office文件都感染了一种叫blackice的病毒,重装office也没用,只能重装系统,十分恼人。
         病毒特征:在%systemroot%\system32下生成blackice.exe和kernel.dll文件,二者相互保护。加载在启动项里面的是blackice.exe。一旦打开office文档如word、excel等,均会在进程中添加blackice.exe的进程,同时在\Documents and Settings\*username*\Local Settings\Temp文件夹下生成bk_*.tmp,其中*为数字和字母,按照现有文件名递增。一位为数字或字母,两位的话是数字+字母形势,大小均为33kb,同时注入系统进程且无法中止。使用杀毒软件 可以查杀,病毒分类为Worm.win32.Whiteice.a,一般杀毒软件(我用的kaspersky)均可结束blackice进程但无法直接删除该文件,可以删除kernel.dll,可以删除bk_*.tmp,提示需要重启才能杀掉blackice。但重启之后开机提示系统找不到%systemroot%\system32\blackice.exe,而且再次打开office文档还会重复上面的过程;也就是杀毒软件无法根除。
        baidu搜过,诸如瑞星 、江民、诺顿、赛门铁克等都无法彻底删除该病毒。删除过程:安全模式下,用kaspersky添加病毒文件的两个关键区域和office所在的文件夹即\Documents and Settings\*username*\Application Data\Microsoft,然后扫描杀毒杀毒完成后,运行msconfig取消blackice的启动项,然后运行regedit搜索blackice相关键值并全部删除。重启之后,进入正常模式,在%systemroot%\system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll,修改其属性为只读。重启。再次进入正常模式后对上述关键区域杀毒,同时运行regedit删除相关键值。删除及杀毒完毕后再次重启,进入正常模式后卸载office。至此病毒再也不会出现。重新安装office后,再次打开office文档也不会再出现病毒了。
       特别提下,就算你没中毒,使用在%systemroot%\system32文件夹下新建两个空白txt文件并修改为blackice.exe和kernel.dll,修改其属性为只读”这个方法也可以防止病毒在%systemroot%\system32下生成blackice.exe和kernel.dll文件,起到一定的预防作用。