Что за фигня?(вирус?)

#1 **derredsos1** » Ср 24.05.2006, 17:28

Попросил тут один перец, помочь ему:
Вордовский док открывается, при попытке листать OR добавить записи виснет система. Док не большой сравнительно: 19 листов (Чуть более 800Кб), без рисунков...
Работает он на букере. Ну думаю, мозги там фиговые, попробую на своём.
Не, просканил касперским, как пологается (только прикол: при первом сканировании 1-го документа, в "статистике" стояло 2). аж два раза (база свежая). Чисто все. Запускаю - и.. сдулся мой "мозг", как тот букер... кое-как "вылечил", от симптомов "зависания": пересохранил в новом, в период "пока не завис"... Пошел отдал "нормальный документ". Глянул в диспетчере в "процессы" "winword.exe" наверное штук 20 работает, хотя нет ни одного приложения...
Сегодня глюки катят с этим процессом почти теже: достаточно один раз запустить ворд, чтобы в процессах было 10-15 винвордов.
К чему ба это? И как это лечить?

#2 **Phoenix** » Ср 24.05.2006, 19:06

макро-вирус видать)))))))) :mrgreen:

#3 **Волшебник** » Ср 24.05.2006, 19:19

Phoenix:макро-вирус видать))))))))

Тоже так подумал однака касперский по сути даже очень хорошо данные типы вырусов выискивет ( понима если каконить стелс) а так наврядли.

Однако попробуй еше етим Ad-Aware SE Personal проверить

#4 **probass** » Ср 24.05.2006, 21:44

если каспер не помогает то ставь нортонр он точно поможет

#5 **Miker** » Ср 24.05.2006, 22:35

Если касперыч не видит, а глюки продолжаются- нафиг надо антивирусами. Это всё равно, что убивать муху мухобойкой с крупной сеткой. Проще газетой или руками.

Открываешь msconfig и смотришь "чужие" и подозрительные программы на автозапуск и службы. Убиваешь галочки, перегружаешь в безопасном режиме и убиваешь саме программы. И всё. Если глюки исчезли - хорошо (если идут мессаги "файл не найден" - подложи на то же место какой нить пустой экзешник переименованный как надо), если нет - либо плохо смотрел, либо вирус уже сидит в эксплорере или какой другой неотъемлимой части винды. Тогда - просто пересноси винду, не думай. Хотя по симптомам зависания ворда - либо фигово составленный документ (бывает), либо глюки офиса. В общем - смотри автозапуск.

#6 **Phoenix** » Ср 24.05.2006, 22:46

Miker нормальные вирусы в мс-конфиг сибя не пишуть! :fun:

Надо в реестре глядеть или Ad-Aware правдо поставить)))

#7 **Волшебник** » Ср 24.05.2006, 22:51

Phoenix:Miker нормальные вирусы в мс-конфиг сибя не пишуть!

есть такое дело однако каких шас доморошеных хакеров из бабруйска или того хуже из мухасранска в нет вылазять

(На днях сам поймал интересну верусяку накаляканую на вижуали)

#8 **Miker** » Ср 24.05.2006, 22:52

Phoenix пора тебе уже завязывать с 98-ой, все уже как полгода на ХР)).. Понимаешь ли - это принципиальная особенность, что все дополнения - в мсконфиге. Если нет - значит они внедрены в системные файлы - либо переустановка системы либо лечить антивирусняками либо у кого подобный файл скопировать себе. Всего то. Третьего не дано.

#9 **Phoenix** » Ср 24.05.2006, 23:47

Miker это тебе пора завязывать со стандартными средствами виндовоза, качни хороший альтернативный диспетчер процессов и вуаля(и то не гарантия что он увидит)
А статей по поводу того, как сделать чтоб программа не обнаруживалась стандартными инструментами мониторинга полно! :twisted:

**#10** **Miker** » Чт 25.05.2006, 0:00

Phoenix софт 10 лет альтернативным не бывает. Либо он хорош и становится популярно-коммерческим, либо это поделка "на любителя"..

О прочем же - надо уметь искать. Сколько сустчествую - ни разу не видел что й то вроде "я вирус.exe" в корне диска С, при том чтобы его не было вижно в мсконфиге. Понимаешь - тут вариантов нет. Мсконфиг - всего лишь отображение того, что будет запускаться, а не сами запускаемые программы. Какая разница, в какое зеркало смотреть? Главное - уметь видеть)

**#11** **Phoenix** » Чт 25.05.2006, 0:35

http://keylog.h1.ru/key.html и вот такого хлама полно)) Ну конкретно эту софтину не пробовал, но написано что не видать) Была другая хрень при загрузке компа вылазила табличка с какой-то рекламой, но в мсконфиге не нашёл(может конечно плохо искал

)...убрал Ad-aware.

Добавлено спустя 2 минуты 49 секунд:

Если внимательно всмотреться, то можно увидеть, что в автозагрузке присутствует клиент &RQ (справа, обведено красным), который через msconfig (слева) не видно.

Почему не видно ?
А потому, что &RQ стоит в "отложенной автозагрузке", то есть не грузится при старте ОСи, а немного позжее.

**#12** **Женька** » Чт 25.05.2006, 4:34

regedit.exe рулит!
а если по теме: 19 листов ТЕКСТА (как было замечено - без рисунков) НЕ МОЖЕТ весить более 800 Кб!!!... это при самом крутом раскладе килобайт 200-220...
скорее всего не сам макровирус (от этого антвивири не видят ничего), а скрипт запускающий в фоновом режиме процесс winword.exe... не в единичном экземпляре разумеется... опять же все это начинается по нажатию опеределенной клавиши... видимо ей является Enter...
эт ИМХО если чо...
полечить как...
вариант нумер нуль: отключить макросы (меню Сервис-Макрос-Безопасность(уровень Очень Высокая)
вариант нумер адын: копирнуть текст куда нить в блокнот, сохранить и потом из файла *.txt импортировать в новый документ ворда
вариант номер два: запробовать открыть документ сторонним пакетом.. OpenOffice к примеру....

Добавлено спустя 5 минут 9 секунд:

вдогонку.. нарыл вот...

a - запускает Word без запуска подключенных модулей, макросов и шаблонов (в том числе без обработки normal.dot). При этом также блокируется изменение настроек Word. Такой режим до некоторой степени схож с загрузкой Windows в безопасном режиме.

/c - запускает новую копию Word и вызывает программу NetMeeting.

/lимя_модуля - запускает Word и загружает в него указанный модуль (add-in).

/m - запускает новую копию Word без выполнения в этой копии автозапускаемых макросов.

/mfilen - запускает Word и открывает файл, стоящий под номером n в списке последних документов (в меню Файл).

/mимя_макроса - запускает Word и выполняет указанный макрос. При этом автозапускаемые макросы не выполняются.

/n - запускает новую копию Word без создания нового документа («пустую» копию).

/q - запускает Word, при этом подавляется экран-заставка. Работает начиная с Word 2000 SR-1.

/r - запускает Word в фоновом режиме, Word перерегистрирует себя в системном реестре, затем завершает работу.

/tимя_шаблона - запускает Word с созданием нового документа на базе указанного шаблона.

/u - предотвращает запуск Word. Выполнение команды winword /u не дает никакого эффекта (кто бы мне объяснил, зачем этот параметр вообще нужен?).

/w - запускает новую копию Word с созданием нового документа.

/x - запускает новую копию Word из текущей операционной среды (например, из самого Word или из другой программы). Такая копия способна воспринять только одно обращение DDE и игнорирует все остальные обращения. Полезен в тех случаях, когда надо заставить Word выполнить какую-либо одну операцию и сделать невозможным вмешательство в нее извне.

**#13** **derredsos1** » Чт 25.05.2006, 16:45

Мля! Зря шухер навел!

Никакой это не вирусняк (а до просто сам по себе глюкануто составлен: покарпел над форматированием), тем более, что никаких макросов там нет...
Это так сказать случайность, что с его "странным" зависанием, обнаружилось "проблемное место"...
А процессы ВинВордовские, так много затыреные в оперативу, есть результат работы другой программы (АЦК, или конкретнее АРМ "Бюджетополучатель"), использующей ворд в качестве программы выгрузки документов. (Наплодит 3,14зда программеров!!! Понапишут всякой каки...) Программа инициализирует процесс (без запуска приложения в целом, если юзер убирает галочку "просмотр", и печатает или сохраняет док. в обход оной функции), а вот "закрывать" его, как бы "забывает".... ИТОГО: Как засирается "эфир", когда в день таким образом обработаю 15-20 документов! Пипец! День, почти возился с этой гадостью!!!

В любом случае: огромное спасибо за тот креатив, который вы здесь насоветовали!!! Нового "кусок" узнал, и очень помогло, когда "искал вирус"!

С уважением, DerRedSos1/

/.