爱华网Word宏病毒W97M.Marker.C(W2000M/Marker.BR)的杀毒方法
by mentally disabledperson
2012.3.20
最近,中了Word宏病毒W97M.Marker.C(360杀毒命名;小红伞将其称为W2000M/Marker.BR)。该病毒的表现是无法发送包含Word的邮件,提示有病毒而无法发送。360杀毒起初是能够发现这个病毒的,但是如果按照360默认的处理方式,该Word文件就无法访问了;如果将其添加为信任,360将忽视这个病毒,即使其它Word文件感染了,也检测不出来,当然也杀不掉。
该病毒的另一个特点是只对打开的Word文件进行感染。网上说该病毒会收集用户信息,定期上传到某ip去。该病毒在C盘下生成两个文件。并且可能对Normal.dot感染,由于打开任一Word都可能调用这个模板,所以一旦中招就很麻烦。
有一个英文网站更详细的描述了该病毒的表现:http://go.eset.com/us/threat-center/encyclopedia/threats/w97mmarkerc
百度百科可以看到其中文版http://baike.baidu.com/view/539147.html?fromTaglist
处理方法:
我的处理方法是先将所有Normal.dot或类似文件删除,再将C盘的根目录下的c:hsf????.sys(其中????是随机产生的数字)和c:netldx.vxd删除,然后关闭360杀毒安装小红伞2012个人版(80多M),小红伞可以检出并杀毒,杀毒后不影响原Word文件的使用。理想的做法是对机器中的所有Word文件查杀一遍,虽然实际感染病毒的仅仅是感染病毒后打开的那些Word文件。
