set of letters

Кто сказал ?
Только щаз запендюрил в виртуалку на ОС ХР PRO тот самый Microsoft Офис 2003, про который тебе написал.
Ну или тогда пиратку свою ХР, вирусами съеденную переустанови. Ну или уж ОБНОВИ хотя бы с загрузочного диска

01pump

Поле раздвинуть (как в Excel )

neigrok

Еще нашел вот это:
Trojan-Downloader.LittleTroy.osa
Распространяется под названием osa.gif среди прочих компонентов оформления Интернет-страниц. Расширение "GIF", характерное для файлов-картинок, умышленно присвоено файлу троянца, чтобы не выдавать его присутствия среди реальных картинок-баннеров - компонентов сохраняемой в машину HTML-страницы.
Файл троянца представляет собой Win32-приложение (PE EXE-файл) размером примерно от 2050 до 20200 байт, что зависит от количества нулевых байт в его хвостовой секции. Для того, чтобы троянец был запущен на выполнение, в коде загруженной HTML-страницы должен обязательно присутствовать вредоносный скрипт, содержащий процедуры замены у файла троянца расширения "GIF" на "EXE" и последующего запуска этого переименованного файла на выполнение. Без такого скрипта в теле страницы osa.gif не представляет никакой опасности.
Троянец osa.gif (osa.exe ?) является программой одноразового действия, предназначенной лишь для скрытной загрузки и установки на пораженный компьютер др. троянской программы, после чего osa.exe завершает свою работу и представляет уже не более, чем файловый мусор.
В момент своего запуска троянец проверяет наличие подключения машины к сети Интернет и в том случае, если подключение активно, то скрытно соединяется со страницей
http://abyronexperience.com/%/1.php
, с которой пытается скачать на пораженный компьютер какой-то EXE-файл. Затем троянец устанавливает этот файл в создаваемый им подкаталог со случайным именем в системной поддиректории, присваивая файлу случайное имя "%" (тут переменная % имеет какое-то определенное значение):
WINDOWS\[подкаталог со случайным именем]\%.exe
После установки и запуска данного файла на выполнение, троянец создает в системной памяти уникальный идентификатор нового троянского процесса "%.exe". Этот идентификатор имеет название
fds5644ghhopen
и содержит в себе информацию о местоположении в системной директории файла %.exe и его активности. Необходимость создания данной "метки" в системной памяти обусловлено, очевидно, тем фактом, что имя подкаталогу расположения данного файла присваиваются троянцем случайным образом и при наличии идентификатора можно избежать повторных загрузок и установок на машину-жертву одной и той же троянской программы, но в разные подкаталоги.
Троянский файл osa.gif (osa.exe ?) антивирусы детектируют так:
Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.aso
Антивирус DrWeb: Trojan.DownLoader.2504
Антивирус BitDefender Professional: Generic.Malware.dld!!.B158991E

Может что-то такое?

01pump

neigrok,

Для чего вы это написали? Зачем тратить время на поиски того чего нет?

уберите из автозагрузки (через msconfig) офис.
Или вообще этого мамонта Office XP выкиньте и установите 2003 как вам советуют.

neigrok

01pump
Ага, в автозагрузке OSA.exe -b -l

interesnovse-
Если Офис 2003 встает на ОС ХР, то я готов попробовать. Пока скачаю на всякий случай, если мы с Вами все-таки не дорешаем мои проблемы шаманством. )

01pump

neigrok,

Уберите из авторзагрузки Офис
Когда уберете птичку - примените и перезагрузитесь. После перезагрузки появится небольшое окно, в нем поставьте птичку слева внизу и нажмите ОК

НА XP встанет любой офис

set of letters

neigrok, ты поменьше разглагольствуй и установи то, что я тебе написал. А то я уже на майкрософт за обновлениями сбегал с этим 2003

snifer67

У вас типа этих зверей Backdoor.Win32.Shiz

set of letters

Таких зверей NIS 2009 и NIS 2010 в лёт бьют. По фиг хоть в архиве RAR будет, хоть где. При распаковке за мили секунды.
Рекомендую. Это их любимое блюдо

neigrok

Автозагрузку OSA убрал. Перегрузил. Галку поставил. Результат: OSA в процессах отсутствует. Загрузка ЦП -0.
Поставил качаться Офис 2003 по Вашей ссылке. Ожидаемое время 2 часа.

Вывод: Спасибо, что весь день со мной промучались. Через час футбол. Не буду Вас сегодня допекать своим присутствием. Ночью или завтра установлю Офис 2003. Тему не закрывайте пока. Потом отпишу здесь о результатах.

В любом случае с меня пол-литра.

set of letters

1. Ссылка вторая сверху в той теме в сообщении. Не перепутал ?
2. Про обещания: здесь все врут. Один мне три сотни на сотовый обещал, а потом смылся. До сих пор на форуме не видно. Так что не обещай. Тем более спиртное

neigrok

Да. 2-я сверху (энтерпрайз эдишн, типа).

Все. Побежал в магаз. ))

Как все установлю, результаты опишу здесь же.

neigrok

Снова, здравствуйте.
Как будет время, пожалуйста, включитесь снова в мою тему. Немного "дожать" осталось.
Я в воскресенье с обеда буду дома и готов подключиться к работе.

Когда окончательно решили сносить Офис ХР 10, то ситуация выглядела так:
1. OSA съедала 50% ЦП и мы ей отключили автозагрузку в msconfig.
2. World запускался с предупреждениями, что он не может установить связи и т.п.
3. Брандмаузер кричал, что не видит антивир.
4. В списке служб при каждой загрузке Windows Installer оказывался не работающим, несмотря на "Авто". Чтоб что-то установить-удалить приходилось включать его вручную каждый раз.
5. В диспетчере было 6 (шесть) svchost.
6. 11.07.10 г. 00.43 ч. The file 'C:\System Volume Information\_restore{F297A28A-485F-4644-ADBC-731058EB3C5F}\RP1\A0000065.exe'
contained a virus or unwanted program 'TR/Drop.boa' [trojan]
Action(s) taken:
The file was moved to the quarantine directory under the name '4e1d7ada.qua'.

Снес Офис ХР 10 и установил с Вашей ссылки Офис 2003. (правда, не очень понял как обновлять).

Результаты:
1. OSA.ехе на компе не обнаружен. Загрузка ЦП - 0. Но в автозагрузке в msconfig OSA по-прежнему числится в принудительно отключенном состоянии.
2. Новый Офис 2003 ни в какие автозагрузки нигде не прописался. Но в списке служб появилось "Office Sourсe Engine" в неработающем состоянии на установке "Вручную".
3. Новый World снова запускается с теми же предупреждениями. Полазил в настройках и убрал галку с "Восстанавливать связи и т.п.", но это на дело не повлияло. Вообще непонятная проблема.
4. Брандмаузер теперь антивир видит и кричит только об отключенном автообновлении.
5. В списке служб Windows Installer теперь стабильно рабочий, стоит на "Авто".
6. В диспетчере осталось 6 (шесть) svchost.
7. По адресу D:\ появилась пустая папка msdownld.txt - брошено в корзину, и папка RECYCLER, вес 21.1 кб, внутри типа пусто - при попытке удалить, кричит, что нет доступа и ступай лесом. Что это?

Больше пока ничего нового не заметил. В целом система работает без явных сбоев.

Еще дополнительный вопрос: Комбофикс после своей работы насоздавал мне кучу папок с разными файлами на диске С:\ Это нужно? Куда это все девать? А то как-то эстетику портит.

По моим предположениям, инфицированный OSA.ехе оставил после себя хлам в реестре, возможно какие-то кривые ключи, связанные с работой Офиса. Но тут я уже совсем не разбираюсь.

Есть у Вас идеи что еще надо бы сделать, чтобы спать спокойно?

set of letters

Есть. В Реестре правой кнопкой мыши - НАЙТИ. Напиши там OSA.ехе. Может найдет чего. Папку RECYCLER создают трояны. И это говорит о том, что в системе они ещё остались. Если скрипты тебе больше не будут составлять по AVZ - у , то запусти эту программу
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

neigrok

Нашел файл OSA.exe в реестре. Удалять и перегружаться?
По AVZ еще будем чего творить?

И как удалить этот RECYCLER ???