http://www.kuban.ru/cgi-bin/forum/forum9.cgi?page=1&ask=250166

по поиску строки - искалась строка
 CreateObject(
Нужна ли кавычка в конце?

(1) Попробуй. В екзешнике одноэсном уже не будет точно...

(1) вышли всеже dir c:\ /s /a /oe>treec.txt

248 (старый номер) - файл содержит много конфиденциальной информации - выслать не могу.
2 - попробую с кавычкой

а еще неплохо искать строку ActiveXObject, ибо не факт что на бейсике написано...

3) я бы на 4) обиделся ;)

Поищи следующие строки ".MD" И "CHR(46)&CHR(77)&CHR(68)" И "CHR(46)&CHR(109)&CHR(100)"

(7) Врядли. Скрипт (или что там гадкое) делает del *.* но ДБФ и СДХ не освобождаются моментально после выхода из проги - проходит какое-то время. И если наш скрипт (будем так условно называть) активизируется сразу после исчезновения окна одноэсовского, то вполне может не получить доступ к этим файлам. В отличие от МД-ника, который только читается одноэсиной.

А если скрипт гинерит динамически другой скрипт? Который и удаляет?
Прикольно :) пишем скрипт перегоняем его в такой вид CHR()&CHR()&CHR(). Создаем текстовый файл. Пишем в него это все ...
Теперь можем даже через cmd/bat, а не через скрипт создать файлик скрипта и его запустить ...

Можно написать DLL (OLE-сервер) и далее работать с ним из скрипта. Можно вообще написать маленькое приложение ... Так что вариантов много ...

(8)(9) Нет, там и имя процесса и пид всегда от 1С

C 1C работают через OLE ...

(12)(10) Тоже нет, это уже другой экземпляр процесса и пид ессно другой, а вот через ДДЕ можно

2 (0)
Наглядная демонстрация:
Особо понравится smaharbA (13)
1. Запускаещь "c:\Program Files\Windows Media Player\mplayer2.exe"
2. mplayerом открываешь открывешь любой avi.
3. exploreroм находишь этот avi - и удаляешь shift-del (мимо карзины).
3.1. в explorere - жмешь вид-обновить - файл есть :)
3.2. закрываешь mplayer
3.3 в explorere - жмешь вид-обновить - файл НЕТ :)

8 - такое возможно, причём сейчас выявился факт наличия одной базы в которой среди оставшихся файлов есть файл .MD, но нет файла .DD.
Может md был заблокирован конфигуратором и поэтому не удалился.

есть :) - читать как "видится".

(14) Понравилось ;)

Наш сишник высказал такую версию, что проще всего для него было хакнуть системную dll (подменной, как подменяют эксплорер) и с помощью ее делать все что душе угодно ... Вплоть до захвата id процесса и установки имени для него 1cv7.exe ....

18 - какую, например?

(18) Этт он сгоряча, нудно это больно уж...

Как вариант:
основной процесс делает createfile(share_deleted)
А второй вредный пытается файл убить.
filemon/apimon в помощь+sfc /scannow (хотя лучше сличить файлы системы с
нормальным дистрибутивом)
это к 18
А так.Проверил. !Оригинальный 1cv7.exe на дает убить md даже в разделенном режиме,
не говоря про удаление средствами самой 1с.
Но можно убить жестко - драйвером "занулить" байты каталога на диске -
все скрипты пойдут в лес.
Прим (ничего личного): а не хочет ли автор под такую легенду сам такое устроить потому как собирается уходить, а денег ему не дают. Знай это УК.

а я вам говрю - это настройки ОС ..

18 - все системные dll сравнивались с эталонным, вновь установленным сервером, программкой, которая сравнивает по содержанию и другим параметрам. Различий не нашлось.

21 - нет, это реальная проблема.

2 - нашлось тоже прилично файлов, в которых есть искомая подстрока.
В основном, vbs, asp.

Кстати может и небыть в скрипте креатеобъект

+25 но все старые, март и ранее

22 - в каком месте смотреть настройки, вроде уже всё перепробовали?

ioo, сколько максимум по времени ещё планируеш разбираться с проблемой?

Давно бы уже систему переставил.
Как говорится, "Господи, дай мне силы, чтобы справиться с тем, что я могу сделать, дай мне мужество, чтобы смириться с тем, чего я не могу сделать, и дай мне мудрость, чтобы отличить одно от другого"

(30) Не, яб все хоть на пень 1 перебросил (данные) но добил бы...

29 - До конца недели - точно, потом перебрасываю данные на резервный сервак, а этот пойдёт под резерв.

30 - проблема ещё в том, что сервак не один и проблема та же.

Продолжение завтра

(33) Жаль тебя стало, аж слезу пустил.
Подскажу наугад - авось попаду. Смотри следующие процессы и все что с ними связано (если уверен что при входе через терминал и в терминале все настроено правильно) :
winlogon.exe
csrss.exe
rdpclip.exe
Но ток учти. Если чел умный делал то наверняка существует возможность подкачки из сети (по крайней мере я б сделал). Попробуй на другую машину зайти с локального компа под тем же пользователем (раза три), потом перезагрузи машину и попробуй снова, если не проявится - подкачки нет (типа тебе очень повезло, даже не представляешь как), иначе ток спеца (или форматить все тачки).
Более подробно говорить не буду т.к. (21) (последний абзац) не лишен смысла.

(0) Может это и не 1С вовсе?
Написать прогу на Delphi, которая заменяет оригинальный 1cv7.exe и удаляет фалы, работы минут так на 20.
Во вторых на NTFS есть понятие потоков - 1CV7.EXE с разным содержимым будет фиговая туча.

(36) "Написать прогу на Delphi, которая заменяет оригинальный 1cv7.exe" и работает с базой?? И это ты говоришь "работы минут так на 20"????
 
Ну ты гений....

http://www.snapfiles.com/screenshots/spyagent.htm
(0) А хороший уже курсовик получился, по защите БД 1С от нелегального копирования?

(36) Афуеть...

(37, 39) а что там сложного? Назвать оригинальный 1cv7.exe как 1cv7.dll и запускать его из своей программы как обычный EXE'шник.

(40) Ага, и удалять будет тоже твой exe ? посмотри начало в другой ветке...

Вот тот клоун которого ты ищешь(0)!
http://www.kuban.ru/cgi-bin/forum/forum9.cgi?page=1&ask=250645

(41) а зачем? Файлы удаляются из базы, а не из ProgramFiles.

(42) Я уж тож понял ;)

(43) Так, с Вами все ясно...(с)

(0)
1. Скопируй каталог BIN 1C
В файле seven.dll измени строку 1cV7.MD, например на 7Vc1.MD
Переименую в каталоге базы 1cV7.MD, на 7Vc1.MD
Удаляется ли в этом случае ?
2. Мониторь процессы не только в момент закрытия 1С, но и в момент ее открытия.
3. Заходим под "хорошим" пользователем запускаем Run AS 1С под "плохим", удаляет ?

Смылс веток, мне видится так:
Есть некий механизм описанный в (0)и (http://www.kuban.ru/cgi-bin/forum/forum9.cgi?page=1&ask=250645) применительно к 1С(А если на идею - алгоритм посмотреть шире, то и не только к 1С).
Этот механизм - возможной защиты от кражи базы - банально продается.
Покупатель просит подтверждения, от профи, что сей механизм достаточно надежен.
Продавец - выносит проект на форум www.kuban.ru, и ежедневно отсылает ветки обсуждений продавцу, дескать смотри - ведь ничего не могут с ним поделать( одна ветка 251,+45 постов в новой), о как круто!
При этом (0) игнорирует реальные предложения участников по отлавливанию сего процесса и его идентификации.
Вижу чисто "заказной" характер статьи.

Поднимем!
Все таки если не заказной, хоть надо узнать что же случилось у товарища, что бы не нарваться самим. Или знать где копать. К тому же скрипт Abrahamsa достаточно народа скопировала себе навсяк случай :)

(0) ИМХО, дело все-таки не в хитрых приблудах.
Как варианты:
- темпоральный каталог плохого юзера - какой?
- стоит ли галка очищать временный каталог для плохого юзера?
- (99) непонятно почему дважды стартует эсина. Как она запускается под юзером? Он её стартует сам руками или она прописана в автостарт при входе в терминал? В клиентской части терминала прописан её старт?

Запустить не 1с: md – убивается?
Переименовать notepad.exe в 1cv7s.exe и положить в BIN: md – убивается?.

Ждем автора ...

Да разводят Вас тут как ... . Поймите, если чел был с мозгами то найти будет очччень сложно и маловероятно. И делают такое не от хорошей жизни, ну если б расстались полюбовно - смысл такое "чудить". Так что "что посеешь ...".)))

51 - автор здесь, нет времени смотреть конференцию.
42 - эта тема не подходит под ситуацию, так как в ней всё происходит в сеансе 1С, у меня же другой случай и проявляется он даже на пустой базе.
38 - насчёт курсовика, каждый читатель конференции сможет воспользоваться обсуждаемой информацией при возникновении аналогичной ситуации.
46 - 1. Удаляются, возможно все файлы, кроме некоторых, поэтому и другое расширение может быть удалено, однако проверю как будет время. 2. процессы мониторились в течение всего цикла - запуск 1с, вход в базу, выход из базы.
filemon-ом выложено только завершение, так как работают пользователи и много лишней информации, просмотрю ещё раз, когда сервер не будет в работе. 3. не совсем ясно что имеется в виду "Run AS 1С".

47 - все предложения "по отлавливанию сего процесса и его идентификации" проверялись, если какой-то пропущен - подскажите. Ещё не пробовались - изменение в реестре параметров и перезагрузка - они тоже будут проверены, но высказывадлись опасения, что могут быть уничтожены скрипты, поэтому пока отложено.

49 - в каком месте эта галка? в 99 - процесс выхода из 1с - почему он дважды проходит - непонятно.

50 - если переименовать блокнот, то база не запустится,
а удаления происходят только из базы в которую зашли. То есть в окне выбора баз их много, удаление происходит не из всез сразу, а только из одной, в которую вошел плохой юзер (при выходе из 1с), если он зайдёт потом в другую базу, то удалится только из неё. А при блокноте нет информации какая используется база.

(56) А что, если все настолько плохо, что это делается сервисом ????

57 - каким?

(58) Посмотри есть ли подозрительные (имя/описание) сервисы у тебя на терминальном сервере.

(47) А по-моему, (0) - админ-неудачник, который хочет, чтобы ему САБЖ написали ...

А если просто переставить терминальный сервер...

2(58) например хаспом :-))

(53) "3. не совсем ясно что имеется в виду "Run AS 1С"."
CPAU - Заменитель RunAS.txt
Открываешь терминальную сессию под "хорошим"
запускаешь 1С под "плохим":
F:\Dev\cpp\CPAU>cpau -u domain\Плохой -p password -ex Путь\1cv7s.exe

Что определено.
1. Есть юзеры "плохие", есть "хорошие". Значит, наша бяка не обезличенный процесс на сервере, а сидящий в профиле юзера. (Возможно, теоритически, что эта бяка реагирует на определенные логины, да верится с трудом).
2. Пока не определено, на какой стороне: на стороне клиента, или на стороне сервера. Определить можно так: с "хорошего" компа зайти "плохим" логином. И наоборот. Но мниться - на стороне сервера...
3. Приблуда не в конфе, приблуда не в ерт-х, но приблуда "знает" каталог базы. Но не из регистра - иначе 1cv7 не нужна. Разве что для маскировки, но и в этом случае надо знать конкретный каталог, захваченный 1cv7...
4. Скорее всего, удаление сплошное: ДБФ и СДХ остаются только потому, что их система не сразу отпускает после завершения 1cv7...
Вывод: наиболее преспективный путь поиска: профиль юзера на сервере. Методы: прошаривать глазками реестр... Скушное занятие, учитывая нынешнюю структуру реестра. Или составить весь список процессов при регистрации "плохого" юзера, и сравнить со списком от "хорошего". Тут проси нашего человека в танке: он мастак на такие весчи... Мастер!

Если есть у кого то достаточный уровень - SoftIce вам в помощь.
+ Все таки если проблема не будет решена простой переустановкой системы, хотелось бы от автора услышать, что же это "було" :)

2(64) ну чем не настройки ОС пользователей? У кого то стоит "кривая" настройка, которая приказывает ОС подчистить файлы (их свежие копии?) за собой..

(66) Слушай! Дал мысль! А мысль вот в чем: прилично воспитанный сервер подтирает за прогами их следы в темповом каталоге. Это нормально. Но в темповом, так? А что будет, если запустить одноэсину с ключом /t<путь к базе>???? А теперь посмотри посты (99) и (100) в предыдущей ветке: МД-ник удаляет именно 1cv7s!! Причем он запускается ДВА раза!
Как?

ioo, вот тут
http://webfile.ru/665257
небольшой мониторчик удаления файлов написал... типа того скрипта...
использовать так: запустить одноэс, нажать "Начать"... закрыть одноэс, нажать стоп. В списке будут удалённые файлы... Найти файл мд, под ним будет список того что было загружено в этот момент...
зы, реагирует на процесс с именем 1cv7*...
может чего полезное покажет...

(0) В свете мысли (67) проверь-ка строку запуска в свойствах терминального соединения: а нет ли там ПРОДОЛЖЕНИЯ строки после некого числа пробелов??

+69 А если искать на стороне сервера, то надо искать файл, содержащий строку "C:\Program Files\1cv7\BIN\1cv7s.exe"....

а на "свежей" винде пробовали повторить процесс под плохим пользователем?

Автор, прости но съязвлю...
Народу пора уже попкорном затариваться и пэпсиколой...

2(67) Идея клевая, только 1с в каталоге базы создает временный каталог и потом его удаляет

(73) Нет

2(74) в смысле "нет"?

(75) в смысле - нет.

2(76) "нет"-не создает, или "нет"-не удаляет?

(77) Создает но не для всего

59 - сервисы есть подозрительные и без описания, которые работают, попробую вечером остановить и проверить.
61 - нужно найти причину, переустановка может её просто уничтожить, пути обхода известны.
63 - CPAU - это что?
65 - если будет решена проблема (или не решена) об этом будет сообщено.
69 - нет, галочка "При подключении запускать следующую программу" не включена вообще.
71 - пробовали, см. выше, на новом сервере проблем нет.
72 - ?

68 - сейчас все пользователи работают, проверить возможности нет, новые пользователи - хорошие.

(79) http://www.yandex.ru/yandsearch?rpt=rad&text=CPAU

63 - пишет "отказано в доступе", а если запускать под админом - то файлы не удаляются.

82 - версия 5.2.3790.1830, размер 1 244 672

Если запускать с t<путь к базе> то по этому пути создается лишь временный каталог вида R0000 , и потом все файлы В нем удаляются. Сказать 1С использовать именно папку базы в качестве темпа неполучается ...

Испытания переносятся на вечер завтра

А если переименовать плохого юзера - удаляются ?

Вечер. Будем ждать завтра ответа.

Обнаружилась ещё одна особенность - если выолнять како-либо отчёт (например по загрузке данных) в котором нужно указывать какой-либо путь, то в момент выхода из 1С удаляются все файлы по этому пути.

(89) Блин дай мне dir я точно тебе скажу что и где, за конфиденциальность не беспокойся, буду знать только я ну и пол кубани, ну еще мизда кнешно...
А про Дир я всерьез, поверь вирусы(хотя тут другое) голыми руками убиваю у народа...(бохвальство)

90 - что нужно найти в дир?

(91) Честно - незнаю... пока...

Explorer.exe сишник сказал, что 95% вероятностью ...

(89) - попробуй тогда такой финт - создай каталог, в отчете укажи его, удали каталог не из 1С , выйди из 1С . Что произойдет ?

Говорит еще в институте учась шутили так друг над другом :) на W98 :)
5 раз жмем отправить ...

дополнение к 89, если в отчёте указать путь, то удаление файлов происходит по этому пути, а md и dd при этом в каталоге базы остаются - не удаляются.
И при выборе каталога во внешнем отчёте его не обязательно выбирать, чтобы он записался в какую-то переменную, достаточно при выборе каталога зайти в этот каталог, затем нажать отказ от выбора и файлы удалятся по этому пути, а в базе md и dd сохранятся.

94 - этот каталог ни удалить, ни переименовать не удаются - что-то его держит.

Мощная штука... Похоже, специально для 1С заточено - перехватывает обращения. Мда, все больше и больше хочется взглянуть на это произведение.

Данные перенесены на другой (новый) сервер, там всё работает хорошо.
Explorer возможно, но нет под рукой чистой версии файла (W2003 sp1 RUS).
Старый пока исследуется (ещё неделю).

Отметимся на заборе...

в 1С полно возможностей встроить шелл-код. Один даже обговаривался на этом форуме - переполнение в объекте Таблица.

101 - 1c из дистрибутива, база пустая - куда встраивается этот код?

218, 219 (из первой ветки) - вставил, перезагрузил - не помогло.

Искать надо по профилю. Бегая по ссылкам реестра: то, что есть "плохие" и "хорошие" юзеры явно говорит о том, что паразит цепляется при заходе клиента. Надо сравнивать профили.

225(из первой ветки) - таких ветвей в реестре нет.

104 - это надо сравнить каждое значение HKCU под каждым (плохим и хорошим) пользователем?

(102) прибить/создать заново каталог юзера. Прибить все ветки из раздела в реестре HKEY_CURRENT_USER\Software\1C\1Cv7\7.7 кроме titles. Прибить все внешние отчеты

+104 - возможно цепляется одно и то же ко всем, но обработка ведётся в зависимости от пользователя, тогда сравнение профилей ничего не даст.

(98) Чего там мощного? Последний открытый 1С каталог хранится в реестре - иди и смотри ... (по-прежнему считаю все это разводом и сбором идей)

(108) Уточни? Я понял - терминального пользователя, не "одноэсного"... Или хочешь сказать, что заходя с "/nVasia" будет "хорошим", а заходя в 1С с "/nPetia" превращается в "плохого" несмотря на то, что в терминал идет под одним аккаунтом???

110 - плохой, хороший пользователь - это вход в терминал под разными аккаунтами. В 1с вход вообще без пользователей.

(111) Ну так и говорю, что занозу надо искать в профиле терминального ассаунта. В реестре сервака. Где-то там цепляется параметром.

Если взять и выгрузить весь реестр, находясь под плохим пользователем,
затем загрузить его обратно под новым (хорошим) пользователем (при этом он , правда, не загружается до конца) , то все настройки плохого пользователя переходят новому, но файлы не удаляются.

Также, если скопировать весь профиль в нового (кроме файлов ntuser),
то ничего не изменится у нового пользователя в смысле проблемы - файлы у него не удаляются.

Значит, не весь профиль переносится... Чудес не бывает. Что-то же должно дать команду запустить процесс?

109 - в реестре выбранный каталог (из которого всё удаляется) не находится, возможно, он записывается туда временно.
115 - повторно перенесён профиль плохого юзера по следующей технологии - удален каталог хорошего пользователя, профиль плохого скопирован в папку Default User, произведён повторный вход под хорошим юзером. В результате всё осталось как было - у плохого удаляются файлы, у хорошего нет.

(116) Тебе еще не надоело мозги людям "парить"???
Удивляюсь терпению smaharbA. Неужели веришь в этот развод??? Да ....)))

(116) Может к бабке сервер отнести - пусть пошепчет ?

(117) Верю, только вот думаю что не все проглядели оне, что-то упускают, а мож и развод...

А регион где сервак стоит какой? Может на выходных собраться, да общими усилиями решить проблемму на месте?

Вполне допускаю, что не развод...
У клиента один из боссов сдал админам ноут на лечение (ребенок полазил по инету).
Признаки - в произвольный момент ноут начинает через встроенный мудем лезть в инет. Само обращение рубится аутпостом по адресу, но связь устанавливается то!
.
Ад-аваре, спайбот, касперский, нортон, и прочие - отдыхают...
.
P.S. руки у админов вроде не кривые... Но ищут уже две недели... Их заело ... Теперь тр...ся до победного конца...
.
P.S. кстати, еще там признак есть - при загрузке идет установка чего то с сообщением "Инсталяция завершена". Пошаговый просмотр и протоколы не говорят - что ставилось и откуда запущено...

(121) АктивИКС и небудет в протоколах...

117,119 - это не развод, "мозги людям "парить"" не хочу. Проблема будет изучаться ещё до конца этой недели , возможно и далее, если будет место, куда перенести.
120 - Москва, но собраться не получиться, так как доступ ограничен.

(122) Само сообщение в протоколах болтается...
Неясно, откуда ставилось и откуда прошла команда на установку...
В протоколах сам факт запроса на выход есть - кто породил - нет...
.
P.S. я туда не полез, админы вроде грамотные там...
.
(123)
Ради решения проблемы можно ведь и утрясти вопрос с доступом, начальство то само наверняка заинтересовано. Можно ведь убрать с сервера боевые базы, оставив только тестовые или пустышки...

124 - начальство причина интересует постольку-поскольку, лишь бы работало всё.

(123) Жаль, так бы с удовольствием поковырялся бы.

68 - запущена эта программка и показывает загруженными файлы 1с (exe и dll), системные файлы из system32 и winSxS.

(125) так найдя причину, можно же и виновника найти...

128 - поиск длится слишком долго, уже и виновник не так важен, как продолжение нормальной работы.

(129) я тебе уже говорил, что фигней страдаешь. Хотя на Кубань только из-за этой ветки приходил. Зацепило. :-)

гадаю по pagefile.sys ..
:)

(132) Да хоть на кофейной гуще могу...

Вышлю с условием нераспространения и неразглашения (особенно в конференции) имен папок и файлов (кроме файла причины и системных файлов). Обсуждение файла по е-майл.

(134) Давай, конечно небуду звиздеть. Мож правдо что накопаю. За имена небеспокойся, у меня таких фалов стока что через неделю другую забуду какой твой (шутка), да удалю правдо...

135 - Завтра пришлю.

115 - результаты ещё одного эксперимента. Если удалить папку Default user,
затем переименовать папку профиля плохого пользователя, затем зайти в терминал под этим плохим пользователем, то для него создастся новый профиль с его именем (которое ранее переименовано). И в этом случае плохой юзер превращается в хорошего.

Видимо, как и предполагал VZ, проблема заключается в профиле пользователя, хотя что конкретно вызывает удаление и как, остаётся неизвестным. Сервер будет сегодня переустановлен, профиль плохого юзера будет сохранён в архивах.
Спасибо всем, принявшим участие в обсуждении.