U盘修复中的带毒Word文档

U盘来转存文件，难免会感染这样那样的木马病毒。这些病毒很可能会隐藏或破坏其中的Word文档，进而影响到我们的正常办公。有了以下解决方案，你还会为Word病毒烦恼吗？

本人的工作机安装了Windows XP系统，小李准备在我的计算机上打印一份文稿，U盘刚插到计算机上，360杀毒软件就提示有病毒。当时也没在意，就提示进行全盘杀毒操作了。等查杀完毕后，发现U盘上所有的Word文件竟然不翼而飞了。U盘上的文件也没有备份，这可怎么办呀！

恢复隔离区中的文件

仔细回忆了杀毒过程，有可能是360杀毒软件把这些文档当病毒给清除了。

马上启动360杀毒软件，单击“病毒查杀”选单，在该窗口下方的“隔离与恢复”处单击一下，进入360杀毒隔离区窗口。

在隔离内容下面单选所有的文件，接着，单击右下角的“恢复所选”按钮即可（图1）。



找出消失的Word文档

通过上述办法恢复出来的文件全是EXE文件格式，不是我们所需要的Word文档。也许病毒程序把Word文档给隐藏了吧，这是某些病毒惯用的伎俩。

接着，在桌面处依次单击“开始→运行”菜单项，在“运行”对话框中输入attrib h:\*.* -h -s命令（图2），确定后就把H盘中所有的隐藏文件和系统文件显示出来。



打开H盘后，那些失踪的Word文档又回来了。

修复Word乱码

打开其中的一个Word文档，弹出提示“Word无法启动转换器mswrd632”的对话框，单击“确定”时提示选择文本编码，把编码文本设置为“Windows(默认)”后，打开后的文档首行有“邹小朋爱邹琪 ”的文字，后面的内容则全是乱码（图3）。



首先，Word文件头被木马病毒给篡改了，一定要找出乱码所在位置。

把没有中招的任意同版本下的Word文档复制到C盘，同时把有乱码的文档改名后复制C盘中，使这两个文档处于同一目录下。

接着，在桌面处依次单击“开始→运行”菜单项，在“运行”对话框中输入cmd命令，打开DOS命令窗口界面。然后在C：\命令提示符下输入命令：“FC /B 中小学远程教育工作b23c.doc中小学远程教育工作b23c1.doc ”，按回车键后开始对这两个文档进行比对，发现两个文档在前12行的代码有所不同，其余的代码都相同，这样就确定了乱码的位置（图4）。



其次，用正常的Word文件头来修复中招的Word文件。

运行WinHex程序，单击窗口下的“文件”主菜单，选择“打开”菜单项，在“打开”对话框中，把那个出现乱码的文档找到，双击即可打开该Word文件。

接着把鼠标指针移到WinHex数据区的首行，在D7处按住鼠标右键向右拖动一直F7位置处，总共选中24个字符。

接着单击“编辑”主菜单，选择“填充选块”，在打开的对话框里单击“填充十六进制数值”，在文本框中输入Word文件头的前24个字符“D0CF11E0A1B11AE100000000”，确定后就完成了Word文件头的修复（图5）。



再次单击“文件→另存为”菜单，在文件名处给修复过的文档重新命名，单击“保存”完成修复操作。

双击打开该文档，可以正常打开，修复成功了。

清除U盘系统中的Word病毒

我们发现只要电脑感染上Word乱码病毒，用U盘拷贝文件时，U盘也会感染病毒。所以，首要工作是清除U盘上的病毒。

第一步，重启电脑进入Windows XP的安全模式下，插入U盘后，双击打开U盘。依次单击“工具→文件来选项→查看”菜单，在“显示系统文件的内容”和“显示所有文件和文件夹”列表项上单击一下，把它们前面的选框给选中；同时把“隐藏已知文件类型的扩展名”前面的复选项给去掉，单击“确定”完成设置。

第二步，这时可以看到U盘中每个Word文档都有两个文件名相同的文件。接着，把U盘中所有的exe格式的文件全部选中，右击选择“删除”菜单，进行删除操作。

第三步，在U盘中找到Recycled文件夹，删除该文件夹。否则，再次插入U盘后，该文件夹下的文件会自动运行，使“显示所有文件和文件夹”选取项失效，文件又会被隐藏起来。

清除硬盘上的Word病毒

U盘中被感染的Word文件复制到硬盘中后，病毒就会在硬盘和内存中驻留，感染所有打开的Word文档，并且自动生成一个文件名相同的EXE文件。也就是说，在Word文件复制过程中，它会自动产生另一个EXE文件复制到你的设备中，病毒文件就是这样进行传染的。

要想阻止病毒文件的传染必须在切断传染源。

首先，按Ctrl+Alt+Del组合键，激活任务管理器。单击“进程”选单查看正在运行的进程，发现两个进程文件Rundll32.exe和Svchost.exe（图6）同时存在，其中Svchost.exe所在路径比较可疑，在该进程处右击“打开所在目录”，打开C:\Documents and Settings\All Users目录，而该文件一般是存在于C:\Windows目录下，断定这就是病毒源。



直接删除是行不通的，必须要结束这两个进程的运行。在该进程处击选择“结束进程”结束进程，然后把C:\Documents and Settings\All Users目录下的Svchost.exe删除掉。

延伸阅读

一旦感染了乱码病毒，用常规的方法打开Word文档绝对是乱码。通过反复的试验，找到了一种打开乱码的Word文档的方法。

第一步，关闭系统中的防火墙和杀毒软件，否则打开那些乱码的Word文档时就会提示有病毒。

第二步，双击运行那个EXE格式文件。因为中毒后会产生两个文件主名一样的文件，只不过一个是DOC格式，另一个EXE格式，它的文件大小都是90.5KB。当运行那个EXE格式文件时，它在加载病毒进程的同时，自动运行了与它同名的Word文档。虽然它的目的是欺骗我们用户，但也可以被我们所使用。

这个时候，在打开的文档中进行另存操作，把它保存到电脑的其他位置。然后再用杀毒软件或者手工方式进行杀毒，把系统中的病毒全部给清除。

再次打开那个另存的文档就不会被感染病毒了。