以下是小编帮大家整理的Excel宏病毒BOOKI的清除病毒防范,本文共10篇,供大家参考借鉴,希望可以帮助到您。本文原稿由网友“lan3058970”提供。
篇1:Excel宏病毒BOOKI的清除病毒防范
朋友传我一个excel表格,打开一看感觉不对劲,自动打开了一个book1,职业习惯马上看看有没有隐藏表格,果然有!
”格式-工作表-取消隐藏“,打开隐藏页面,确实是一个宏病毒。
程序代码
Classic.Poppy by VicodinES With Lord Natas
An Excel Formula Macro Virus (XF.Classic)
Hydrocodone/APAP 10-650 For Your Computer
(C) The Narkotic Network
一个Excel公式宏病毒!
按图索骥,按照00000ppy中的信息找到C:\\Program Files\\Microsoft Office\\OFFICE11\\xlstart\\Book1.
删除掉这个文件,
如果再生成book1可以弄个阻止再生工具删除。
同时也删除表00000ppy,保存,再次打开还是提示有宏病毒。想起公式宏病毒,在“名称管理器”中发现猫腻。
”插入-名称-定义“打开“名称管理器”,在这里映射之后就可以直接用了,可以看到每一个名称都是与某个表的具体位置一一对应的。
按理说只要删除与隐藏表相关的“名称”就行了,难得分辨就“alt+d”全部删除得了,保存之后,再次打开表格,没有任何提示了。
上网搜索“An Excel Formula Macro Virus”,大把相关book的信息,感染率还挺高的,专杀工具都出来了。
不过从手动清除来看,上述方法好像还比较彻底
篇2:如何防范蓝牙病毒及病毒清除
现在手机病毒正在模仿电脑病毒的常见破坏手法,如:“当机”、“终止应用程序”、“衍生变种家族”、“无线入侵”、“伪装免费软件”甚至“窃取资讯”,病毒入侵手机后可能会造成文件、电话簿、讯息、相片以及电话本身的操作功能丧失,总体看来,手机病毒虽然开始模仿电脑病毒,但是主动散播力较弱,不轻易用蓝牙接收来路不明的短信就不容易被感染。
预防病毒六步走
第一步,接收蓝牙传送文件应谨慎,以避免收到病毒文件。
第二步,不慎中毒暂时关闭手机上的蓝牙接收功能,以免继续搜寻感染目标。
第三步,收到来路不明的短信,不要打开,应直接删除。
第四步,不要安装来路不明的手机程序。
第五步,去合法、正规的 下载手机铃声、手机游戏;
第六步,安装专门的手机防毒软件。目前网上已有相关的防毒补丁下载,用户只需要将补丁下载并安装至手机中即可。
如何杀蓝牙病毒
如果手机不慎中蓝牙病毒,那么杀毒方法如下:
一、立即关闭蓝牙功能,可避免病毒扩散,传送给其他用户。
二、按照下列步骤清除病毒:
1、在手机中安装一款文件管理软件,
2、允许查看系统目录文件。
3、搜索驱动器A到Y,查找\\SYSTEM\\APPS\\CARIBE目录。
4、删除\\CARIBE目录中的CARIBE.APP、CARIBE.RSC和FLO.MDL文件。
5、删除C:\\SYSTEM\\SYMBIANSECUREDATA\\CARIBESECURITYMANAGER目录中CARIBE.APP、CARIBE.RSC和CARIBE.SIS文件。
6、删除C:\\SYSTEM\\RECOGS目录中的FLO.MDL。
7、.删除C:\\SYSTEM\\INSTALLS目录中的CARIBE.SIS。
注:如果无法删除步骤4和5中的CARIBE.RSC文件,说明病毒正在运行。先把可以删掉的文件都删除,然后重启手机,这时就可以删除CARIBE.RSC了。
内地首例“蓝牙病毒”是Cabir病毒(食人鱼,Caribe是中毒后手机屏幕所显示的英文),该病毒会通过手机的蓝牙功能传送到使用者的手机中。中毒后的反应是电量急剧下降,大大缩短正常的待机时间。虽被称作“蓝牙病毒”,但Cabir病毒并不会感染所有拥有蓝牙功能的手机,而是部分内置SymbianS60操作系统的智能手机,如诺基亚7610、6600等。世界上首例可在手机间传播的概念性病毒为“卡比尔”(Worm/Symbian.Cabir.a)
注:如果不需要蓝牙功能,应关闭为好,一则防止中蓝牙病毒,二则关闭蓝牙功能可省一定的电量,如果需要连接蓝牙耳机,应将蓝牙可见选择隐藏,避免接到莫名的蓝牙短信或者软件。蓝牙病毒多感染智能手机,所以在使用智能手机时,要多加小心中蓝牙病毒。
篇3:静音病毒清除方法病毒防范
清除自动静音病毒
根据自动静音的现象及它所产生的文件我们可以进入安全模式下来删除静音病毒,
第一步、进入安全模式(电脑开机的时候按F8键)。打开我的电脑,将C盘下的iexploror01.exe和TEMP下的iexploror01.exe删除。
第二步、打开我的电脑,进行搜索:alga。将搜索到的文件全部删除,然后继续搜索:iexp1ore(注意:非iexplore,中见不是L,是123的1,系统中的文件是L),将搜索到的文件一并删除!继续搜索以下几个文件:Lgsyzr、O2FLASH、处理结果同上!
第三步、进入注册表(运行里输入regedit):按F3查找以下几项:Lgsyzr、O2FLASH、alga、iexp1ore,iexplora,servicea将搜索出来的值项都删除去,
第四步、开始-运行。输入msconfig。将启动项中的alga、iexp1ore都禁止!重新启动电脑。然后进入SYSTEM下删除ALGA文件(搜索也行,那样快点)
注:熊猫烧香专杀可杀次病毒
篇4:手工清除Rootkit.win32.cq心得病毒防范
昨天,我的卡巴斯基报警,提示发现木马程序:Rootkit.win32.cq,我看了一下,病毒主程序是隐藏在C:WINDOWSTemp文件夹下的Msupd.exe,删除不了.用卡巴斯基也不行.重启后又有了,试了很多次,都没有删除成功.因此我在论坛发了贴子,但一直都没有好的方法.在忍受了一天的病毒折磨之后,没办法,只好试着用手工清除了.最后终于清除成功.好了,废话不多说,现在把我的方法写出来,和大家一起交流,分享.欢迎大家发表意见.
第一步,要想用手工清除,就要用到DOS,可大家都知道,XP没有纯DOS,而我的电脑也没有软驱,于是我只好去网上找了一个小软件,名字叫vfloppy,这是一个虚拟软驱的软件,完全免费,个人感觉还不错.下载地址是download.pchome.net/system/sysenhance/15880.html.
图1
第二步,打开下载的文件,这个软件是绿色的,不需要安装.把它解压即可.解压后的vfloppy包括5个文件,其中BOOTDISK.img和NTFS.img是电脑启动所需的映像文件,vFloppy.exe是它的主程序.运行vFloppy.exe,(如图).点击图中画红线的地方,然后在弹出的窗口中选择并打开NTFS.img文件(如果你的XP系统用的是NTFS格式,否则请选择BOOTDISK.img),然后点击应用.系统提示是否立即重新启动电脑,点击确定,系统自动重启.
第三步,系统重启后,进入系统启动程序选择菜单,一个是用XP启动,另一个就是用虚拟软驱也就是我们刚装的VFloppy启动.选择用虚拟软驱启动.
第四步,几秒钟后,系统自动进入虚拟软驱程序.一路按回车,直到出现Folders和Files两个菜单,先在左边的Folders栏找到WINDOWS文件夹,按下回车,然后用上下箭头找到Temp文件夹;再按下键盘上的TAB键,跳到Files栏,找到病毒主程序Msupd.exe文件,这时候按下F3键,这时你会发现打开了这个主程序的文件,在屏幕右边一栏里你会看到跳动的鼠标,你现在可以随便对这个文件进行编辑(就是随便输入一些内容,什么都行,主要目的是通过修改让这个程序不能运行.),然后按下F10,保存并退出,在随后的主菜单里选择Reboot,重启计算机.
第五步,按住键盘上的F8键,选择运行安全模式.
第六步,进入桌面后,运行注册表,通过“编辑搜索”找到Msupd.exe项,把它删除(在删除之前最好对注册表进行一下备份,以防万一).
第七步,打开我的电脑,找到C:WINDOWSTempMsupd.exe文件,把它改名,什么名都行,最好把扩展名也改了.其实这一步可有可无.再同时按下SHIFT+DEL键,把它删除.
最后,重启计算机,一切OK
篇5:关于病毒:Trojan.DL.Agent.xdw 的清除杀毒病毒防范
病毒名称:Trojan.DL.Agent.xdw
关键字:webwork
该病毒会自动到这个网站下载病毒包:www.17player.cn/ ,用瑞星杀毒软件的朋友可以这样操作:
1.首先确机器在联网模式下,用鼠标右键点击桌面右下角的监控图标,点禁用所有监控,使监控变成红伞,
关于病毒:Trojan.DL.Agent.xdw 的清除杀毒病毒防范
,
2.打开控制面板,在“添加删除程序”中找webwork,点“更改/删除”卸载。 注意:点卸载后,会出现一个卸载界面要求输入窗口中看到的附加码,这会儿如果装有防火墙,会弹出一个联网提示,一定要选择允许通过,否则附加码显示不出来。正确输入附加码后,要手动点“确认”而不能按回车。点确认才能正确卸载。点回车默认动作是取消卸载。
3.卸载后,再次全盘杀毒,应该还会杀到一个。ok,问题解决!
篇6:从外置硬盘中清除感染病毒病毒防范
当你的硬盘驱动器被损坏或者受感染,可以使用受信的厂商开发的杀毒软件程序来清除,这是最简单的办法,通常内部硬盘只有一个操作系统安装在里面,故障排除更容易些,因为你安装程序在外部硬盘的过程是完全不同的。它更是一个文件存储设备你应当确保你使用的杀毒软件可以设置扫描这些可移除存储设备。虽然你可能不经常使用它或者没有扫描计划,养成这样的习惯很重要。然后当威胁发现是你可以在早期阶段就清除掉。外部驱动器比内部驱动器更容易受攻击,因为它具有大容量不像USB驱动器。恶意威胁一直在寻找自己的归宿,尤其是有许多文件和文件夹占用的地方,
所有你需要做的就是使用杀毒软件程序开始扫描过程,然而这样做之前你的确保驱动器的合理性。同样的去到我的电脑,它将列出外部存储器分类。你也可以选择扫描独立文件或者文件夹得到更具体的结果。相比全盘扫描,单独指定盘扫描可以更节省时间。当你清除那些具体文件夹的感染时这很有用。如果进入缓慢或者显示无法识别文件列表时,你首先想到不要去下载。当你在我的电脑中不能鉴别驱动器,只需要选择使用杀毒软件工具并命令它扫描可移除驱动器。没有一个USB驱动器或者其他驱动器被连接,它会自动进入外部驱动器扫描。
在这个过程之前,要确保硬盘合适的连接,要使用优质的电缆制造商,因为有时低质量的电缆可能导致不正确的扫描结果。它会影响到你的硬盘性能,使得扫描过程耗时且难以完成。杀毒软件是最可靠最实用的工具。使用COMODO杀毒软件保持你的外部硬盘安全,该程序是由著名的公司开发设计。利用最好的最有经验的免费存储解决方案。
篇7:怎样清除9991.com恶意网站病毒防范
前言:听朋友说9991.com很厉害,笔者想再怎么厉害的网站同样也是有办法可解的吧!于是登陆到该网站,发现这个网站能自动下载程序到用户的电脑中,修改IE设置,并且非常难以清除,
修改IE设置
作为一个垃圾网站9991.com算是非常厉害的了,这个垃圾网站三个多月的时间从ALEXA排名没有数据现在到了前100,一个网站在我们没有看到任何广告的情况下突然飙升为100上下呢?很明显,用了非常让人讨厌的流氓手段。
世上没有决对的事情,下面就来讲讲我如何清除它:
在“开始”“运行”输入“msconfig”,调出系统配置实用程序,打开启动项,看到有一个update.exe启动着,顺手打开任务管理器,看了一下,没有Update.exe这个程序运行,偶就把这个启动项给勾掉了,然后根据启动项的启动目录,找到C:\\盘程序文件夹下通用文件夹内,对准Update目录,按下DEL键,居然提示不能删除,郁闷!
看了一下通用文件夹下,还有一个SAND文件夹,这个文件夹也不是什么好玩意,按下DEL,一并清理,将IE主页恢复,重新启动计算机,再次找到Update目录夹,按下DEL,这次它乖乖地和垃圾呆在一起了,
打开IE一看,主页已经被我顺利收复。
全盘搜索了一下,发现在c:\\windows\\system32下还有一个update.exe,确认了一下日期及公司,一并删除。
注:通用文件夹指的是C:\\Program Files\\Common Files
笔者的话:
网络本来需要一个相对安静的环境,在我们一至申讨流氓软件的同时,这些流氓网站带给我们的烦恼是有过之而无不及。不断的利用IE漏洞修改我们的设置,给我的网络生活带来了非常大的不便。面对这些问题,我们应该如何办呢?笔者认为在用户加强防范的同时,法律法规上面需要得到更大的加强,对这些流氓网站采取更大的打击力度。流氓网站也是一个大众化的问题,所以程序员们应该开发出更多好软件出来保护我们的网络环境。
篇8:MSN防范手记 手动清除chcp.exe病毒病毒防范
随着即时通讯工具的强大,木马病毒也加快了脚本,MSN早就成为了其通向第三方计算机感染跳越的平台,在好友圈中,只要盗取一个MSN好友账号或感染一台用户计算机,病毒即会伸出罪恶之手,将会在用户MSN聊天时发送病毒信息。
病毒分析
该病毒属于MSN蠕虫变种,被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包,当对方接收并打开带毒压缩包中的病毒文件时,系统即成为新的受害者,并因此尝试感染另一台计算机。病毒大小为434,176 字节,通过MSN聊天工具进行传播。
被感染的计算机,病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包,随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 执行文件,并在注册表
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
分支下建立“chcp.exe”=“%Windows%\\chcp.exe”自启动项目,然后病毒开始修改注册分支
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
下的“SFCDisable”=dword:ffffff9d 和“SFCScan”=dword:00000000值,进行关闭系统文件保护,并且更改
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control
分支下的 “WaitToKillServiceTimeout”=的值为“7000”,达到更改自动关闭进程等待时间的效果。
完成上述后,病毒仍没有安静的等待,而是查找被感染的计算机中是否存在FTP目录,如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%\\microsoft目录下,随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache\\tftp.exe、dllcache\\ftp.exe可执行程序,做完一系列的手脚,病毒开始向MSN联系人发送诱惑型文字消息,并夹带毒包F0538_jpg.zip欺骗用户打开,
清除方法
中了此毒的用户也不要紧张,在了解了生存原理后要想清除该病毒也非难事,只要按照以下几个步骤实施即可将病毒清除出界,让系统中的MSN正常运行。
一、首先要进入注册表分支
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
下,将“chcp.exe”=“%Windows%\\chcp.exe”自建的随机启动项删除,完成后重启计算机。
二、进入%Windows%\\目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。
三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcache\\tftp.exe、dllcache\\ftp.exe删除,并将%System%\\microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。
四、删除注册表分支[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]下的“SFCDisable”=dword:00000000键值,恢复系统文件保护。
五、最后将注册表[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control]分支下的“WaitToKillServiceTimeout”=改为“0” 从而恢复系统自动关闭进程等待时间的默认配置。
笔者按:在MSN病毒中变体有很多种如:MSN机器人、MSN小丑、MSN性感相册等,其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息,通过MSN好友关系欺骗用户点击,然后再次传播,从而形成强大的传播途径。为了更好的处理此类病毒,这里建议用户加强计算机的先期保护如:开启杀软定时升库,安装安全类软件,不定期打入系统补丁等,并且多了解每日病毒动态,即时作好防范工作即可,一但用户被感染时应立即作出回应,利用手工删除或下载相应的专杀工具进行清理,以免让更多的用户成为受害者。
篇9:新手也能对付病毒:清除svch0st.exe病毒防范
svch0st.exe和系统进程svchost.exe只差一个字符,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O,
该病毒运行后在系统文件夹%System%下创建自身的副本,文件名为svch0st.exe。(其中,%System%在Windows 95/98/Me 下为C:\\Windows\\System,在Windows NT/2000下为C:\\Winnt\\System32,在Windows XP下为 C:\\Windows\\System32)
随后病毒修改注册表,以达到随系统启动而自动运行的目的,在
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建:
“svch0st.exe” = “%System%\\svch0st.exe”
“taskmgr.exe” = “%System%\\svch0st.exe”
病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统,
一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。当病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。
清除方法:
关闭系统还原,开始-运行:msconfig (运行系统配置程序)。
在启动项中取消“svch0st.exe” = “%System%\\svch0st.exe”和 “taskmgr.exe” = “%System%\\svch0st.exe” 两项前面的勾。
打开任务管理器终止svch0st.exe,要看清楚不要弄错了。
运行系统搜索功能,并打开高级选项,查找隐藏的文件,查找svch0st.exe并删除。
篇10:这个流氓有点赖:清除MY123重点补遗病毒防范
最近,网上众多流'星'(明星级流氓程序)中,当属MY123最为猖狂.看了不少相关报道,也对这个流氓有了一定了解,但是因为良好的上网习惯及比较牢固的系统,无缘与之相会.今天,机会来了,一位好友的机器不幸中标,让我帮他清除,因为距离较远,只好通过网络帮他诊断分析清除.
在QQ下一番语音描述并抓图之后,已经对他的状况有了比较全面的了解.病机中的应该是属于3代以后的my123变种,具有网上现有介绍文章所具有的一切特征,同时在某些方面又有所增强.限于篇幅,我就不再赘述其原理了,直接说我的清除历程.以下一切都是我通过网络指点朋友做的.
必要的工具不可少,先通过QQ把procexp.exe、unlocker.exe给传了过去,因为朋友系统中的卡巴已经开始警报,该流氓的文件已经被定位,所以autoruns之类的驱动检测软件可以不用了.朋友的系统盘是FAT32格式,所以我一开始并没有打算使用NTFS权限法清除该流氓,只想利用网上现在流行的“断电大法”来清理.先用procexp把system进程中三个htozip86.sys(这个名称是随机的)的线程暂停掉(suspend),然后进入c:windowssystem32drivers下,找到htozip86.sys,右键unlocker,解锁进程后,再次右键unlocker,准备删除,此时找到电源插座的开关(朋友电脑是惠普品牌机没有reset键),在成功删除htozip86.sys后立刻断了电,这之间间隔仅仅为1秒左右.满心欢喜的重新开机,本以为已经成功清除了,但是残酷的事实打击了我,htozip86.sys依然存在,而且卡巴也依然不停的警报.连试了几次,都不行,心说怪了,难不成这个流氓缩短了扫描复制的时间?还是别的什么原因?
断电法既然失败,换别的方法再试.下载了一个优化大师最新的专杀工具,想试试看能否清除,优化大师检测后发现MY123的痕迹并显示成功清除,要求重启,可重启后,流氓依然赖着不走,看来优化大师也白搭.
没办法,只好用NTFS权限法来清除了,那么首先就要把朋友的系统盘转换成NTFS格式,命令行下,convert c:/fs:ntfs 一路选Y下去,重启电脑开始转换.转换完毕,右键点击c:windowssystem32drivers文件夹,在安全标签下,选择最上面的管理员帐户,在下面的权限中,将'写入'的权限改为'拒绝',然后确定.这样在删除了htozip86.sys后,在重启之前就不怕从内存中恢复该驱动文件了,因为 drivers文件夹的权限不允许写入.然后,暂停system进程中的htozip86.sys线程,又不慌不忙地用unlocker清除了 htozip86.sys以及在system32文件夹下的htozip86.dll文件,重启电脑.满以为这一次肯定把流氓'咔嚓'了,结果,无情的现实再一次打击了我,他居然还赖着不走?! 尽管这一次dll文件被清除掉了,但是驱动文件htozip86.sys依然存在.怎么回事?我心里一遍又一遍的问自己.莫非这流氓又升级了?还会有什么隐藏文件不成?或者是具有什么更高的权限......
忽然,脑子里灵光一闪,莫非...莫非是内存清理的不够干净?导致电脑启动的过程中再次使流氓死灰复燃?抱着这种心态,我们再一次重复了上面的过程,只是这次完成后,我选择了关机,并且将电源断了电.再次通电启动电脑后,奇迹出现了!卡巴不再警报,流氓也消失得无影无踪了!事实证明了我的想法,没想到此流氓在内存中扎根如此之深,即使重启都不能将之清除,必须断电以彻底清除内存,而且这流氓的扫描复制速度越发的快了,手动断电大法已经快无法制服它了.只有综合了NTFS权限和断电这些办法,才能从根本上解决它.
剩下的就是一些收尾工作了,清除掉注册表中含有htozip.dll内容的rundll32启动项,否则开机就会报告找不到文件;将注册表HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page这个值,修改成about:blank空白页,否则每次打开IE依然会是my123的主页;这回再用优化大师的专杀工具查看一下,哈哈,已经显示没有感染MY123的提示了!
