ExcelHome技术论坛

标题: 利用Excel插件做宏病毒监控V2.93(For_2003~2010) [打印本页]
作者: baomaboy    时间: 2011-8-14 21:18
标题: 利用Excel插件做宏病毒监控V2.93(For_2003~2010)
本帖最后由 baomaboy 于 2013-2-5 17:07 编辑

没看完看懂1楼所有说明的朋友请不要下载安装试用,避免给你造成不必要的麻烦!
如果你安装试用本程序,则代表你阅读完本文,并接受本程序对你系统所做的更改。
一、使用方法:
1、安装Excel扩展工具
2、点击菜单“Excel菜单→格式→开启/关闭 病毒监控”(2003版),(快捷键:Ctrl+Alt+Shift+V)。
     点击选项卡"扩展工具"→开启/关闭 病毒监控”(2010版),(快捷键:Ctrl+Alt+Shift+V)。
3、考虑到会有新的病毒或变种,所以提供自定义病毒库(默认路径 C:\windows\system32\exkz.vbs,此文件编辑好后双击会自动更新到默认位置)。
4、正在使用个人宏工作簿或者4.0宏表的就不要试用了,免得被当病毒删了后你连备份都没有。
5、最近更新及最新的使用方法见2楼的版本更新说明
6、已安装扩展工具集的就不要安装宏病毒专杀了,因为专杀提取自工具集,工具集已经含有专杀了。
二、特别说明
1、关于安装爱毒霸社区的(office宏病毒专杀造成的本程序不能使用)的问题的解决方法为:(有禁用动作的office专杀版本为2012.05.27,希望作者改进)
   excel菜单→帮助→关于....→禁用项目 中选中exkz  然后点“启用”(2003版)
   excel菜单→文件→Excel选项→加载项→管理→禁用项目→转到 中选中exkz  然后点“启用”(2010版)
2、以本程序是否(本身含有病毒)或本程序是无技术含量的VBA不要搞封装那么神秘或者其他任何理由要求看源码的请免开尊口。
3、有朋友安装后不会卸载本程序,其实本程序安装和卸载是一起的(安装程序本身也是卸载程序)
4、有朋友说卸载本程序后会遗留文件LLKJ.dll AddInsManage.exe ,之所以不删除的原因是这2个文件分别是(公用函数库) (独立执行程序)
5、本程序是免费软件试用版不限制使用次数及功能且主要为方便本人使用而做,本程序不注册会修改用户名并提示试用版,若无需要请勿安装测试。
      卸载本工具后手工改回用户名的方法为:
      excel菜单→工具→选项→常规→用户名(2003版)
      excel菜单→文件→Excel选项→用户名(2010版)
6、已取得注册信息文件(注册文件双击导入注册表即可),想每次安装都自动注册的请看289楼的方法。
三、辅助功能(工具集辅助工具)
       辅助工具说明:电梯去436楼Excel插件辅助工具介绍
四、隐藏工具(工具集隐藏工具)
       隐藏工具说明:电梯去442楼Excel插件隐藏工具介绍


作者: baomaboy    时间: 2011-8-14 21:20
本帖最后由 baomaboy 于 2013-1-25 16:33 编辑

'-------------201108042120
上传一个病毒特征码更新文件,用记事本按说明编辑(例如添加XL4Poppy/Results/book1/Macro1/blcakice/MEMO1)并保存后双击此文件即可实现自动更新病毒特征库。
'-------------201110281503
昨晚应人之托专门分析了一下StartUp居然发现其并不是像第一眼看过去的样子,还是很有些功力的。顺便更新到V2.57以适应其特性。(只是版本更替无关毒库)
'-------------201111021801
添加一个StartUp专杀,不想装工具集的可以直接用1楼第二附件。
'-------------201111251650
应要求更新StartUp专杀,处理多次保存后的病毒残留物。
'-------------201111290938
有人反映开了监控后忘了关闭,好辛苦写完了模块被监控删除了,所以更新V2.59版本时拟放弃删除所有模块功能,只删程序内置已知病毒和自定义病毒名单中病毒模块。
'-------------201112121820
更新到V2.59  只是去除删除所有模块功能,使用程序更新时内置的“病毒关键字”及“自定义病毒库”查杀病毒。另外就是关于“模板”是否全部删除?是否添加一个白名单?
'-------------201202221934
更新到V2.61 添加查杀HTESTVI病毒(lzqlaj 提供病毒样本)的功能。[经查HTESTVI只是HUNGCHILIN版主提供的感染例子而已]
'-------------201202231409
更新到V2.62 优化对宏病毒“试卷大盗”的查杀,使查杀后的文件不再出现烦人的“找不到宏"的提示。
'-------------201204191251
病毒库更新增加对“ECSYSTEM”和“locas”查杀,1楼主程序不必更新,只下载2楼病毒库即可。
'-------------201204250015
更新到V2.65开始支持Excel2010选项卡功能区菜单,但内部功能多在E2003下开发,因此有待验证是否兼容通用。
'-------------201204272258
更新到V2.67添加1.经典怀旧2003菜单;2.添加XLS文件右键菜单双启动(适用于双版本混装)[安装后即默认显示“经典怀旧”选项卡,若不需要可在“扩展工具”中取消显示]
'-------------201204281331
更新到V2.68添加:设置XLS文件默认打开方式(双击打开)是2003还是2010(适用于双版本混装)
'-------------201204291336
更新到V2.69添加:病毒样本“LuuNgay”由 lzqlaj 提供,另外优化了设置XLS默认打开方式的功能,无需Excel版本修复即可轻松转换。
'-------------201204301335
更新到V2.70修正:Excel2003经典菜单选项卡显示不全的问题。另外应部分家人要求重新上传独立版的“宏病毒专杀”工具。
'-------------201205081350
更新到V2.71优化部分需要状态提示的按钮图标(如病毒监控状态,背景高亮状态.....)为动态显示。
'-------------201205092150
更新到V2.72添加:病毒K4的查杀,病毒样本由修身养性168提供。(K4会将中毒的薄转为加载宏而隐藏所用工作表,杀毒完毕可以使用“显示所有工作簿”来显示)
'-------------201205101201
更新到V2.73添加:"人体节律"每日显示功能,随时知晓自己身体状况以便调整工作状态(娱乐为主请勿执着)。设置用户名及生日请按住Shift + 鼠标单击菜单。
'-------------201205121310
更新到V2.77优化了一些显示细节,并按lzqlaj的建议为2003版显示“人体节律”功能。
'-------------201205191225
更新到V2.78优化最近打过补丁之后偶尔会弹出“人体节律图”设置窗口的问题。
'-------------201206131215
关于卸载程序后遗留文件LLKJ.dll和AddInsManage.exe的解释见173楼179楼,顺便增加附件(LLKJ.DLL文件说明)
'-------------201208081323
更新到V2.79优化病毒专杀遍历模块的过程。
'-------------201208232037
更新到V2.80优化病毒专杀模块,修正覆盖安装时删除用户注册信息的问题。
'-------------201209121938
更新到V2.81修正quentina119 在309楼提出的“显示表格内容”功能按钮失去响应的问题。
'-------------201212122323
更新到V2.82优化宏病毒监控查杀启动模板不再依赖AddInsManage.exe外置程序,同时去除用处不大的鸡肋功能减小安装文件体积。
'-------------201212291233
更新到V2.85为减小体积不在使用AddInsManage.exe外置程序,加载项管理集成在DLL中(缺点是:插入excel.exe中运行会造成部分加载项列表删除不尽)
'-------------201301032005
更新到V2.88:1、重排菜单功能区布局 2、加入双版本混装时word默认打开版本的同步更换  3、加入一个修复ie搜索被破坏的修复功能在excel的恢复中
'-------------201301181639
更新到V2.91:1、提取Excel图标功能(2003/2010)   2、插入名称管理功能(隐藏/显示/删除)   3、外部链接管理功能(可选择并断开失效的外部链接源,消除烦人的提示。)
'-------------201301211828
更新到V2.93:增加取得网页中星号密码的功能,快捷键:Ctrl+Alt+Shift+{home}


作者: xtanuihazfh    时间: 2011-8-14 21:31
感谢楼主分享,收藏学习,再有人中毒就发这个链接过去了,哈哈
作者: baomaboy    时间: 2011-8-14 21:45
谢谢捧场,正好今天工作不忙写了一下午,还没做几次测试bug难免啊。
你那个VBE中的API查询用起来很方便!
作者: liucqa    时间: 2011-8-14 22:37
小红帽报病毒
作者: baomaboy    时间: 2011-8-14 23:19
本帖最后由 baomaboy 于 2011-8-14 23:21 编辑
liucqa 发表于 2011-8-14 22:37
小红帽报病毒


只要是代码里有操作文件的代码就报毒,删除文件的操作更是敏感的动作了,想不报毒都难。
反正你要是在代码里写了删除文件的语句或者在加上是操作敏感的路径,杀毒软件就不认为是用户自己想这样干,而是认为是病毒干的事,(杀毒软件很体贴和周到的!)
其实想让杀毒软件报毒很简单,有时侯只要一句就足够,想让它不报才难。
作者: hzhb14796    时间: 2011-8-29 16:46
支持,研读一下,在用 ctrl+alt+shift+z 键
作者: lzqlaj    时间: 2011-9-1 08:16
试用,感觉不错。
作者: kissking51    时间: 2011-9-1 11:03
谢谢楼主的帮助
作者: flysum2008    时间: 2011-9-13 21:40
谢谢分享,学习了!!
作者: lzqlaj    时间: 2011-10-1 21:30
新版增加了功能,值得收藏。只是偶然发现这个工具每次打开excel文件时,都修改excel用户名为:baomaboy。这点应该让用户选是否修改,感觉还是不改用户名为好。
作者: baomaboy    时间: 2011-10-1 23:21
本帖最后由 baomaboy 于 2011-10-1 23:22 编辑
lzqlaj 发表于 2011-10-1 21:30
新版增加了功能,值得收藏。只是偶然发现这个工具每次打开excel文件时,都修改excel用户名为:baomaboy。这 ...


是有这个问题存在,另外如果状态栏显示的话,启动时还会在状态栏有提示,除了这两处其他都一样。
对使用者来说确实不是什么让人高兴的事,于我来说不为别的或许算是无偿使用中的一种回报吧。
其实我自己就一不愿用收费的,二不愿用胡乱改我电脑的,所以很多“箱子”我不用而是摸索着自己写。
有时候会有朋友要注册码,之后就不会改用户名了,你知道的有时候这能让朋友感觉很好.....
或许以后有更新时去掉这个验证模块吧,不过这样的话那个注册功能就浪费了。
作者: lzqlaj    时间: 2011-10-2 07:59
本帖最后由 lzqlaj 于 2011-10-2 08:00 编辑

怎么注册?能发个注册码吗?
作者: baomaboy    时间: 2011-10-2 08:31
lzqlaj 发表于 2011-10-2 07:59
怎么注册?能发个注册码吗?

你得把状态栏那个机器码告诉我。
作者: lzqlaj    时间: 2011-10-2 09:05
55495048684955525750
作者: baomaboy    时间: 2011-10-2 10:59
本帖最后由 baomaboy 于 2011-10-2 11:00 编辑
lzqlaj 发表于 2011-10-2 09:05
55495048684955525750


双击导入就行了...........
用户名你自己改回去,再启动时就不会修改了。
作者: lzqlaj    时间: 2011-10-2 14:52
baomaboy 发表于 2011-10-2 10:59
双击导入就行了...........
用户名你自己改回去,再启动时就不会修改了。

谢谢,注册成功。。
作者: 12个英文字母    时间: 2011-10-7 14:22
严重的支持闫总!
作者: 山山好又快    时间: 2011-10-8 08:18
谢谢楼主分享,学习了。
作者: yschaizhen    时间: 2011-10-14 08:50
不错,谢谢分享,只是把我常用的志诚决算也当病毒给杀了。
作者: kevin_kaiCN    时间: 2011-10-14 09:00
下载了,再关注一下,期待有更新!!!
作者: kevin_kaiCN    时间: 2011-10-14 09:05
yschaizhen 发表于 2011-10-14 08:50
不错,谢谢分享,只是把我常用的志诚决算也当病毒给杀了。

请问你的志诚决算怎么用?压缩包中有两个文件都是怎么使用的,请详细说明一下。
作者: yschaizhen    时间: 2011-10-14 15:07
kevin_kaiCN 发表于 2011-10-14 09:05
请问你的志诚决算怎么用?压缩包中有两个文件都是怎么使用的,请详细说明一下。

解压后把两个文件放XLSTART文件夹。
作者: kevin_kaiCN    时间: 2011-10-14 15:55
yschaizhen 发表于 2011-10-14 15:07
解压后把两个文件放XLSTART文件夹。

我自建了一个XLSTART文件夹,然后怎样运行?

我直接运行BM.xla后EXCEL多了个至诚决算的菜单。?
作者: kevin_kaiCN    时间: 2011-10-14 16:01
baomaboy 发表于 2011-10-2 08:31
你得把状态栏那个机器码告诉我。

这是我的机器码

楼主干脆把注册机共享出来吧,万分感谢!另外,病毒代码希望更新及时。
作者: 学生甲1    时间: 2011-10-14 16:45
谢谢老师,收藏备用。
作者: yschaizhen    时间: 2011-10-14 18:02
本帖最后由 yschaizhen 于 2011-10-14 18:02 编辑
kevin_kaiCN 发表于 2011-10-14 15:55
我自建了一个XLSTART文件夹,然后怎样运行?

我直接运行BM.xla后EXCEL多了个至诚决算的菜单。?


解压后把两个文件放到Program Files\Office2010\Office14\XLSTART,就可以每次自己加载志诚决算菜单,只要开启病毒监控,就把解压的两个文件删除,建立两个同名的文件夹,请楼主核实。另我的机器码为53496653675657488378,烦给个注册码。
作者: kangatang    时间: 2011-10-14 22:27
楼主乃强人也。
弱弱地问一下,万一要卸载,怎么卸最彻底?
作者: yaoxuejian    时间: 2011-10-16 14:55
收藏备用  呵呵·强悍啊········
作者: baomaboy    时间: 2011-10-17 17:11
本帖最后由 baomaboy 于 2011-10-17 17:13 编辑
yschaizhen 发表于 2011-10-14 08:50
不错,谢谢分享,只是把我常用的志诚决算也当病毒给杀了。
那个不好意思了,平时很少人用到模板功能,并且平时也不用开着病毒监控就可以了。

作者: baomaboy    时间: 2011-10-17 17:17
kevin_kaiCN 发表于 2011-10-14 16:01
这是我的机器码

楼主干脆把注册机共享出来吧,万分感谢!另外,病毒代码希望更新及时。

不好意思,这几天没上,注册码在附件。

作者: baomaboy    时间: 2011-10-17 17:19
yschaizhen 发表于 2011-10-14 18:02
解压后把两个文件放到Program Files\Office2010\Office14\XLSTART,就可以每次自己加载志诚决算菜单,只 ...

注册码查收。。。。
作者: baomaboy    时间: 2011-10-17 17:20
kangatang 发表于 2011-10-14 22:27
楼主乃强人也。
弱弱地问一下,万一要卸载,怎么卸最彻底?

用附件自身的安装/卸载就可以。
作者: mcpeipei    时间: 2011-10-19 10:16
很不错的一文章,以后有用直接下载来杀毒了
作者: 执子游    时间: 2011-11-6 07:09
正愁杀不死病毒呢。
作者: 执子游    时间: 2011-11-6 08:26
请问下LZ,我的一个EX显示宏中毒了,我打开其他没有中毒的EX,为什么一改了里面的任意内容保存后,就显示我的EX中毒了呢?
作者: baomaboy    时间: 2011-11-6 09:34
执子游 发表于 2011-11-6 08:26
请问下LZ,我的一个EX显示宏中毒了,我打开其他没有中毒的EX,为什么一改了里面的任意内容保存后,就显示我 ...

“感染”是病毒3个主要特征之一
作者: qczvba    时间: 2011-11-11 14:54
应该加点技术分,谢谢楼主分享。
作者: 高绪山    时间: 2011-11-29 09:25
你好! 我以前用过正常。可是现在安装后就不能使用了,不知什么原因。请指教! 谢谢!
作者: baomaboy    时间: 2011-11-29 09:29
本帖最后由 baomaboy 于 2011-11-29 09:48 编辑
高绪山 发表于 2011-11-29 09:25
你好! 我以前用过正常。可是现在安装后就不能使用了,不知什么原因。请指教! 谢谢!

你说以前用正常,而且很多人用都正常,说明工具集应该正常的,可能是你的使用环境有变化。

如果你是03版的看看菜单 帮助→关于excel...→禁用项目 中是否有exkz.dll 如果有的话选中然后启用就行了,10版的菜单在哪我不知道,你自己找找。
如果不是这个原因需要提供更多的描述才能定位不能安装的原因,只是说"以前可以安装现在不可以安装"无法确认出错原因。
另外你可以下载最新版本试试。
作者: f8b1987    时间: 2011-11-29 09:30
xtanuihazfh 发表于 2011-8-14 21:31
感谢楼主分享,收藏学习,再有人中毒就发这个链接过去了,哈哈

飞,发现好东西也不分享....
作者: 高绪山    时间: 2011-11-29 10:07
baomaboy 发表于 2011-11-29 09:29
你说以前用正常,而且很多人用都正常,说明工具集应该正常的,可能是你的使用环境有变化。

如果你是03 ...

如你所说,在禁用项目中禁用了。现在已经“启用”。可以正常使用了,谢谢!
作者: 风云际会6    时间: 2011-12-8 20:53
感谢楼主分享,收藏学习
作者: lzqlaj    时间: 2011-12-10 17:55
baomaboy 发表于 2011-8-14 21:20
'-------------201108042120
上传一个病毒特征码更新文件,用记事本按说明编辑并保存后双击此文件即可实现 ...

有人反映开了监控后忘了关闭,好辛苦写完了模块被监控删除了,所以更新V2.59版本时拟放弃删除所有模块功能,只删程序内置已知病毒和自定义病毒名单中病毒模块。

遇到过这种情况,什么时候放出2.59,很期待。。。。
作者: cxh2010    时间: 2011-12-12 13:57
很好的工具,谢谢分享
作者: baomaboy    时间: 2011-12-12 18:28
lzqlaj 发表于 2011-12-10 17:55
有人反映开了监控后忘了关闭,好辛苦写完了模块被监控删除了,所以更新V2.59版本时拟放弃删除所有模块功能 ...

更新到V2.59 去除“删除所有模块”功能。
作者: lzqlaj    时间: 2011-12-12 19:38
本帖最后由 lzqlaj 于 2011-12-12 19:40 编辑

安装后,发现以下问题:
1、2.59不能自动安装,点击完了,解压释放,需要再点击setup。
2、注册以后安装2.59后又变成未注册版,需重新注册(以前的版本也存在这个问题)。
3、安装后未修改用户名,只是显示提示试用版。
4、注册信息要是错误,插件不启用。
5、解压出来的setup.reg好像没什么作用。
作者: lzqlaj    时间: 2011-12-12 20:24
这个病毒未提示删除,但是也没中毒,为什么?
作者: baomaboy    时间: 2011-12-12 23:54
本帖最后由 baomaboy 于 2011-12-12 23:57 编辑
lzqlaj 发表于 2011-12-12 20:24
这个病毒未提示删除,但是也没中毒,为什么?


先回答这个问题吧:
1.未提示删除的原因不太好分析,因为你的附件在我这里可以删除,也许是你在47楼提出的安装问题没安装好造成的。
2.至于你说为什么没中毒,这个容易理解,因为你安装过以前的版本,并且当时查杀过此病毒,这样的话已经在模板路径下建立病毒同名文件夹免疫了,所以不会中毒了。

作者: baomaboy    时间: 2011-12-13 00:13
本帖最后由 baomaboy 于 2011-12-13 00:38 编辑
lzqlaj 发表于 2011-12-12 19:38
安装后,发现以下问题:
1、2.59不能自动安装,点击完了,解压释放,需要再点击setup。
2、注册以后安装2 ...


1.关于V2.59不能自动安装,不好意思是压缩时没写入自动安装信息,已经修改并重新上传了。
2.注册以后变成未注册是因为压缩包中的setup.reg中的注册信息是我自己的(为了方便自己),你把你的注册信息改名为setup.reg替换到压缩包中,以后安装完就是注册版了。
3.只提示未注册没修改用户名可能的原因是我设置了日期和时间段另外可能是安装不正常造成的。
4.注册信息错误插件不启用,我没做此限制,所以可能还是安装时候的问题。
5.关于setup.reg的问题参考问题2(因为那是我自己的注册信息,换成你的就起作用了)

也许是安装过程中出错了,先使用卸载功能卸载一次然后重新安装也许可以解决此问题,安装完成后“加载宏”中应该有如图(附件)所示的加载项。

为了保证正常安装本程序一般应注意:
1.尽量关闭杀软监控,避免杀毒软件拦截或全部或部分安装信息造成安装失败。
2.安装新版前最好先使用“卸载”按钮卸载旧版本,以避免旧文件被excel占用造成文件替换失败。
3.有部分安装失败的原因可以使用此方法解决:excel菜单→帮助→关于 microsoft office excel...→禁用项目 在对话框中选中EXKZ.DLL点启用按钮解决。
4.安装成功后:①在菜单“格式”和“工具”下都应用本程序的菜单,②“加载宏”中应该有如图(附件)所示的加载项。

作者: lzqlaj    时间: 2011-12-13 07:43
这次在单位的机子上装了,一切正常。单位机器码 65495649534949494949 ,能否再给个注册码。。
作者: baomaboy    时间: 2011-12-13 08:04
lzqlaj 发表于 2011-12-13 07:43
这次在单位的机子上装了,一切正常。单位机器码 65495649534949494949 ,能否再给个注册码。。

65495649534949494949
作者: lzqlaj    时间: 2011-12-13 08:34
谢谢提供注册码。。
作者: yangkd    时间: 2011-12-18 01:23
baomaboy 发表于 2011-12-13 08:04
65495649534949494949

我单位的电脑中了这个宏病毒,重装系统也枉然啊。
明天到公司看看机器码,请老师帮忙给个注册码。
谢谢!!
作者: baomaboy    时间: 2011-12-18 07:49
yangkd 发表于 2011-12-18 01:23
我单位的电脑中了这个宏病毒,重装系统也枉然啊。
明天到公司看看机器码,请老师帮忙给个注册码。
谢谢 ...

可以....................
作者: 狐狸在线    时间: 2011-12-18 23:28
谢谢,刚好用得上,哈哈
作者: GUANCHZH    时间: 2011-12-19 12:10
谢谢分享,学习了
作者: chencun    时间: 2011-12-19 21:26
两天了表都不好用,,整个下午都在网上找,终于解决了,灰常感谢~~
作者: 小景儿    时间: 2012-1-8 23:37
机器码69675151668088845176,能否再给个注册码。。
作者: baomaboy    时间: 2012-1-9 01:41
小景儿 发表于 2012-1-8 23:37
机器码69675151668088845176,能否再给个注册码。。

--------------
作者: lzqlaj    时间: 2012-2-7 19:42
最近换了台电脑,机器码70656550544984528772,能否再给个注册码。
作者: baomaboy    时间: 2012-2-7 22:05
lzqlaj 发表于 2012-2-7 19:42
最近换了台电脑,机器码70656550544984528772,能否再给个注册码。

70656550544984528772
作者: lzqlaj    时间: 2012-2-9 15:14
baomaboy 发表于 2012-2-7 22:05
70656550544984528772

谢谢提供注册码。。
作者: 高绪山    时间: 2012-2-15 15:38
本帖最后由 高绪山 于 2012-2-15 15:38 编辑

您好:
请问:EXCEL 打开密码如破解,谢谢!
作者: lzqlaj    时间: 2012-2-22 07:29
这个病毒好像不能查杀。
作者: baomaboy    时间: 2012-2-22 16:09
高绪山 发表于 2012-2-15 15:38
您好:
请问:EXCEL 打开密码如破解,谢谢!

打开密码百度5秒爆破。
作者: baomaboy    时间: 2012-2-22 19:37
本帖最后由 baomaboy 于 2012-2-22 20:03 编辑
lzqlaj 发表于 2012-2-22 07:29
这个病毒好像不能查杀。


1楼已更新,可以杀除HTESTVI病毒了。




作者: baomaboy    时间: 2012-2-22 20:03
baomaboy 发表于 2012-2-22 19:37
1楼已更新,可以杀除HTESTVI病毒了。

呵呵好像闹笑话了,刚刚看到HUNGCHILIN版主的帖子才知道lzqlaj 提供的那个病毒代码原来只是是HUNGCHILIN版主提供的感染实例而已。
作者: lzqlaj    时间: 2012-2-22 20:35
簡易的EXCEL宏感染原理檔案 ,四楼的附件无法查杀。
http://club.excelhome.net/thread-829426-1-1.html
下载安装“office 病毒专杀迎春版”,开启宏病毒防护盾,附件里的病毒已无法运行。
作者: baomaboy    时间: 2012-2-22 20:47
本帖最后由 baomaboy 于 2012-2-23 08:03 编辑
lzqlaj 发表于 2012-2-22 20:35
簡易的EXCEL宏感染原理檔案 ,四楼的附件无法查杀。
http://club.excelhome.net/thread-829426-1-1.html
...


4楼附件2.61版可以查杀了,只需要添加相应的病毒特征(模块或者宏表名称)进去,你说的“office 病毒专杀迎春版”试用了一下发现他根本不能阻止宏病毒运行,事实上宏病毒已经运行了若干条命令只是运行到写入XLSTART时被阻止而已,因此那个新春版事实上仍需改进。
作者: baomaboy    时间: 2012-2-23 14:34
'-----201202231435
更新到V2.62 优化对宏病毒“试卷大盗”的查杀,使查杀后的文件不再出现烦人的“找不到宏"的提示。
作者: carlcy    时间: 2012-2-26 12:57
谢谢楼主分享,中两回了这个毒了
作者: goldowl2011    时间: 2012-2-27 22:19
Thanks a lot.
作者: kszcs    时间: 2012-2-29 06:53
baomaboy 发表于 2011-8-14 21:20
'-------------201108042120
上传一个病毒特征码更新文件,用记事本按说明编辑并保存后双击此文件即可实现 ...

这个应当不错
作者: liucqa    时间: 2012-2-29 07:58
嗯,谢谢分享      
作者: lhdcxz    时间: 2012-3-1 12:46
谢谢分享!建议版主给楼主加分。
作者: adao176    时间: 2012-3-3 20:48
顶个,以后备用
作者: scmydms    时间: 2012-3-4 21:18
下载个试试,我在本论坛内下载了一个books1压缩包后也中宏病毒了,是XF/sic病毒{:soso_e109:}
作者: bely0031    时间: 2012-3-12 15:01
这个需要学习
作者: seanlew    时间: 2012-3-13 18:06
感谢感谢
不幸染毒,360查杀后每次打开excel都有问题,修改的文件给别人也不敢打开,这次托楼主的福终于解决难题了,谢!
作者: cdumm    时间: 2012-3-19 17:05
谢谢分享啦!~
作者: hj828    时间: 2012-3-23 09:06
楼主:这是我的机器码,可否给我一个注册文件;
67535167696756776979
作者: baomaboy    时间: 2012-3-23 20:33
hj828 发表于 2012-3-23 09:06
楼主:这是我的机器码,可否给我一个注册文件;
67535167696756776979

---------------------------------
作者: hj828    时间: 2012-3-24 08:25
收到!谢谢{:soso_e113:}
作者: sqm1117    时间: 2012-3-29 09:58
楼主强的,下载用了,真的解决了问题,谢谢。
作者: xywy2012    时间: 2012-3-29 13:47
学习一下,谢谢分享,收藏备用
作者: kkkk2012    时间: 2012-4-1 14:27
楼主强大  我的机器码在下面  另外有一个PPT中了宏病毒X2000M/Laroux.OB  你这个软件能解决么  如何操作呢
作者: baomaboy    时间: 2012-4-1 19:10
kkkk2012 发表于 2012-4-1 14:27
楼主强大  我的机器码在下面  另外有一个PPT中了宏病毒X2000M/Laroux.OB  你这个软件能解决么  如何操作呢

这是Excel插件,只能在Excel中使用,PPT中毒不能解决。

'-----注册码-----
作者: 靖江同方-郑    时间: 2012-4-11 11:11
好东西 收藏了
作者: momo911    时间: 2012-4-13 10:36
谢谢lz,最近办公室宏病毒肆虐,多亏了lz的工具,请问不注册有什么影响吗?
下面是我的机器码

作者: baomaboy    时间: 2012-4-13 12:26
momo911 发表于 2012-4-13 10:36
谢谢lz,最近办公室宏病毒肆虐,多亏了lz的工具,请问不注册有什么影响吗?
下面是我的机器码

不注册对功能没有任何影响,只是会显示试用版和修改用户名称。
给你一个注册文件双击导入注册表就可以了,谢谢回复。
作者: sienalee    时间: 2012-4-14 16:36
太好了!虽然我搞不懂原理,但我下了安装以后,excel就好了~~感谢LZ无私分享
作者: dacn0313    时间: 2012-4-17 22:52
谢谢楼主造福大家,另向楼主求助,单位机器现打开某些WORD或EXCEL,就会在TEMP文件夹下自动生成BK_*.TMP这样的文件,进程进马上增加BK_*.TMP同名进程,启动项增加blackice.exe启动项,有时进程时会增加blackice.exe进程,进程还会增加名为EXCEL.EXE和WORD.EXE进程,而且会增多,提示保存框等,如何才能彻底解决和防止再次感染,希望楼主指点.
作者: baomaboy    时间: 2012-4-17 23:13
dacn0313 发表于 2012-4-17 22:52
谢谢楼主造福大家,另向楼主求助,单位机器现打开某些WORD或EXCEL,就会在TEMP文件夹下自动生成BK_*.TMP这样的 ...

如你所说现象此病毒已不仅仅是感染excel了,同时把手伸向操作系统了,劫持系统启动项。
需要病毒样本才能了解病毒感染和运行的原理,比如病毒的原始状态是exe文件感染excel还是excel文件夹带exe文件感染系统的。
作者: dacn0313    时间: 2012-4-18 10:33
上传一个感染文件,你看看。
作者: baomaboy    时间: 2012-4-18 13:42
本帖最后由 baomaboy 于 2012-4-18 13:59 编辑
dacn0313 发表于 2012-4-18 10:33
上传一个感染文件,你看看。


1.楼层95上传的文件不完整,会弹出错误提示,看过后发现是由于宏代码部分丢失造成的。
2.根据仅存的有限代码只能释放出一个伪装成文件夹图标的blackice.exe病毒(rar文件密码000,解压后扩展名改exe即可,请勿尝试打开,危险!)
3.释放出的blackice.exe会被金山报毒并删除。
4.由于上传的感染文件宏代码不完整,因此除了释放blackice.exe无法获得更多的病毒动作,dacn0313 可以考虑重新选择一个完整的感染例子上传。
5.由于blackice.exe是编译型文件,即使获得了文件也无法了解详细的病毒破坏动作。
6.excel属于应用级软件,而blackice.exe劫持系统启动项开机即运行,二者权限相反了,blackice.exe删excel易如反掌,excel删blackice.exe就难了,因此需要杀毒软件等驱动级的软件来完成这个任务了,本插件只能处理excel权限小范围内的动作。

最后谢谢 dacn0313 提供的例子 ,无论是好程序还是病毒 我们都可以由其代码中学到东西。

作者: dacn0313    时间: 2012-4-18 16:55
病毒是完整的,出现“加载thisworkbook时出现错误”窗口,我试过,那是因为EXCEL或WORD宏的安全性设置高了,设成低,病毒就会正常!下午发现,用瑞星网络版能杀掉,并保留原正常文档。谢谢baomaboy 分析。
作者: 薛梦君    时间: 2012-4-20 11:32
目前我的2010清理宏病毒比较成功的一个帖子,谢谢!
作者: f8b1987    时间: 2012-4-22 12:29
支持一个,最近公司很多人中招了
作者: zfq01    时间: 2012-4-23 09:46
谢谢,下来看看!



欢迎光临 ExcelHome技术论坛 (https://club.excelhome.net/) Powered by Discuz! X3.4