Trojan/DelDoc

病毒簡介

病毒名稱Trojan/DelDoc
病毒中文名“WORD文檔殺手”
病毒類型木馬
危險級別★★
影響平台Win 9X/ME/NT/2000/XP/2003
感染對象
描述 Trojan/DelDoc“WORD文檔殺手” 是一個木馬程式，該病毒一旦發作，可以將office用戶的WORD文檔逐個刪除，所有windows版本用戶無一倖免。 該病毒採用VB語言編寫，病毒主體檔案為 c:\windows\doc.exe 或者 c:\windows\doc1.exe ，並且該病毒檔案模擬成Word文檔的圖示。“WORD文檔殺手”運行後，會在C糟根目錄下生成病毒檔案c:\ww.bat 和c:\ww.txt，其中ww.bat檔案內含有批處理程式，搜尋硬碟中所有的Word文檔。將硬碟裡面的所有的DOC文檔建立一個列表，輸出到c:\ww.txt檔案中，然後逐一將這些DOC檔案刪除，在刪除的同時還會將這些Word文檔複製到c:\windows\wj\ 目錄中,並將檔案擴展名改為.COM。同時此病毒還能修改註冊表，以達到隱藏擴展名的目的。“WORD文檔殺手”還能自我載入到隨身碟的自動運行檔案里，這樣，一旦用戶將感染了該病毒的隨身碟接入電腦，Word文檔殺手病毒就會自動運行，導致所有WORD文檔神秘失蹤。

解決方案

1、請及時升級江民KV2006防毒軟體，開啟BOOTSCAN功能及各項監控，防止衝擊波、震盪波等惡性病毒攻擊用戶計算機。江民KV2006防毒軟體在Windows啟動前能徹底清除以上惡性病毒，全面保護用戶計算機。
2、江民KV網路版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。
3、江民防毒軟體KV2006的接入移動存儲設備自動查毒功能，可有效杜絕此類病毒從隨身碟入侵電腦。
4、手動恢復被刪除的WORD文檔的方法：請先修改註冊表鍵值：
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt】
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000000
這樣就可以顯示檔案的擴展名了，然後來到c:\windows\wj\ 這個資料夾中去看看有無同名的.com檔案，如果有的話只需把擴展名改成.doc即可找回丟失的Word檔案。 也可以在命令提示行來到c:\windows\wj 資料夾下，中用ren *.com *.doc 命令來一次完成所有修改擴展名操作。
5、請定期做好重要資料的備份，以免造成重大損失。
6、懷疑已中毒的用戶可使用江民免費線上查毒進行病毒查證。免費線上查毒地址：http://online.jiangmin.com/chadu.asp.