宏病毒学习总结

宏病毒及其防治方法总结

http://www.educity.cn/labs/563436.html


　　如果说宏病毒的出现曾经给反病毒软件厂商出了一道难题的话，那么电脑网络特别是因特网的出现在给人们的信息
交流带来极大方便的同时，也给计算机病毒、特别是宏病毒的传播提供了空前便利的条件，今天的计算机用户比以往任
何时候都更加真实地面对它的威胁。
　　
　　一、宏病毒的一般知识 
　　　1、什么是宏？
　　
　　　　宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自动化。OFFICE中的
WORD和EXEAL都有宏。在下面的讨论中我们以WORD为例。　　
　　　　如果在Word中重复进行某项工作，可用宏使其自动执行。宏是将一系列的Word命令和指令组合在一起，形成
一个命令，以实现任务执行的自动化。您可创建并执行一个宏，以替代人工进行一系列费时而重复的 Word操作。
　　
　　　　以下是宏的一些典型应用：
　　
　　　　加速日常编辑和格式设置 
　　　　组合多个命令　　
　　　　使对话框中的选项更易于访问　　
　　　　使一系列复杂的任务自动执行　　
　　　　Word提供了两种创建宏的方法：宏录制器和Visual Basic编辑器。　　
　　　　宏录制器可帮助您开始创建宏。Word在Visual Basic for Applications编程语言中把宏录制为一系列的Word命
令。
　　
　　　　可在Visual Basic编辑器中打开已录制的宏，修改其中的指令。也可用Visual Basic编辑器创建包括Visual Basic
指令的非常灵活和强有力的宏。
　　
　　　　您可将宏保存到模板或文档中。在默认的情况下，Word将宏存贮在 Normal模板中，以便所有的Word文档均
能使用。注意这一特点几乎为所有的宏病毒所利用。
　　
　　2、什么是宏病毒？
　　
　　　　宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病
毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会 “感染”上这种宏病
毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。
　　
　　　　如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称
WORD系统感染了宏病毒。
　　
　　　　虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专
门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。
　　
　　　　这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开
文档时就包含宏。
　　
　　　　如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或
是来自网络或不安全的 Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示
时最好选择“取消宏”。
　　
　　　　OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如
果愿意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文
档时提问”复选框。或者关闭宏检查：单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病
毒保护”复选框。
　　
　　　　不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然屏障。
　　
　　二、宏病毒的判断方法
　　
　　　　 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文
档或OFFICE系统中有宏病毒：
　　
　　　　1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您
清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。
　　
　　　　2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由
于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。
　　
　　　　3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护
功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统
（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 
OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD
之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。
　　
　　　　鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE
文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简
单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！
　　
　　三、宏病毒的防治和清除
　　
　　　　1、首选方法：用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法，也是

一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件，这方

面的突出例子就是ETHAN宏病毒。
　　
　　　　ETHAN宏病毒相当隐蔽，比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒软件（应该算比较新的
版本了）都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项，并且某些情况下会把被感染的文档置
为只读属性，从而更好地保存了自己。
　　
　　　　因此，对付宏病毒应该和对付其它种类的病毒一样，也要尽量使用最新版的查杀病毒软件。无论你使用的是何
种反病毒软件，及时升级是非常重要的。比如虽然KV300 Z+版不能查杀ETHAN宏病毒，但最新推出的KV300 Z++已经
可以查杀它。
　　
　　　　2、应急处理方法：用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒，
但需要打开某个外来的、已查出感染有宏病毒的文档，而手头现有的反病毒软件又无法查杀它们，那么您可以试验用下
面的方法来查杀文档中的宏病毒：打开这个包含了宏病毒的文档（当然是启用WORD中的“宏病毒防护”功能并在宏警
告出现时选择“取消宏”），然后在“文件”菜单中选择“另存为”，将此文档改存成写字板（RTF）格式或WORD6.0
格式。
　　
　　　　在上述方法中，存成写字板格式是利用RTF文档格式没有宏，存成 WORD 6.0格式则是利用了WORD97文档在
转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下，如果文
档内容中除了文字、图片外还有图形或表格，那么按 WORD6.0格式保存一般不会失去这些内容。
　　
　　　　存盘后应该检查一下文档的完整性，如果文档内容没有任何丢失，并且在重新打开此文档时不再出现宏警告则
大功告成。
========

宏病毒防治方法总结

http://it.rising.com.cn/antivirus/net_virus/200208/hongbingdu.htm

   （IT电脑顾问专家网）  
    如果说宏病毒的出现曾经给反病毒软件厂商出了一道难题的话，那么电脑网络特别是因特网的出现在给人们的信息交
流带来极大方便的同时，也给计算机病毒、特别是宏病毒的传播提供了空前便利的条件，今天的计算机用户比以往任何
时候都更加真实地面对它的威胁。

　　一、宏病毒的一般知识 

　　1、什么是宏？

　　宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自化。OFFICE中的WORD

和EXEAL都有宏。在下面的讨论中我们以WORD为例。

　　如果在Word中重复进行某项工作，可用宏使其自动执行。宏是将一系列的Word命令和指令组合在一起，形成一个

命令，以实现任务执行的自动化。您可创建并执行一个宏，以替代人工进行一系列费时而重复的 Word操作。

　　以下是宏的一些典型应用：

　　 加速日常编辑和格式设置 

　　 组合多个命令

　　 使对话框中的选项更易于访问


　　 使一系列复杂的任务自动执行


　　 Word提供了两种创建宏的方法：宏录制器和Visual Basic编辑器。


　　宏录制器可帮助您开始创建宏。Word在Visual Basic for Applications编程语言中把宏录制为一系列的Word命令。


　　可在Visual Basic编辑器中打开已录制的宏，修改其中的指令。也可用Visual Basic编辑器创建包括Visual Basic指令


的非常灵活和强有力的宏。

　　您可将宏保存到模板或文档中。在默认的情况下，Word将宏存贮在 Normal模板中，以便所有的Word文档均能使

用。注意这一特点几乎为所有的宏病毒所利用。

　　2、什么是宏病毒？

　　宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就

会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而

且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称

WORD系统感染了宏病毒。

　　虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的

防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。

　　这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档

时就包含宏。

　　如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来


自网络或不安全的 Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最


好选择“取消宏”。

　　OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如果愿

意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文档时

提问”复选框。或者关闭宏检查：单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病毒保

护”复选框。

　　不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然屏障。

　　二、宏病毒的判断方法

　　 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或

OFFICE系统中有宏病毒：
    1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会弹出相应的警告框。而您清楚您

并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。

　　2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在

一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。

　　3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能

，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这

通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 

OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD

之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。

　　鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档

在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简单地

删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！

宏病毒的防治和清除

　　1、首选方法：用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法，也是一般

计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件.

   2、应急处理方法：用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒，但需要

打开某个外来的、已查出感染有宏病毒的文档，而手头现有的反病毒软件又无法查杀它们，那么您可以试验用下面的方

法来查杀文档中的宏病毒：打开这个包含了宏病毒的文档（当然是启用WORD中的“宏病毒防护”功能并在宏警告出现

时选择“取消宏”），然后在“文件”菜单中选择“另存为”，将此文档改存成写字板（RTF）格式或WORD6.0格式。

　　在上述方法中，存成写字板格式是利用RTF文档格式没有宏，存成 WORD 6.0格式则是利用了WORD97文档在转换

成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下，如果文档内

容中除了文字、图片外还有图形或表格，那么按 WORD6.0格式保存一般不会失去这些内容。

　　存盘后应该检查一下文档的完整性，如果文档内容没有任何丢失，并且在重新打开此文档时不再出现宏警告则大功

告成。
========

中了宏病毒4082的各种无效方法和有效方案总结大全

http://www.office68.com/computer/22410.html
 
宏病毒是经常会在excel和word中感染病迅速传染的一种病毒。是一种寄存在文档或模板的宏中的计算机病毒。一旦打

开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，

所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计

算机上。
以下描述是利用360杀毒软件进行电脑宏病毒查杀时发现的病毒及其描述：
类型：
宏病毒(macro.office.excel.gen.4802)

描述：
宏病毒是一种寄存在Office文档或模板中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，并驻留在文档模板

中。从此以后，所有自动保存的Office文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏

病毒又会侵入到他的计算机中。

扫描引擎：
360云查杀引擎
然而查找到这个宏病毒感染的文档之后，如果想要清楚则需要杀掉已经感染的文档。当这些文档非常重要时，我们还能

随便删除吗？答案当然是不能的。
现在碰到的这个宏病毒让我有点束手无策，按照网络上搜索的各种方法都是无效的。
各种无效方法总结，比如：
无效方法1：在word的宏设置（工具——宏——宏（M）…）中，找到可疑的宏删除掉。
这种方法是无效的因为这种宏病毒macro.office.excel.gen.4802并没有在其中留下任何的可见可删除的宏
无效方法2：删掉word的Normal.dot
宏病毒也是在“进化”的，初期的宏病毒寄居在Normal.dot中很多人学会了如何轻易的处理。但是现在删除模版文档

Normal.dot已经没有用了
无效方法3：杀毒软件清楚宏病毒
这种方法的杀毒只能是对被感染的文档进行清楚，并不能保留咱们想要的文档
无效方法4：转化文档格式
网上很多人提到将被感染的word文档以其他格式打开比如写字板，这种是不行的。面对这种病毒，你利用别的格式打开

只能让你的文档受到破坏更是无法读取现在的文档了。
中了宏病毒4082的各种无效方法
可以解决的办法：
如果你的word文档中全部是文字的话，你可以将word中的文字复制到文本文档中，从而清除word中含有的宏之后，新

建word进行复制进来就OK了。但是这个时候一定注意，你新建的word采用的模版Normal.dot一定没有被感染。
如果你的word文档中含有图片呢？这是最棘手的问题了。现在我也没有找到最好的方法。如果有哪位朋友找到了请留言

分享。一般这种文档感染之后是无法上传和使用的。所以问了为了解决这个问题，我想了如何将错就错的解决这个问题


——将完成后的word转化成pdf格式（相同的软件，类似的方法）。这样之后，你再传播这个word就没有任何的错误提


示了。
========