WORD文档杀手病毒手工删除方法

2024年2月3日发(作者：)

WORD文档杀手病毒手工删除方法

一、电脑中毒现象

病毒通称为“WORD文档杀手”，病毒主体文件为 c: 或者

c: ，病毒运行后，搜索硬盘中所有的Word文档并将硬盘里面的所有的word文档建立一个列表，输出到c:文件中，然后逐一将这些word文件删除，在删除的同时还会将这些Word文档复制到c:windowswj 目录中,并将文件扩展名改为“.com”。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。并锁定文件夹查看隐藏文件的选项，不允许显示隐藏文件。在用户看来，所有的word文件就像突然消失了一样。

该病毒采用VB语言编写，病毒主体文件为 c: 或者 c: ，并且该病毒文件会模拟成Word文档的图标： 病毒运行后，会在C盘根目录下生成病毒文件

c: 和c: ， 其中 文件内含有批处理程序，搜索硬盘中所有的Word文档 ：

dir c:*.doc /a/b/s >>c:

dir d:*.doc /a/b/s >>c:

dir e:*.doc /a/b/s >>c:

这样，病毒就将硬盘里面的所有的DOC文档建立一个列表，输出到c:文件中，然后逐一将这些DOC文件删除，在删除的同时还会将这些Word文档复制到c:windowswj 目录中,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced

FolderHideFileExt]

"CheckedValue" = dword:00000001

"UncheckedValue" = dword:00000001

这样用户无论如何查看文件扩展名都是无法显示的。

二、解决方法及步骤：

1、重启机器并进入安全模式，同时按下键盘的Ctrl、Alt和Delete按键，打开Windows任务管理器，点击“进程”选项卡，停止“”进程。然后到c:windows目录下删除“”文件。

2、手动恢复被删除的WORD文档的方法：请先修改注册表键值：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt]

"CheckedValue" = dword:00000001

"UncheckedValue" = dword:00000000

这样就可以显示文件的扩展名了，然后来到c:windowswj 这个文件夹中去看看有无同名的.com文件，如果有的话只需把扩展名改成.doc即可找回丢失的Word文件。 也可以在命令提示行来到c:windowswj文件夹下，中用 ren *.com *.doc 命令来一次完成所有修改扩展名操作。

这样，被病毒删除的Word文件就恢复出来了，然后升级一下杀毒软件，全盘杀毒就可以了。

解析病毒及手工删除方法

2007-09-21 10:03 xueyan 我要评论(0)





摘要：本文介绍如何手工清除autorun病毒的方法。

标签： 手工删除 病毒



Oracle帮您准确洞察各个物流环节

autorun 文档内的语句是：

[autorun]

OPEN=D:

在注册表内搜索到了带有 D: 值的项并删除，并在DOS下手工来删除:

attrib -s -h -r

del

attrib -s -h -r

del

dir /a

重启电脑后问题依旧存在，双击的方法打不开D盘（内有）

也不能使用Gpedit．msc阻止D盘自动运行

还有一个问题是 msconfig 也无法打开。而且发现只要一运行 msconfig, D盘内就又出现了

解决办法

手工删除：

一、 结束病毒进程

鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

找到映象名称为“”，并且用户名不是“SYSTEM”的一项，记住其PID号。

点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

二、 删除病毒文件

打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：

C:Program FilesCommon 、

C:Program FilesInternet 、

C:、

C:、

C:、

C:、

C:、

C:、

C:

如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“”和“”文件。

三、删除注册表中的其他垃圾信息

这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的“”改名为“”并运行，删除以下项目：

HKEY_CLASSES_ROOTWindowFiles、

HKEY_CURRENT_USERSoftwareVB and VBA Program Settings、

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的

Check_Associations项、

HKEY_LOCAL_、

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项。

将HKEY_CLASSES_的默认值修改为“exefile”

将HKEY_CLASSES_llopencommand的默认值修改为“"C:Program FilesInternet " %1”

将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand的默认值修改为“C:Program FilesInternet ”

将HKEY_CLASSES_ROOTftpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为“"C:Program

FilesInternet " %1”

将HKEY_CLASSES_ROOThtmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为“"C:Program

FilesInternet " –nohome”

将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为“”。

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕