sysNT.exe Win32/TrojanDropper.Agent.IISTPVU , Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса

Доброго времени суток!

Проблема проявилась, когда у одного из пользователей сетевого обменника перестали открываться документы из его сетевой папки.
"Приложение sysNT.exe выполнило... и будет закрыто". Документы оказались исполняемыми файлами с иконкой Word'а, скрытых файлов в папке не обнаружено. Пользователь говорит, что незадолго до этого ESET Endpoint Antivirus выругался на что-то, но вспомнить больше не смог.

Взял проверить папку к себе на компьютер. Что удалось выяснить.
Сканирование ESET EA 5.0.2122.10 инфицированных файлов заразы не обнаружило.
Сканирование утилитами DrWeb CureIT и Kaspersky Virus Removal Tool обнаружило трояны, но лечить отказалось.

Далее... При запуске инфицированного файла ESET EA обнаруживает запущенный процесс sysNT.exe и благополучно убивает его с сообщением:
Но не слишком быстро, поэтому в системе становится на несколько инфицированных документов (doc, docx) больше. Тем не менее в некоторых случаях документ открывается в ассоциированной программе. Позже распакованные документы удавалось обнаружить в папке C:\temp32 в нумерованных подкаталогах (если до них не успевал добираться вирус и инфицировать снова
В автозагрузке появился файл stsNT.exe, но ESET EA на него не среагировал. Файл был удален мной из автозагрузки и после перезагрузки снова туда не прописался.

Краткое резюме (как я себе это вижу): приложение sysNT.exe при запуске прописывает stsNT.exe в автозагрузку пакует документы, до которых успевает добраться и себя в исполняемый файл. При запуске распаковывает документ в папку C:\temp32, открывает его вордом, распаковывает и запускает sysNT.exe

Необходимо решение по автоматическому лечению и восстановлению инфицированных документов.
Очень надеюсь на вашу помощь.
Лог UVS во вложении.

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

+
если сохранилась копия файла STSNT.EXE, сделайте его проверку на http://virustotal.com
и добавьте в сообщение ссылку на линк проверки.
+
вышлите копию данного файла в архиве с паролем infected в почту [email protected]

zoo отослал на почту
Mbam автоматически лог не вывел. сделал "показать результаты - сохранить отчет".
кгм... в логе далеко не все инфицированные объекты

ссылка на virustotal
stsNT.exe отправил

да, mbam здесь показывает все зараженные файлы. здесь имеет смысл выслать в вирлабы не только сам файл, но и зараженные доки, чтобы была выполнена процедура лечения.

либо здесь другой вариант. доки скрываются, а вместо них добавляется вирусное тело.
---------------
на виртуалке не запускается, возможно есть защита от запуска на VM.

надеюсь, не ВСЕ зараженные файлы? %) только для примера? на какой адрес?
если бы доки скрывались - это было бы вообще сказочно ) но, к сожалению, нет (

добавьте в архив само тело вируса, и несколько зараженных файлов.

посмотрите - здесь есть форма отправки
http://www.esetnod32.ru/support/knowledge_base/new_virus/

судя по VT ESET NOD32 теперь детектирует данный файл
обновите базы и проверьте, будет ли он лечить зараженные файлы

отправил примеры зараженных доков и файл sysNT.exe через форму
"Invalid address" - это нормально?
базы обновились, файл stsNT.exe ESET EA нашел и поместил в карантин. Инфицированные документы сканированием не детектирует. Только при запуске обнаруживает и кидает в карантин sysNT.exe: