本篇讲述如何手工查杀宏病毒,关于宏病毒详细解读参见上一篇《几个常见Excel宏病毒代码分析》
一、验视
打开的Excel,按Alt+F11,看看有没有加载“k4.xls”或者“MERALCO.xls”。如果有,那么恭喜,你的电脑中了这个Excel VBA的宏病毒,该病毒主要做了一下工作:
1.复制了一个自己,文件名叫k4.xls到Excel信任工作路径下,也就是每次打开Excel的时候都会执行,
2.写入注册表,修改“Excel的宏安全性”为启用所有宏,以及勾选“信任对VBA工程对象模型的访问”,并且这样通过Excel设置无法修改。
3.给每个被感染病毒后打开的Excel文件创建一个宏4.0的宏表,判断是否禁用了宏,如果禁用了宏,不让打开这个文件。
4.每天指定时间打开Outlook,把收集来的信息(通讯录、Excel文件、操作等)通过邮箱发出去
二、操刀
清理按照以下步骤做:
1.所有关闭Excel文件。
2.搜索k4.xls以及MERALCO.XLS,删掉所有这两个文件
3.regedit打开注册表搜索AccessVBOM,把找到的AccessVBOM键和值都删掉,以及把同在一个路径下的Level也删掉。
一般在下列路径下:
"HKEY_CURRENT_USER\Software\Microsoft\Office"Office版本号"\Excel\Security\AccessVBOM”
"HKEY_CURRENT_USER\Software\Microsoft\Office"Office版本号"\Excel\Security\Level"
"HKEY_LOCAL_MACHINE\Software\Microsoft\Office"Office版本号"\Excel\Security\AccessVBOM"
"HKEY_LOCAL_MACHINE\Software\Microsoft\Office"Office版本号"\Excel\Security\Level"
64位win7下的office2013位于以下路径。
"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\15.0\Excel\Security"
删掉上面Security下的所有键
4.所有被感染的文件都要删除两个文件一个叫macro1的隐藏宏表一个是按Alt+F11,删掉ToDOLE的模块,如果Thisworkbook也有Workbook_Open的话最好也一起清除了。
