Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

1
зашифровано с расширением id-*[email protected], возможно, Filecoder.DG
EAV-0138750602
ESET Endpoint Antivirus 5.0.2126.3, ESET File Security 4.5.12005.0
XP, Vista, 7, 8.1, Server 2003, Server 2008

Здравствуйте!
Сегодня часть файлов на сетевых обменниках оказалась зашифрована.
Файлы вида [имя файла].id-[число][email protected]
Образцы в архиве, пароль infected
Источник заражения неизвестен.

Заранее благодарю.
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
доброго времени суток!
вышла лечилка Codplat.AA Cleaner
http://www.eset.com/download/utilities/detail/family/204/
с одним НО - не понимает русский язык в именах расшифрованных файлов
обещали передать в лабораторию
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
Цитата
santy пишет:
Цитата
nadworny_av пишет:
С Наступившим вас! :)
Слышно что-нибудь по данной проблеме?
ну, в первую очередь от вас должны быть новости. помогают ли обновленные базы в излечении зараженных файлов или нет.
инфицированные файлы с sysnt.exe теперь обнаруживаются и пихаются в карантин. про лечение ничего не слышно (
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
С Наступившим вас! :)
Слышно что-нибудь по данной проблеме?
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
Цитата
santy пишет:
продублируете тогда на [email protected].
Цитата
\Рабочий стол\Служебка на вывоз Cisco 2801.exe.
а сам док сохраняется при этом после распаковки? документ чистый после удаления тела вируса?
продублировал
сам док, как написано в первом посте, вирус сохраняет в C:\temp32 в нумерованной подпапке. И если при очередном запуске вируса он не успевает инфицировать док повторно, то документом вполне можно пользоваться. Видимых повреждений структуры и содержимого документа нет.
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
отправил примеры зараженных доков и файл sysNT.exe через форму
Цитата
Invalid address:
Спасибо, Ваше сообщение успешно отправлено.
"Invalid address" - это нормально?
Цитата
santy пишет:
судя по VT ESET NOD32 теперь детектирует данный файл
Цитата
ESET-NOD32 Win32/Delf.RBB 20121227
обновите базы и проверьте, будет ли он лечить зараженные файлы
базы обновились, файл stsNT.exe ESET EA нашел и поместил в карантин. Инфицированные документы сканированием не детектирует. Только при запуске обнаруживает и кидает в карантин sysNT.exe:
Цитата
28.12.2012 8:58:00 Защита в режиме реального времени файл C:\sysNT.exe вероятно модифицированный Win32/TrojanDropper.Agent.IISTPVU троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\nadworny\Рабочий стол\Служебка на вывоз Cisco 2801.exe.
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
Цитата
santy пишет:
здесь имеет смысл выслать в вирлабы не только сам файл, но и зараженные доки, чтобы была выполнена процедура лечения.
надеюсь, не ВСЕ зараженные файлы? %) только для примера? на какой адрес?
Цитата
santy пишет:
либо здесь другой вариант. доки скрываются, а вместо них добавляется вирусное тело.
если бы доки скрывались - это было бы вообще сказочно ) но, к сожалению, нет (
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
ссылка на virustotal
stsNT.exe отправил
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
zoo отослал на почту
Mbam автоматически лог не вывел. сделал "показать результаты - сохранить отчет".
кгм... в логе далеко не все инфицированные объекты
sysNT.exe Win32/TrojanDropper.Agent.IISTPVU, Подмена файлов MS Word исполняемым файлом с распаковкой документа и тела вируса
Доброго времени суток!

Проблема проявилась, когда у одного из пользователей сетевого обменника перестали открываться документы из его сетевой папки.
"Приложение sysNT.exe выполнило... и будет закрыто". Документы оказались исполняемыми файлами с иконкой Word'а, скрытых файлов в папке не обнаружено. Пользователь говорит, что незадолго до этого ESET Endpoint Antivirus выругался на что-то, но вспомнить больше не смог.

Взял проверить папку к себе на компьютер. Что удалось выяснить.
Сканирование ESET EA 5.0.2122.10 инфицированных файлов заразы не обнаружило.
Сканирование утилитами DrWeb CureIT и Kaspersky Virus Removal Tool обнаружило трояны, но лечить отказалось.

Далее... При запуске инфицированного файла ESET EA обнаруживает запущенный процесс sysNT.exe и благополучно убивает его с сообщением:
Цитата
вероятно модифицированный Win32/TrojanDropper.Agent.IISTPVU троянская программа очищен удалением - изолирован
Но не слишком быстро, поэтому в системе становится на несколько инфицированных документов (doc, docx) больше. Тем не менее в некоторых случаях документ открывается в ассоциированной программе. Позже распакованные документы удавалось обнаружить в папке C:\temp32 в нумерованных подкаталогах (если до них не успевал добираться вирус и инфицировать снова :)
В автозагрузке появился файл stsNT.exe, но ESET EA на него не среагировал. Файл был удален мной из автозагрузки и после перезагрузки снова туда не прописался.

Краткое резюме (как я себе это вижу): приложение sysNT.exe при запуске прописывает stsNT.exe в автозагрузку пакует документы, до которых успевает добраться и себя в исполняемый файл. При запуске распаковывает документ в папку C:\temp32, открывает его вордом, распаковывает и запускает sysNT.exe

Необходимо решение по автоматическому лечению и восстановлению инфицированных документов.
Очень надеюсь на вашу помощь.
Лог UVS во вложении.
Изменено: nadworny_av - 27.12.2012 14:35:04
1