Добрый день,
Жена принесла флешку с вирусом. На ней 2 новых системных файла. Autorun.inf и UFO.EXE. При подключении антивирус OSS 2008 ругнулся и спросил "разрешить ли модифицировать svchost?". Ответ был положительным и теперь я здесь. Теперь при вставлении любой флешки, на неё записываютя эти два файла. Я их удаляю, но они опять записываются при установке любой новой флешки. При проверке флешки OSS 2008 определил только Autorun.inf как вирус и удаляет (хотя там только прописан запуск UFO). На UFO не ругается! Касперский на соседней машине определяет на флешке оба файла и позволяет удалить. Но на моей машине ничего не находит!
Полная проверка компа OSS 2008, AVZ и CureIT!(безоп. режим) не помогает. CureIT! нашел в темпах IE и удалил VBS.PackFor.
Но это больше похоже на ложное срабатывание. CureIT! ругается на флешке на Win32.HLLW.Autoruner.846, но про UFO молчит!
Autorun отключил, но это не помогает.
Короче зараза где-то сидит и непонятно как избавиться. А главное насколько опасен этот троян?
Пора ли менять явки и пароли или он просто так размножается.
Прошу помощи.
Выбор сделанный сегодня, определяет жизнь, которую будешь жить завтра.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил. Комп перезагрузился. Вирус на флешке больше не появляется. Волшебство какое-то. Спасибо.
Карантин отправил.
Остается вопрос, что было? Опасен ли этот троян? Какая у него цель? Описания UFO нигде не нашел.
Выбор сделанный сегодня, определяет жизнь, которую будешь жить завтра.
Единственная внятная информация об этой парочке: http://www.prevx.com/filenames/X9104...ECPOL.EXE.html
The filename SECPOL.EXE was first seen on Aug 25 2007 in SPAIN. It has also been seen in the following geographical regions of the Prevx community: NETHERLANDS on Dec 30 2007
The EUROPEAN UNION on Aug 25 2007
DENMARK on Sep 22 2007
URUGUAY on Sep 22 2007
SECPOL.EXE has been seen to perform the following behavior(s):
The Process is packed and/or encrypted using a software packing process This Process Creates Other Processes On Disk Executes a Process Writes to another Process's Virtual Memory (Process Hijacking) This Process Deletes Other Processes From Disk Looks at the contents of the autoexec.bat file Reads email address and phone book details Visits web sites without the user knowing.
Так, что теперь делать? Способны ли эти трояны нанести вред? Собрать файлы ЭЦП? отследить нажатия клавиш?
Почему антивирусы их не почикали?
Выбор сделанный сегодня, определяет жизнь, которую будешь жить завтра.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: