Форум esetnod32.ru [тема: sysNT.exe Win32/TrojanDropper.Agent.IISTPVU] http://forum.esetnod32.ru Новое в теме sysNT.exe Win32/TrojanDropper.Agent.IISTPVU форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 14:49:18 +0300 sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
доброго времени суток!
вышла лечилка Codplat.AA Cleaner
http://www.eset.com/download/utilities/detail/family/204/
с одним НО - не понимает русский язык в именах расшифрованных файлов
обещали передать в лабораторию
16.04.2013 08:33:31, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message66450/ http://forum.esetnod32.ru/messages/forum6/topic8230/message66450/ Tue, 16 Apr 2013 08:33:31 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:

====quote====
nadworny_av пишет:
С Наступившим вас! :)
Слышно что-нибудь по данной проблеме?
=============
ну, в первую очередь от вас должны быть новости. помогают ли обновленные базы в излечении зараженных файлов или нет.
=============
инфицированные файлы с sysnt.exe теперь обнаруживаются и пихаются в карантин. про лечение ничего не слышно (
28.01.2013 13:15:34, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message62209/ http://forum.esetnod32.ru/messages/forum6/topic8230/message62209/ Mon, 28 Jan 2013 13:15:34 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
nadworny_av пишет:
С Наступившим вас! :)
Слышно что-нибудь по данной проблеме?
=============
ну, в первую очередь от вас должны быть новости. помогают ли обновленные базы в излечении зараженных файлов или нет.
28.01.2013 12:45:36, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message62205/ http://forum.esetnod32.ru/messages/forum6/topic8230/message62205/ Mon, 28 Jan 2013 12:45:36 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
С Наступившим вас! :)
Слышно что-нибудь по данной проблеме?
02.01.2013 09:30:41, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60652/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60652/ Wed, 02 Jan 2013 09:30:41 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
продублируете тогда на support@esetnod32.ru.

====quote====
\Рабочий стол\Служебка на вывоз Cisco 2801.exe.
=============
а сам док сохраняется при этом после распаковки? документ чистый после удаления тела вируса?
=============
продублировал
сам док, как написано в первом посте, вирус сохраняет в C:\temp32 в нумерованной подпапке. И если при очередном запуске вируса он не успевает инфицировать док повторно, то документом вполне можно пользоваться. Видимых повреждений структуры и содержимого документа нет.
28.12.2012 10:26:09, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60429/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60429/ Fri, 28 Dec 2012 10:26:09 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
продублируете тогда на support@esetnod32.ru.


====quote====
\Рабочий стол\Служебка на вывоз Cisco 2801.exe.
=============
а сам док сохраняется при этом после распаковки? документ чистый после удаления тела вируса?
28.12.2012 09:42:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60428/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60428/ Fri, 28 Dec 2012 09:42:39 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
отправил примеры зараженных доков и файл sysNT.exe через форму

====quote====
Invalid address:
Спасибо, Ваше сообщение успешно отправлено.

=============
"Invalid address" - это нормально?

====quote====
santy пишет:
судя по VT ESET NOD32 теперь детектирует данный файл

====quote====
ESET-NOD32 Win32/Delf.RBB 20121227
=============
обновите базы и проверьте, будет ли он лечить зараженные файлы
=============
базы обновились, файл stsNT.exe ESET EA нашел и поместил в карантин. Инфицированные документы сканированием не детектирует. Только при запуске обнаруживает и кидает в карантин sysNT.exe:

====quote====
28.12.2012 8:58:00 Защита в режиме реального времени файл C:\sysNT.exe вероятно модифицированный Win32/TrojanDropper.Agent.IISTPVU троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\nadworny\Рабочий стол\Служебка на вывоз Cisco 2801.exe.
=============

28.12.2012 09:11:57, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60427/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60427/ Fri, 28 Dec 2012 09:11:57 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по VT ESET NOD32 теперь детектирует данный файл

====quote====
ESET-NOD32 Win32/Delf.RBB 20121227
=============
обновите базы и проверьте, будет ли он лечить зараженные файлы
28.12.2012 08:58:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60426/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60426/ Fri, 28 Dec 2012 08:58:49 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте в архив само тело вируса, и несколько зараженных файлов.

посмотрите - здесь есть форма отправки
http://www.esetnod32.ru/support/knowledge_base/new_virus/
28.12.2012 08:29:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60425/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60425/ Fri, 28 Dec 2012 08:29:37 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
здесь имеет смысл выслать в вирлабы не только сам файл, но и зараженные доки, чтобы была выполнена процедура лечения.

=============
надеюсь, не ВСЕ зараженные файлы? %) только для примера? на какой адрес?

====quote====
santy пишет:
либо здесь другой вариант. доки скрываются, а вместо них добавляется вирусное тело.

=============
если бы доки скрывались - это было бы вообще сказочно ) но, к сожалению, нет (
28.12.2012 08:24:18, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60424/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60424/ Fri, 28 Dec 2012 08:24:18 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
nadworny_av пишет:
zoo отослал на почту
Mbam автоматически лог не вывел. сделал "показать результаты - сохранить отчет".
кгм... в логе далеко не все инфицированные объекты
=============
да, mbam здесь показывает все зараженные файлы. здесь имеет смысл выслать в вирлабы не только сам файл, но и зараженные доки, чтобы была выполнена процедура лечения.

либо здесь другой вариант. доки скрываются, а вместо них добавляется вирусное тело.
---------------
на виртуалке не запускается, возможно есть защита от запуска на VM.
27.12.2012 17:22:19, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60367/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60367/ Thu, 27 Dec 2012 17:22:19 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
ссылка на virustotal
stsNT.exe отправил
27.12.2012 16:34:32, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60362/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60362/ Thu, 27 Dec 2012 16:34:32 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
zoo отослал на почту
Mbam автоматически лог не вывел. сделал "показать результаты - сохранить отчет".
кгм... в логе далеко не все инфицированные объекты
mbam-log-2012-12-27 (15-56-55).txt
27.12.2012 16:21:54, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60357/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60357/ Thu, 27 Dec 2012 16:21:54 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
если сохранилась копия файла STSNT.EXE, сделайте его проверку на http://virustotal.com
и добавьте в сообщение ссылку на линк проверки.
+
вышлите копию данного файла в архиве с паролем infected в почту safety@chklst.ru
27.12.2012 16:16:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60352/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60352/ Thu, 27 Dec 2012 16:16:21 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19919A1F245C6C623624C8FA6CE47503C549AF77F70D83C5D8AFE615C503AF6FDF7E557504FB7F7B1B86626B12FD21178DD11AC535477ECC934F462219 8 Virus89
zoo %Sys32%\CONFIG\SYSTEMPROFILE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\STSNT.EXE
bl C36213ADDCFD3026C6982DC79D9C8759 42496
; C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\STSNT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\STSNT.EXE
; C:\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\STSNT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\STSNT.EXE
chklst
delvir
deltmp
delnfr
czoo
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес sendvirus2011@gmail.com.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
27.12.2012 15:21:45, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60347/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60347/ Thu, 27 Dec 2012 15:21:45 +0400 Обнаружение вредоносного кода и ложные срабатывания sysNT.exe Win32/TrojanDropper.Agent.IISTPVU sysNT.exe Win32/TrojanDropper.Agent.IISTPVU Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток!

Проблема проявилась, когда у одного из пользователей сетевого обменника перестали открываться документы из его сетевой папки.
"Приложение sysNT.exe выполнило... и будет закрыто". Документы оказались исполняемыми файлами с иконкой Word'а, скрытых файлов в папке не обнаружено. Пользователь говорит, что незадолго до этого ESET Endpoint Antivirus выругался на что-то, но вспомнить больше не смог.

Взял проверить папку к себе на компьютер. Что удалось выяснить.
Сканирование ESET EA 5.0.2122.10 инфицированных файлов заразы не обнаружило.
Сканирование утилитами DrWeb CureIT и Kaspersky Virus Removal Tool обнаружило трояны, но лечить отказалось.

Далее... При запуске инфицированного файла ESET EA обнаруживает запущенный процесс sysNT.exe и благополучно убивает его с сообщением:

====quote====
вероятно модифицированный Win32/TrojanDropper.Agent.IISTPVU троянская программа очищен удалением - изолирован
=============
Но не слишком быстро, поэтому в системе становится на несколько инфицированных документов (doc, docx) больше. Тем не менее в некоторых случаях документ открывается в ассоциированной программе. Позже распакованные документы удавалось обнаружить в папке C:\temp32 в нумерованных подкаталогах (если до них не успевал добираться вирус и инфицировать снова :)
В автозагрузке появился файл stsNT.exe, но ESET EA на него не среагировал. Файл был удален мной из автозагрузки и после перезагрузки снова туда не прописался.

Краткое резюме (как я себе это вижу): приложение sysNT.exe при запуске прописывает stsNT.exe в автозагрузку пакует документы, до которых успевает добраться и себя в исполняемый файл. При запуске распаковывает документ в папку C:\temp32, открывает его вордом, распаковывает и запускает sysNT.exe

Необходимо решение по автоматическому лечению и восстановлению инфицированных документов.
Очень надеюсь на вашу помощь.
Лог UVS во вложении.
BDM-KORADMNOTE_2012-12-27_13-46-17.7z
27.12.2012 14:33:35, nadworny_av.]]> http://forum.esetnod32.ru/messages/forum6/topic8230/message60345/ http://forum.esetnod32.ru/messages/forum6/topic8230/message60345/ Thu, 27 Dec 2012 14:33:35 +0400 Обнаружение вредоносного кода и ложные срабатывания