十二月 31st, 2011 电脑实用技巧

实验室一位老师发送邮件时，Word文档无法发送，被提示有病毒MSWord Marker.r。

。bitdefender 病毒库名称是W97M.Marker.C ，小红伞病毒库中称为W2000M.Marker.BR

百度了一下，发现这个病毒貌似是一个非常古老的病毒，大约在2002年左右的。现在出现了，真是奇怪。 而且对比之下，当前电脑的症状并不像网页中对此病毒的描述。为了防止是误报，将此word样本上传至virustotal, 发现大部分软件均检测出含有病毒。因此确定含有病毒。

老师电脑上装的360杀毒，于是检测了一下含有多个doc文件的目录。发现多个doc文件被感染。

继续检测。发现以下特点：

1. docx不会被感染，doc会被感染，且只有被打开过的doc会被感染
2. 先打开word，再将文件拖进去，文件不会被感染，直接打开doc文件，此文件会被感染
3. 360杀毒可清除病毒，但文件再打开时会被重复感染。
4. 360尝鲜版的宏免疫不起作用
5. 由于中毒机器上无其它软件，不知道其他软件查杀情况。

360论坛上已有一些人反应了此情况，但无解决回复：

http://bbs.360.cn/3229787/252162675.html

http://bbs.360.cn/4077772/252272210.html

http://bbs.360.cn/3229787/252098205.html

经不断排查，最终确定以下解决方法，供参考，

1. Win (左侧Ctrl与Alt之间的那个键) + R

2. 输入 cmd，回车

3. 输入 cd %APPDATA%\Microsoft\Templates\ ， 回车

4. 输入 dir /a , 回车 （查看此目录下的文件列表）

5. 输入 del Normal.dotm （注：winxp 2003 记得好像是 .dot 不是 .dotm）

6. 同第4步，删除目录里其它可疑的dotm，因为在受害机器上发现目录中还有一个 NormaEmail.dotm，本人未测试是哪个dotm造成的。因为默认加载的是Normal.dotm,因而我认为是 Normal.dotm造成的可能性更大。

7. 使用杀毒软件全盘扫描word文档，杀毒软件会自动清除word文件中含带的病毒体。360杀毒使用小红伞病毒库可清除。