最近发现EXCEL出现如下的错误:表现为一些启用了宏的Excel文件一打开就报错,然后excel提示恢复又报错,不断循环,有点烦躁,其他的一些杀毒软件扫过效果甚微,看了这些表格的宏里都有ToDOLE这个模块, 手工删除不行,会反复感染,肿么办,伟大的搜索引擎告诉我们要动手,
1、找到这个MacroClean,MacroClean下载后执行安装,一路NEXT,安装完毕启动office病毒专杀。《当EXCEL或WORD打不开时出来怎么办?》 http://www.zshunj.cn/show.asp?id=1585
“k4.xls”病毒特征:
1.若在“C:\Documents and Settings\(用户名)\Application Data\Microsoft\Excel\XLSTART”(不同机子目录有差异)中发现“k4.xls”文件,则中了病毒。
2.“……\Microsoft\Excel\XLSTART”中的“k4.xls”文件并不是最初的病毒文件,是你电脑中某个文件中了病毒后,另存到“……\Microsoft\Excel\XLSTART”目录的一个副本,只是将名称变更为“k4.xls”而已。
3.若 excel 宏安全性设置为中,打开未写宏代码的文件,提示启用宏,则中了病毒
4.“k4.xls”病毒会修改注册表,将工程对象设置为允许访问,安全级设置为低(对所有用户/当前用户),且用户无法通过EXCEL更改
5.感染“k4.xls”病毒后,使用了 excle 的 workbookOpen 事件,任一EXCEL文件在“打开”时,将被感染病毒代码;自动在新工程中添加引用 Microsoft Visual Basic for Applications Extensibility 5.3,便于对工程对象进行操作(wb.VBProject.References.AddFromGuid Guid:="{0002E157-0000-0000-C000-000000000046}", Major:=5, Minor:=3)。
6.最近被感染的文件将会另存到“……\Microsoft\Excel\XLSTART”目录中,新的文件名为“k4.xls”
7.病毒首先写入一个 ToDOLE 病毒模块,然后删除 ThisWorkbook 中的所有代码,再向 ThisWorkbook 写入病毒代码(若你原来的 ThisWorkbook 中有有用的代码,此时将会完全洗白)
8.病毒会新建一个4.0宏表并隐藏,并向其他工作表添加 "Auto_Activate" 隐藏名称,指向4.0宏表的 "=Macro1!$A$2",不启用宏将无法打开工作簿
9.病毒会硬盘其他位置写入文件:D:\Collected_Address:frag1.txt, D:\Collected_Address:frag2.txt, Environ("Temp") & "\ToDole.bas ,D:\Collected_Address\log.txt, E:\sorce\*.*, E:\KK\*.*
10若你安装了 OUTLOOK 软件,病毒会将染毒文件通过 OUTLOOK 发给10个已有的联系人,每10分钟发送一次(安装了 OUTLOOK 可要特别注意了)
一个最重要的情况是:
当禁用事件之后(Application.EnableEvents = False),选择“启用宏”再打开任何带毒的xls文件,都将不再交叉感染(除非你在异想不到的地方用 Application.EnableEvents = True 启用了事件)