Проблема с вирусом на флешке (OSS 2008)

**Yazon** · 11.05.2008, 13:37

Добрый день,
Жена принесла флешку с вирусом. На ней 2 новых системных файла. Autorun.inf и UFO.EXE. При подключении антивирус OSS 2008 ругнулся и спросил "разрешить ли модифицировать svchost?". Ответ был положительным и теперь я здесь.

Теперь при вставлении любой флешки, на неё записываютя эти два файла. Я их удаляю, но они опять записываются при установке любой новой флешки. При проверке флешки OSS 2008 определил только Autorun.inf как вирус и удаляет (хотя там только прописан запуск UFO). На UFO не ругается! Касперский на соседней машине определяет на флешке оба файла и позволяет удалить. Но на моей машине ничего не находит!
Полная проверка компа OSS 2008, AVZ и CureIT!(безоп. режим) не помогает. CureIT! нашел в темпах IE и удалил VBS.PackFor.
Но это больше похоже на ложное срабатывание. CureIT! ругается на флешке на Win32.HLLW.Autoruner.846, но про UFO молчит!
Autorun отключил, но это не помогает.
Короче зараза где-то сидит и непонятно как избавиться. А главное насколько опасен этот троян?
Пора ли менять явки и пароли или он просто так размножается.

Прошу помощи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 11.05.2008, 13:46

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('H:\UFO.exe','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\secpol.exe','');
 DeleteFile('C:\WINDOWS\system32\secpol.exe');
 DeleteFile('H:\autorun.inf');
 DeleteFile('H:\UFO.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

**Yazon** · 11.05.2008, 14:41

Скрипт выполнил. Комп перезагрузился. Вирус на флешке больше не появляется. Волшебство какое-то. Спасибо.

Карантин отправил.
Остается вопрос, что было? Опасен ли этот троян? Какая у него цель? Описания UFO нигде не нашел.

**wise-wistful** · 11.05.2008, 14:56

UFO.exe, secpol.exe Heur.Trojan.Generic
В логах ничего подозрительного больше нет.

**Yazon** · 11.05.2008, 15:50

Единственная внятная информация об этой парочке:
http://www.prevx.com/filenames/X9104...ECPOL.EXE.html
The filename SECPOL.EXE was first seen on Aug 25 2007 in SPAIN. It has also been seen in the following geographical regions of the Prevx community: NETHERLANDS on Dec 30 2007
The EUROPEAN UNION on Aug 25 2007
DENMARK on Sep 22 2007
URUGUAY on Sep 22 2007
SECPOL.EXE has been seen to perform the following behavior(s):
The Process is packed and/or encrypted using a software packing process This Process Creates Other Processes On Disk Executes a Process Writes to another Process's Virtual Memory (Process Hijacking) This Process Deletes Other Processes From Disk Looks at the contents of the autoexec.bat file Reads email address and phone book details Visits web sites without the user knowing.

Так, что теперь делать? Способны ли эти трояны нанести вред? Собрать файлы ЭЦП? отследить нажатия клавиш?
Почему антивирусы их не почикали?

**CyberHelper** · 22.02.2009, 05:16

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\secpol.exe - Worm.Win32.AutoRun.drr (DrWEB: Trojan.DownLoader.59774)
2. h:\\ufo.exe - Worm.Win32.AutoRun.drr (DrWEB: Trojan.DownLoader.59774)

Проблема с вирусом на флешке (OSS 2008) (заявка № 22705)

Опции темы

Проблема с вирусом на флешке (OSS 2008)

Итог лечения

Похожие темы

Cистема заражает ВСЕ .exe на флешке вирусом Win32.Alman.bb

Проблема с вирусом

проблема с вирусом

проблема с вирусом

Ваши права в разделе