终于找到一个有用的 希望大家相互学习下
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe ,并且该病毒文件会模拟成Word文档的图标: 病毒运行后,会在C盘根目录下生成病毒文件 c:\ww.bat 和c:\ww.txt , 其中 ww.bat文件内含有批处理程序,搜索硬盘中所有的Word文档 :
dir c:\*.doc /a/b/s >>c:\ww.txt
dir d:\*.doc /a/b/s >>c:\ww.txt
dir e:\*.doc /a/b/s >>c:\ww.txt
这样,病毒就将硬盘里面的所有的DOC文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些DOC文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000001
这样用户无论如何查看文件扩展名都是无法显示的。
江民反病毒专家特别指出,此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
作者:bobo_italy 回复日期:2006-2-22 16:43:06
在文件夹选项里把隐藏已知文件的扩展名的钩取掉,再把被病毒修改的文档的后缀名改成.doc
作者:正版恶狼 回复日期:2006-2-22 16:43:18
但是,反病毒专家也指出, “WORD文档杀手”病毒还算比较“仁慈”,因为它并没有彻底删除DOC文件,手动恢复被删除的WORD文档的方法:请先修改注册表键值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000000
这样就可以显示文件的扩展名了,然后来到c:\windows\wj\ 这个文件夹中去看看有无同名的.com文件,如果有的话只需把扩展名改成.doc即可找回丢失的Word文件。 也可以在命令提示行来到c:\windows\wj 文件夹下,中用 ren *.com *.doc 命令来一次完成所有修改扩展名操作。
如图:
作者:正版恶狼 回复日期:2006-2-22 16:44:34
这样,被病毒删除的Word文件就恢复出来了,然后升级一下杀毒软件,全盘杀毒就可以了。
江民反病毒专家提醒大家注意:请做好数据备份工作,以防不测。如果看到有扩展名为.EXE的Word文档请不要直接双击运行,因为其很有可能是病毒,为了预防这类病毒的破坏,江民反病毒专家建议广大用户安装最新的杀毒软件,及时升级病毒库,开启病毒实时监控。专家并建议用户在使用U盘时,尽量不要开启自动运行功能或直接双击打开U盘,可以使用鼠标右键打开的功能。江民杀毒软件KV2006的接入移动存储设备自动查毒功能,可有效杜绝此类病毒从U盘入侵电脑。
作者:hefei0330 回复日期:2006-2-22 17:09:25
thank you!!!
作者:delphiwl 回复日期:2006-2-23 9:30:02
手动恢复被删除的WORD文档的方法:请先修改注册表键值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000000
这样就可以显示文件的扩展名了
请问怎样修改注册表键值?要具体方法哈,谢谢!!急!
