Пришло письмо с doc файлом [Exploit.RTF.Agent.h ]

[Сергей Беклемышев]

Здравствуйте, пришло письмо с doc файлом, которое практически ничем не бьется
https://www.virustotal.com/ru/file/2...5e4f/analysis/
Его случайно запустили на одном из компьютеров, открылось черное окно и исчезло.
Product_Sample.doс
Информации найти не смог.
Ни понять что натворилось..
Этот файл можно сюда прикрепить для исследования?

[Info_bot]

Уважаемый(ая) Сергей Беклемышев, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Этот файл можно сюда прикрепить для исследования?

Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

[Сергей Беклемышев]

Готово:
Файл сохранён как 151222_024827_Product_Sample_567881bbb71b5.zip
Размер файла 45564
MD5 79395d9592935b0bb73132dc3f30c8e8

[thyrex]

Exploit.RTF.Agent.h

[Сергей Беклемышев]

Увы поисковики не дали мне информации, какие рекомендации?
Как проверить что вирус на компьютере и как его убрать?
Чем он занимается в свободное время?

[thyrex]

Мы не занимаемся исследованием

[Сергей Беклемышев]

Здравствуйте, так что же мне делать то с ним?

[thyrex]

Удалите и все

[Сергей Беклемышев]

Я извиняюсь за оффтоп, но надеюсь на вашу или чью либо помощь,
я php программист/сис.Админ/seo/сборщик/с linux знаком.. с 15 летним стажем, уважте мою просьбу

Вирусы по жизни лечил 4мя способами,
а) удалял антивирусами и всякими сканерами.
б) реестр чистил ручками- в стиле F3 если знал что искать; иногда откатывал реестр, если удавалось.
в) брал название вируса, лез на sumantec.com, скачивал uninstall и manual для конкретного вируса.
г) переустановка ОС, и переносом файлов со сканированием.

Но в данном случае, никаких ходов придумать не могу, в инете пусто, даже не ясно откуда вы узнали что это именно Exploit.RTF.Agent.h.
Кстати введите Exploit.RTF.Agent.h в google и этот топик на уже аж 1м месте.

От сюда и вопрос в итоге как его удалить то?
1) непонятно что именно пряталось за эксплойтом Word.
2) это что то непонятно что наделало: куда прописалось, что именно установилось, что именно заразилось
3) не понимая что удалять - я не могу его удалить
4) сканеры тоже не видят

Если вы не поможете я вижу 1 выход, ставить виртуальную машину, ставить офис с виндой, и запускать вирус отслеживая все изменения на компьютере какой то программой, не знаю какой(подскажите).

----------------------------------------------------------------------------------------------------

Кстати если кому поможет письмо Пришло такое:

From: Michele Franco [mailto:[email protected]]
Subject: price list

Good Day,

Kindly see attached purchase order, Kindly send me proforma invoice as
soon as possible so we can effect payment

Regards

Morched

с вложением Product_Sample.doс

[Vvvyg]

Сделайте логи по правилам - проверим, не прописалось ли что в автозапуск.

[Сергей Беклемышев]

А есть подпрограмма простая которая может зафиксировать любые изменения в компе,
после запуска этого файла?
я на виртуальной машине запущу этот вирус и отпишусь че он поменял в реестре, автозапуске, в файлах ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \product_sample.doc - Exploit.RTF.Agent.h