打开Excel时,若出现提示窗口,说明工作簿中有不可禁用的4.0宏,需警惕,这可能是宏病毒的迹象。
1、 请使用Excel 2007及以上版本打开此工作簿(2003及更低版本无法禁用4.0宏),里面包含一个类似下图的用户模块。
2、 这个宏病毒的原理可简述如下:它由两部分构成。一方面,利用Excel 2003版及更低版本的漏洞——这些版本无法禁用Excel 4.0宏,从而强制用户启用宏。另一方面,病毒通过ToDOLE模块中的VBA代码运行恶意程序,有时也会在ThisWorkbook模块中出现自动运行的宏病毒代码,进而完成传播和破坏过程。
3、 打开文件后,按ALT+F11进入VBA编辑窗口。首先删除ToDOLE模块(不仅是代码,而是整个模块)。接着双击ThisWorkbook模块,检查是否存在代码,若存在则清除。注意,这里只能删除代码,不能删除模块本身。
4、 接下来需要清除4.0宏,它通过宏表发挥作用。
5、 病毒作者通常会隐藏宏表,用常规格式-工作表-取消隐藏方式无法显示,只能借助一段VBA代码来解除隐藏状态。
6、 下面这段VBA代码,能够删除宏表和名称Auto_Activate。
7、 请将此代码放入新创建的空白工作簿中。
8、 假设宏病毒位于工作簿1,我们新建一个空白工作簿,命名为工作簿2。
9、 将上述代码粘贴至用户模块,按下F5运行。系统会提示输入含宏表的工作簿1名称,输入完毕点击确定,程序将自动删除宏表与Auto_Activate名称。
10、 工作簿2用于删除宏表,可直接退出,无需保存。
11、 重新打开之前提示的工作簿1查看,提示是否已经消失。
