershipreg。