我在学校机房工作,经常有一些教师U盘感染病毒后拿来叫我帮助处理。其中最常见的就是office文档被病毒感染。Word是办公教学中不可获取的,也是使用频率最高的软件之一。因此针对该软件的病毒也是层出不穷,而且这类病毒具有针对性强,传播扩散快的特点。现就将其中doc文档变成exe文件的处理方法总结如下。

现象:
拿到U盘打开的时候发现里面的word文档的doc扩展名全部变为exe,但是word文档的图标还是原来的,没有改变。双击能正常打开word文档,但过程有所延迟,初步推断后台有程序被绑定运行了。
分析:
既然word能正常打开,说明病毒并没有破坏word本身的文件,还算比较“文明”。那么恢复word文档就只是时间问题了。其实这时候完全可以重新建一个word文档,把数据复制过来,然后删掉原文件。但是这只是治标不治本的办法,而且只对word文件比较少的情况下可操作,如果有上百个word文档,工作量将不可想象。
恢复文档:
1. 既然是感染病毒那么当然首先就是用杀毒软件杀毒了,扫描之后发现所有披着exe外壳的word文件都被认为是病毒,本以为这个病毒和以前的那个“把文件夹隐藏,替换成文件夹名称.exe”的病毒如出一辙,只是将原来正常文件隐藏了,新建了一个同名的exe扩展名文件。于是毫不犹豫将所有病毒文件移至病毒库。
2. 进入cmd命令模式,切换到U盘盘符下运行:attrib –r –s –h *.* /s /d,准备将所有隐藏文件显示出来,结果并没有像想象的那样,没有别的文件显示出来。这说明正常的word文档和病毒一起被移除了
3. 将被移至病毒库中的文件恢复过来,直接将exe扩展名改为doc再打开word文件,提示文件损坏,无法打开,这方法显然行不通了。
4. 查看各word文档大小,发现所有文档都大于500KB,这明显比较异常,基本断定是有其他文件捆绑在里面。Word能正常打开,文件体积变大,于是以下想到了这exe文件是不是自解压文件。右键点击文档,出现了解压选项。
5. 选择“解压到当前文件夹” ,解压出的文件时隐藏的,这时需要将“文件夹选项”做如下更改才能看到。
6. 更改之后,发现原来的一个“exe” word文档解压出来三个文件,一个是正常的原始word文档,一个批处理文件,一个Function.dll。
7. 这下问题就明了了,病毒将一个批处理文件和一个动态链接库(dll)压缩成自解压文件,运行exe word文件的时候同时运行了批处理文件,批处理文件操纵着dll文件在系统内传播感染。
8. 批量解压exe word文件。由于word文档比较多,显然不可能逐个解压然后删除bat和dll文件。想到rar文件能够批量选取然后统一解压,那么可以将word文档的exe扩展名改为rar然后统一解压就简单多了。
1) 在cmd模式下进入word文档所在目录,运行“ren  *.exe  *.rar”,将所有exe word文档的扩展名改为rar。
2) 全部选取这些rar文件,在其中任一选中文件上单击右键,选择“解压到当前文件夹”,弹出“确认文件替换”对话框,选择“全部选是”。
3) 删除bat和dll文件,运行 “attrib –r –s –h *.* /s /d” 取消所有文件的只读、存档、只读属性。运行 “del  *.dll  *.bat”  删除bat和dll文件至此,U盘上的word文档全部恢复正常


清除病毒:
虽然U盘上的文档恢复了,但是该病毒仍然存在于计算机中。为斩草除根,以绝后患,我们必须清除计算机上的病毒。
分析解压出的批处理文件,可以看到该病毒做了那些事情。比如往系统文件夹里复制病毒文件,重命名原有的系统文件,运行vbs脚本,往注册表里写入键值,往“启动”菜单中写入脚本,枚举其他盘符并写入文件等等。
大概知道该病毒做了哪些事情,并查询相关资料,总结出了清楚该病毒(sola)的方法。
1. 进入安全模式(常规模式下无法通过任务管理器关闭病毒进程sleep.exe,该进程的PID随时在发生变化,即使通过命令taskkill /F /IM sleep.exe 强行关闭进程后,sleep.exe也会立即恢复运行。)
2. 删除%windir%\Fonts目录下的“HIDESELF..”文件夹,该病毒所用到的文件基本都来自该文件夹。该文件夹用了dos命名的漏洞,不能直接在资源管理器中看到,也不能直接通过看到的文件名删除,只有用DOS的简约8位命名法来删除。即用命令“rd /s /q HIDESE~1”删除该文件夹和文件夹下所有数据。
3. 在系统盘搜索sleep.exe,找到后删除
4. 确保“文件夹选项”设置如图二。查看各个硬盘分区,在根目录下应该能找到名字叫SOLA的隐藏文件夹。将其删除。
5. 在所有磁盘中搜索“SOLA”,找到类似SOLA.VBS,SOLA_XXX.bat的文件,找到后删除。
6. 运行“regedit”注册表编辑器,搜索sleep.exe字符串,找到后删除。
7. 最后退出安全模式,正常启动后,打开任务管理器,进程中没有sleep.exe了。成功清除该病毒。

总结:
1. 打开U盘时按住shift键,避免病毒自动播放
2. 得知U盘感染病毒后不要盲目的运行里面的程序,特别是exe文件
3. 删除染毒文件时一定要确保是将文件删除到病毒库里面,这样到需要时可以恢复,以免重要文件丢失
4. 手动查杀病毒是要多配合命令行模式,这样不但能取得较好的效果,还能减少大量的第三方插件工具的使用。

文章如转载,请注明转载自:http://www.5iadmin.com/post/874.html