Данный документ описывает методы уничтожения макровирусов в ручную.
 Первое правило которое должен запомнить человек, который "сражается" с макровирусами - ЛЮБОЙ МАКРОВИРУС МОЖНО УДАЛИТЬ В РУЧНУЮ НЕЗАВИСИМО ОТ СЛОЖНОСТИ ЕГО НАПИСАНИЯ!!!!!(высказывание справедливо для MS Office).

Необходимо уточнить, что во всех компонентах MS Office для написания макро кода используется Visual Basic for Application далее VBA. Особенность макровирусов заключается в том, что работать они могут только во время работы Word, Excel и т.д. Код макровируса сохранённый в текстовом файле, лишённый таким образом своей привычной среды обитания, совершенно безвреден. Особенность работы программы Word позволяет заражать сам редактор Word, т.е. даже если не открыт ни один документ, Word может быть заражён и может заражать новые документы. Происходит это потому, что в Word-е присутствует шаблон Normal.dot, который загружается всегда, даже если его удалить (Word создаёт его заново). Свойство Word создавать шаблон заново можно использовать для восстановления зараженного Normal.dot, т.к. шаблон восстанавливается совершенно "чистый". В Excel подобного шаблона нет, поэтому заражение документов может происходить только в том случае, если открыт документ содержащий в себе вирус.

Шаг первый:
Для успешной борьбы с м-вирусами неподготовленному пользователю необходимо разобраться с редактором макросов. Для того, чтобы зайти в редактор макросов в MS Word необходимо нажать кнопку меню Сервис->Макрос->Редактор Visual Basic (см. рис.1),


рис.1

если успешно выполнить это действие должно появиться окно редактора Visual Basic (см. рис.2). В редакторе Visual Basic нас интересует окно проекта - project которое можно увидеть на рис.2.


рис.2

Если Вы его не наблюдаете, то возможно у Вас оно не включено. Для его включения воспользуйтесь меню Вид->Окно проекта (см. рис.3).


рис.3

В заключение первого шага хочу заметить, что если Вы не можете найти пункт меню указанный на рис.1 скорее всего Word уже заражён каким-нибудь вирусом, который специально скрывает от Вас этот пункт, некоторые вирусы перехватывают нажатие на кнопку вызова редактора VBA и выводят пользователю сообщения типа "Нет загруженных макросов!", редактор VBA должен появиться в любом случае - даже если не открыт ни один документ и не загружен ни один макрос.



Шаг второй:
Теперь, когда Вы поняли, как заходить в редактор, необходимо разобраться, где искать вирусы.


рис.4

На рис.4 показано окно проекта, в этом окне видно, что в Word-е открыт один документ с названием Документ1.doc и виден шаблон Normal.dot(который будет загружаться всегда). В каждом документе (шаблоне) созданном заново обязательно будет присутствовать компонент ThisDocument, который нельзя удалить. Для того, чтобы посмотреть содержиться в шаблоне Normal.dot или документе Документ1.doc какой-либо макрос необходимо сделать двойной клик мышкой на компоненте ThisDocument. Если появившейся модуль пуст (рис.5)


рис.5

то беспокоится Вам не надо т.к. вирусов в данном модуле нет. Если в модуле присутствует вирус (рис.6), тогда выделите его и удалите, после этого обязательно сохраните документ.


рис.6



Шаг третий:
Многие вирусы для заражения используют дополнительные модули (формы, модули класса, модули программы), которые можно встраивать в документы. На рис.7 приведён пример, когда в документ встроены такие модули.


рис.7

Эти модули также необходимо проверять на наличие в них вредоносного кода. Удаляются модули нажатием на них правой клавишей мыши и выбором пункта "Удалить модуль ..." (рис.8).


рис.8



Шаг четвёртый:
Некоторые вирусы используют дополнительные шаблоны, которые создают в папке "C:\Program Files\Microsoft Office\Office\STARTUP". На рис.9 показан вариант, когда вирус создал в этой папке шаблон и использует этот шаблон для заражения других документов.

рис.9

Особенность такого шаблона в том, что грузиться он автоматически и при попытке просмотреть его Word выдаёт сообщение см. рис.10.

рис.10

Для того, чтобы исследовать такой шаблон необходимо закрыть Word, переместить его в другую папку и открыть с помощью Word, далее просмотреть его макросы и действовать по обстоятельствам.

Шаг пятый:
Теперь необходимо научиться определять с каким макросом Вы столкнулись полезным или вредным. Человеку, который ни когда не занимался программированием сделать это будет несколько затруднительно, но, тем не менее, это возможно. Во-первых, размышляя логически, можно вывести несколько простых правил:
  1. Если в документе, который создали Вы появился макрос - 99% это вирус.
  2. Если Ваш знакомый дал Вам документ с полезным макросом, то он Вас об этом предупредит.
  3. Если Ваш знакомый дал Вам документ и в документе оказался макрос, о котором Вас не предупредили - 90% это вирус.

Ниже приведён список ключевых слов (строк), наличие которых в макросе подтверждает то, что он является макровирусом т.к. данные выражения использут именно вирусы:
  1. NormalTemplate.VBProject.VBComponents
  2. ActiveDocument.VBProject.VBComponents
  3. VirusProtection
  4. Sub ViewVBCode()
  5. VBProject.VBComponents

Шаг шестой:
И вот, настал тот час, когда Вы понимаете, что Ваш компьютер, несмотря на Вашу осторожность, всё-таки подхватил макровирус. Вы пытаетесь его достать через редактор VBA, но он, естественно отключил эту опцию и не даёт Вам добраться до него. Порядок действий в этом случае должен быть следующий:
  1. Закройте Word,
  2. через проводник откройте директорию C:\Program Files\Microsoft Office\Шаблоны ,
  3. удалите шаблон Normal.dot,
  4. запустите Word,
  5. откройте редактор VBA,
  6. удерживая кнопку Shift откройте подозрительный документ, который заразил Ваш шаблон.
  7. Далее исследуйте документ на наличие м-вирусов и если что-то найдёте, можете удалять.
На рис.11 показан зараженный документ. Все модули которые можно наблюдать в шаблоне Normal.dot относятся к программе Macros Hunter.

рис.11


Заключение
Подводя итог, хочу отметить, что всё, о чем говорилось выше на 100% подходит для MS Word 97, но многое справедливо и для Excel, Office 2000/XP работает по похожей схеме с той лишь разницей, что директорию для шаблонов создаёт другую, а именно в системной папке c:\windows\ Application Data. Начиная с Office 2000 Microsoft определила такое понятие, как подпись макроса, об этом рекомендую почитать в справочной системе MS Office 2000/XP.
В будущем этот документ будет обновляться. Если я что-то упусти или, по Вашему мнению, написал неточно, пишите по адресу machunter@narod.ru , всегда выслушаю Ваши пожелания.
www.machunter.narod.ru
г 2002 Averkov Oleg