实验室一位老师发送邮竭惮蚕斗件时,Word文档无法发送,被提示有病毒MSWord Marker.r。。bitde熠硒勘唏fender 病毒库名称是W97M.Marker.C ,小红伞病毒库中称为W2000M.Marker.BR
百度了一下,发现这个病毒貌似是一个非常古老的病毒,大约在2002年左右的。现在出现了,真是奇怪。 而且对比之下,当前电脑的症状并不像网页中对此病毒的描述。为了防止是误报,将此word样本上传至virustotal, 发现大部分软件均检测出含有病毒。因此确定含有病毒。
老师电脑上装的360杀毒,于是检测了一下含有多个doc文件的目录。发现多个doc文件被感染。
继续检测。发现以下特点:
1. docx不会被感染,doc会被感染,且只有被打开过的doc会被感染2. 先打开word,再将文件拖进去,文件不会被感染,直接打开doc文件,此文件会被感染3. 360杀毒可清除病毒,但文件再打开时会被重复感染。4. 360尝鲜版的宏免疫不起作用5. 由于中毒机器上无其它软件,不知道其他软件查杀情况。
360论坛上已有一些人反应了此情况,但无解决回复:
http://bbs.360.cn/3229787/252162675.html
http://bbs.360.cn/4077772/252272210.html
http://bbs.360.cn/3229787/252098205.html
经不断排查,最终确定以下解决方法,供参考,
1. Win (左侧Ctrl与Alt之间的那个键) + R
2. 输入 cmd,回车
3. 输入 cd %APPDATA%\Microsoft\Templates\ , 回车
4. 输入 dir /a , 回车 (查看此目录下的文件列表)
5. 输入 del Normal.dotm (注:winxp 2003 记得好像是 .dot 不是 .dotm)
6. 同第4步,删除目录里其它可疑的dotm,因为在受害机器上发现目录中还有一个 NormaEmail.dotm,本人未测试是哪个dotm造成的。因为默认加载的是Normal.dotm,因而我认为是 Normal.dotm造成的可能性更大。
7. 使用杀毒软件全盘扫描word文档,杀毒软件会自动清除word文件中含带的病毒体。360杀毒使用小红伞病毒库可清除。
