word文档杀手病毒手工删除方法

《word文档杀手病毒手工删除方法》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、WORD文档杀手病毒手工删除方法 一、电脑中毒现象病毒通称为“WORD文档杀手”，病毒主体文件为c:windowsdoc.exe 或者c:windowsdoc1.exe，病毒运行后，搜索硬盘中所有的Word文档并将硬盘里面的所有的word文档建立一个列表，输出到c:ww.txt文件中，然后逐一将这些word文件删除，在删除的同时还会将这些Word文档复制到c:windowswj目录中,并将文件扩展名改为“.com”。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。并锁定文件夹查看隐藏文件的选项，不

2、允许显示隐藏文件。在用户看来，所有的word文件就像突然消失了一样。该病毒采用VB语言编写，病毒主体文件为c:windowsdoc.exe 或者c:windowsdoc1.exe，并且该病毒文件会模拟成Word文档的图标：   病毒运行后，会在C盘根目录下生成病毒文件c:ww.bat和c:ww.txt，其中ww.bat文件内含有批处理程序，搜索硬盘中所有的Word文档：dirc:*.doc/a/b/s>>c:ww.txtdird:*.doc/a/b/s>>c:ww.txtdire:*.doc/a/

3、b/s>>c:ww.txt  这样，病毒就将硬盘里面的所有的DOC文档建立一个列表，输出到c:ww.txt文件中，然后逐一将这些DOC文件删除，在删除的同时还会将这些Word文档复制到c:windowswj目录中,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt]"CheckedVa

4、lue"=dword:00000001"UncheckedValue"=dword:00000001这样用户无论如何查看文件扩展名都是无法显示的。二、解决方法及步骤：1、重启机器并进入安全模式，同时按下键盘的Ctrl、Alt和Delete按键，打开Windows任务管理器，点击“进程”选项卡，停止“doc.exe”进程。然后到c:windows目录下删除“doc.exe”文件。2、手动恢复被删除的WORD文档的方法：请先修改注册表键值：[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi

5、ndowsCurrentVersionExplorerAdvancedFolderHideFileExt]"CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000这样就可以显示文件的扩展名了，然后来到c:windowswj这个文件夹中去看看有无同名的.com文件，如果有的话只需把扩展名改成.doc即可找回丢失的Word文件。也可以在命令提示行来到c:windowswj文件夹下，中用 ren *.com *.doc 命令来一次完成所有修改

6、扩展名操作。  这样，被病毒删除的Word文件就恢复出来了，然后升级一下杀毒软件，全盘杀毒就可以了。解析autorun.inf病毒及手工删除方法http://netsecurity.51cto.com 2007-09-2110:03 xueyan 51CTO.com 我要评论(0)·摘要：本文介绍如何手工清除autorun病毒的方法。·标签：autorun.inf  手工删除  病毒·Oracle帮您准确洞察各个物流环节autorun文档内的语句是：[autorun]OPEN=D:command.com在注册表内搜索到

7、了带有D:command.com值的项并删除，并在DOS下手工来删除AutoRun.inf:attribautorun.inf-s-h-rdelautorun.infattribcommand.com-s-h-rdelcommand.comdir/a重启电脑后问题依旧存在，双击的方法打不开D盘（内有autorun.inf）也不能使用Gpedit．msc阻止D盘自动运行还有一个问题是msconfig也无法打开。而且发现只要一运行msconfig,D盘内就又出现了autorun.inf解决办法手工删除：一、结束病毒进程鼠标

8、右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd–cq-p(PID)