宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
起源编辑本段回目录
当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。
其实宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。然而,宏病毒与普通病毒不同,它不感染.EXE或.COM文件,而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。1996年12月13日,一种被称为“TaiwanNo.1”的病毒同时在北京和深圳被发现,一例来自于Internet的下载文件,另一例来自某医院的一项合作协议书。在一个专门研究医学病毒的捍卫人体健康的机构发现被计算机病毒侵袭的事件,可真是有些戏剧性的效果。凡是经历过小球病毒发作的人都能体味这样一种恐慌的感觉,恐慌的根源就是您对病毒本身尚一无所知时,感觉命运似乎刹那问就即将被别人掌握了。
Internet电子邮件已日益成为病毒的携带者。当您在Internet上用Email收看邮件时,是否想到,您可能会受到计
算机病毒的威胁。一般一个纯粹的电子邮件内容没有病毒,但其附加的文件极可能带有病毒。附加文件的病毒扩散首先需要运行它。举个例子来说:您收到了一个附加有用Word编辑的文件,这个Word文件被病毒感染了,当您运行该附加文件时,计算机就会受到病毒的威胁。
所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务。MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言WordB_asic将宏作为一系列指令来编写。要想搞清楚宏病毒的来龙去脉,必须了解Word宏的知识及wordBasic编程技术。Wo_rd宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即word中提供的WordBASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。
特点编辑本段回目录
宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特点与共性。
宏病毒特点
1.传播极快
Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。特别是Internet网络的普及,Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就有40多个宏病毒,而国际上普通病毒种类已达12000多种。
2.制作、变种方便
以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
3.破坏可能性极大
鉴于宏病毒用WordBasic语言编写,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调
用WindowsAPI,调用DDE或DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。
4.多平台交叉感染
宏病毒冲破了以往病毒在单一平台上传播的局限,当WORDJXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时,会被宏病毒交叉感染。
宏病毒共性
宏病毒具有一些共性:
1,以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了人们的“数据文件不会传播
病毒”的错误认识。宏病毒会感染.DOC文档文件和.DOT模板文件。被它感染的.DOC文档属性必然会被改为模板而不是文档,但不一定修改文件的扩展名。而用户在另存文档时,就无法将该文档转换为任何其他方式,而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。
2,染毒文档无法使用“另存为(SaveAs)”修改路径以保存到另外的磁盘/子目录中。
3,病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏将自身复制至Word的通用(Normal)模板中,以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。
4,大多数宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自动宏。只有这样,宏病毒才能获得文
档(模板)操作控制权。有些宏病毒还通过FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件
的操作。
5,病毒宏中必然含有对文档读写操作的宏指令。
6,宏病毒在.DOC文档、.DOT模板中是以BFF(BinaryFileFormat)格式存放,这是一种加密压缩格式,每种Word版本格式可能不兼容。
危害编辑本段回目录
宏病毒危害主要在以下方面:
一、宏病毒的主要破坏
WORD宏病毒的破坏在两方面:
1,对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。如TaiwanNo.lMacro病毒每月13日发作,所有编写工作无法进行。
2,对系统的破坏是:WordBasic语言能够调用系统命令,造成破坏。
二、宏病毒隐蔽性强,传播迅速,危害严重,难以防治
与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以防治等特点。
1,宏病毒隐蔽性强,由于人们忽视了在传递一个文档时也会有传播病毒的机会。
2,宏病毒传播迅速,因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话,那么这一招对Word病毒将束手元策。
3,危害严重,因为MicrosoftWord几乎已经成为全世界办公文档的事实工业标准,其影响是全球范围的,在中国也绝不例外。Word文件的交换是办公数据交流和传送的最通常的方式之一,其涉及面比盗版软件的传播要大得多,传播速度则更加有过之而元不及。据报道,70%-80%的中国计算机用户已经不再单纯使用MSDOS作为唯一的操作环境,看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基层,基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。
4,难以防治
由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法不同。一般情况下,人们大多注意可
执行文件(.COM、.EXE)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。
作用机制编辑本段回目录
Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。宏病毒与以往的计算机病毒不同,它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样,它以VB(WORDBASIC)高级语言的方式直接混杂在文件中,并加以传播,不感染程序文件,只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上,但是可以由Word解释执行操作,因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。
宏病毒作用机制
Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加
以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,WORD就启动它,除非在此之前系统已经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然,如果AutoClose宏存在,则系统在关闭一个文件时,会自动执行它。
表 Word可以识别的自动宏:
宏名 | 运行条件 |
AutoExec | 启动Word时 |
AutoNew | 每次新建文档时 |
AutoOpen | 每次打开已有文档时 |
AutoClose | 每次关闭文档时 |
AutoExit | 退出word时 |
通常,WORD宏病毒至少会包含一个以上的自动宏(如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew等),或者是一个以上的标准宏,如FileOpen、FileSaveAs等。如果某个.DOC文件感染了这类WORD宏病毒,则当WORDLX行这类自动宏时,实际上就是运行了病毒代码。由自动宏和/或标准宏构成的宏病毒,其内部都具有把带病毒的宏移植(复制)到通用宏的代码段,也就是说宏病毒通过这种方式实现对其他文件的传染。当WORD系统退出时,它会自动地把所有通用宏(当然也包括传染进来的病毒宏)保存到模板文件中(即*.DOT文件,通常为NORMAL.DOT),当WORD系统再次启动时,它又会自动地把所有通用宏(包括病毒宏)从模板中装人。如此这般,一旦WORD系统遭受感染,则以后每当系统进行初始化时,系统都会随着NORMAL.DOT的装人而成为带毒的WORD系统,继而在打开和创建任何文档时感染该文档。
一旦病毒宏侵入WORD系统,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs和FilePrint等,并
通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其他格式。含有自动宏的宏病毒染毒文档,当被其他计算机的WORD系统打开时,便会自动感染该计算机。例如,如果病毒捕获并修改了FileOpen,那么,它将感染每一个被打开的WORD文件。宏病毒主要寄生于AutoOpen、AutoClose和AutoNew3个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。
宏指令是用宏语言WORDBASIC编写的,宏语言提供了许多系统级底层功能调用,因此,宏病毒利用宏语言实现其传染、表现或破坏的目的。几乎所有已知的宏病毒都沿用了相同的作用机理,即如果WORD系统在读取一个染毒文件时遭受感染,则其后所有新创建的DOC文件都会被感染。WORD宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。如果说宏病毒还有什么局限性的话,就是这些病毒必须依赖某个可受其感染的系统,如微软的WORD或EXCEL,否则这些宏病毒便成了无水之鱼。由于WORD允许对宏本身进行加密操作,因此有许多宏病毒是经过加密处理的,不经过特殊处理是无法进行编辑或观察的,这也是很多宏病毒无法手工杀除的主要原因。
分析编辑本段回目录
宏病毒传播途径主要有:
1,软盘交流染毒文档文件;
2,硬盘染毒,处理的文档文件必将染毒;
3,光盘携带宏病毒;
4,Internet上下载染毒文档文件;
5,BBS交流染毒文档文件;
6,电子邮件的附件夹带病毒。
两支宏病毒分析
1,Nuclear宏病毒
这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload这些宏是只执行(Execute-only)宏。
Nuclear宏病毒造成的破坏现象为:
(1)打开一个染毒文档井打印的时候,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTING
INTHEPACIFIC!”,这个现象是在每分钟的55秒~60秒之间操作打印时发生。
(2)如果在每天17:00~18:00之间打开一个染毒文档,Nuclear病毒会将PH33R病毒传染到计算机上,这是个
驻留型病毒。
(3)在每年的4月5日,该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND.COM文件。一旦病毒发作,MSDOS就不可能被引导,计算机将陷入瘫痪。
2,台湾一号病毒
台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen这些宏是可被编辑宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。台湾一号病毒造成的危害是:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发。激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至Word内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。
防御编辑本段回目录
Microsoft公司的Word字处理软件因其功能强大,使用方便等诸多优点受到广大使用者的青睐,版本从2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不断升级。Word的推广使用,确实为文本处理工作带来了极大的便利,但随之而来的宏病毒也平添了不少烦脑。宏病毒困扰着用Word处理的文本,轻则文本不能正常存储,重则变成乱码,甚至磁盘被格式化,使许多普通用户谈“宏”变色。实际上,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防治。
Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序,简化一些经常重复性的操作,与DOS中的批处理文件类似。Word宏的编制技术,与其它复杂的编程技术相比,要求很低很容易编制,这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单,使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。
下面就谈在日常用Word处理文本时,如何预防和消除宏病毒。防止“病从口入”是对付所有病毒的指导思想,同样对付宏病毒的重点也应该放在对其预防上。Word宏病毒的触发条件是在启动或调用Word文档时,自动触发执行,因此,只要不打开被感染的文本,宏病毒是不会传播的。如果打开了带毒的文本,其它没打开的文本不会被感染;即使是打开了其它文本,只要不存盘,也不会感染到硬盘中的文本。Word本身不带病毒,即初次进入Word环境时没有病毒,一旦在其中打开带宏病毒的文件,病毒就会留在Word环境中,如果这时打开其它文件,这些文件就会被感染;更严重的是,关闭Word时的环境就带上了宏病毒,而这时处理的所有文档都将感染上宏病毒。
宏病毒入侵有两条路径,一是E-mail,二是软盘,其共同特点是只能通过word格式(文件后缀为dos或rtf)传播。只要不用word格式存盘,而用txt格式,宏病毒就无从存活了。因此,为了防止宏病毒通过软盘流传,在交换软盘时,可要求对方用TXT格式传交文件,或者先用Window提供的书写器(对window3.X而言),或写字板(对Window而言)打开外来的word文档,将其先转换成书器或写字板格式的文件并不保存后,再用word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的,文档经此转换,所有附带其上的宏都将丢失,当然,这样做将使该Word文档中所有的排版格式一并丢失。
如果必须保留原有的文档排版格式,可以有以下几种方式预防或判断是否有宏病毒。
1、为了防止病毒的侵入,用户在新安装了Word后,可打开一个新模板,将Word的工作环境按你的使用习惯进行设置,并将你需要使用的宏一次编制好,做完后,保存为Normal.dot。新的Normal.dot按你的需要设置并绝对没有宏病毒,将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候,用备份的Normal.dot覆盖当前的Normal.dot模块。另外,为了防止病毒蔓延,可将你新设置的Normal.dot文件的属性设置成“只读”,以后当退出Word环境时,如果出现自动修改“Normal.dot”的对话框,而你并没有录制新的宏,说明有宏病毒,此时选择“否”,以保持Word环境的干净。
2、在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒只能用“Auto×××”命名)。这样能保证用户在安全启动Word文档后,再时行必要的病毒检查。对于使用Word97版本的用户,Word97已经提供此项功能,将其激活或开即可。方法是点击“工具|选项”,然后单击“常规”,选择“宏病毒防护”,使其有效,这样,当前打开的Word文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时,如果打开的文档带有“自动宏”,并询问用户是否执行这些宏,这进选择“取消宏”进入Word并打开文档,再进一步对文档进行“宏”检查。对使用Word97以前版本的用户,需要自行编制一个名为AutoExec的。将AutoExec宏保存在一个另外命名的Word模板中,比如AE.dot,当要使用外来的Word文档时,将AE.dot模板该名为Normal.dot(备份原来的Normal.dot),宏AutoExec执行时,将关闭其它所有动执行的Word宏。如果不使用外来文档,可以将原来备份的Normal.dot模板再该名拷贝回来。
如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问,应该停下手边的其它工作,争取彻底清除宏病毒。一般可采取以下两个步骤:
1、进入“工具|宏”,查看模板Normal.dot,若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏,说明系统确实感染了宏病毒,删除这些来历不明的宏。对以Auto×××命名的,若不是用户自己命名的自动宏,则说明文明感染了宏病毒,删除它们。若是用户自己创建的自动宏,可以打开它,看是否与原来创建时的内容一样,如果存在被改变处,说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下,如果分不清那些是宏病毒,为安全起见,可删除所有来路不明的宏,甚至是用户自己创建的宏。因为即便删错了,也不会对Word文档内容产生任何影响,仅仅是少了“宏功能”。如果需要,还可以重新编制。
2、即使在“工具|宏”删除了所有的病毒宏,并不意味着你可以高枕无忧了。因为病毒原体还在文本中,只不过暂时不活动了,也许还会死灰复燃。为了彻底消除宏病毒,再时入“文件|新建”,选择“模板”,正常情况下,可以在“文件模板”处见到“Normal.dot”,如果没有,说明文档模板文件Normal.dot已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot;或你没有备份,则删掉然毒Normal.dot,重新进入Word,在“模板”里,充置默认字体等选项后退出Word,系统就会自动创建一个干净的Normal.dot。再进入Word,再打开原来的文本,并新建另一个空文档,这时新建文档是干净的;将原文件的全部内容拷贝到新文件中,关闭感染宏病毒的文本,然后再将新文本保存为原文件名存储。这样,宏病毒就感染彻底清除了,原文件也恢复了原样,可以放心大胆地编辑、修改、存储了。
虽然上述方法对大部分宏病毒可彻底清除,但是“道高一尺,魔高一丈”,有些智能点数比较高的宏病毒,会事先防范,让宏编辑功能失效,进入“工具|宏”的时候,看不到病毒的名字,因此,也就无法删除它们。对付这“狡猾”的宏病毒,可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。并注意检查出文件可能感染病毒后,首先对文件备份,然后再执行清除命令,以免意情况下杀掉病毒的同时改变原文件的内容。
以上是关于宏病毒的预防和杀除。总之,首先要保证文档环境无病毒,即Normal.dot文档模板是干净的;其次是要预防在Word里打开的文本携有病毒;最扣,发现了宏病毒后,要采取行之有效的措施,保证文档环境、文档本身恢复到无病毒状态。
后遗症编辑本段回目录
宏病毒“后遗症”的清除
以“台湾一号”为代表的专门感染WORD文档的新型病毒——宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工,或杀毒软件),依然是以一种模板形式存盘。这样就导致“另存为”命令失效,即此文件已不能转换为别的文件格式(如TXT)。其实这就是宏病毒留下的“后遗症”,应该把它清除干净。下面就谈谈如何清除这种“后遗症”。
DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档(尽管形式上其扩展名仍是DOC)。此时可按下述步骤进行处理:
1,将该文件打开。2,选择全部内容,复制到剪贴板。3,关闭此文件。4,新建一个DOC文件(此前应保证Normal模板干净)。5,粘贴剪贴板上的内容。6,另存为原文件名(将原来模板属性的文件覆盖)。
现在,该文档的“另存为”命令可以正常使用了,宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的
文档。最后想说一句,清除宏病毒时,若染毒文档太多,手工方法将非常繁琐,杀毒软件又不十分完善(存在杀不干净或误杀的问题),所以最好采用杀毒软件与手工清除相结合的方式。