遭遇Excel的巨集病毒

朋友的一臺電腦,開啟任何Excel(Office2003版本)都會彈出兩個Excel文件,一個是希望開啟的文件,另一個是:startup.xls
看startup.xls的內容,馬上意識到中了病毒了.(看這個startup,貌似是刪除元件用的,也許是病毒作用後的清理?)
開啟希望開啟的正常的那個文件,Alt-F11,看有巨集程式碼,模組名是:Knight
後來發現,下列路徑有下列可疑檔案,將之手工刪除,Excel恢復正常.
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\Excel11.xlb
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\MEMO1.xls
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\startup.xls

後來,在其他電腦上,用McAfee檢查,發現MEMO1.xls確實有問題
----MEMO1.xls有病毒(木馬)----
Workbook X97M/Laroux.kz.gen

----startup.xls的內容----
Sub auto_open()
On Error Resume Next
Application.ScreenUpdating = False
ActiveWindow.Visible = False
n$ = ActiveWorkbook.Name
Workbooks(n$).Close (False)
Application.OnSheetActivate = "StartUp.xls!cop"
End Sub
Sub cop()
On Error Resume Next
Dim VBC As Object
Dim Name As String
Dim delComponent As VBComponent
Name = "StartUp"
For Each book In Workbooks
Set delComponent = book.VBProject.VBComponents(Name)
book.VBProject.VBComponents.Remove delComponent
Next
End Sub

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/29512902/viewspace-1151487/，如需轉載，請註明出處，否則將追究法律責任。