Excel K4病毒ToDOLE病毒手动杀毒教程

以下症状可能是感染了ToDOLE病毒，也叫K4病毒，MERALCO病毒。

1.Excel宏安全性无法修改

2.每次都加载一个叫K4.xls或者Meralco.xls的文件

3.宏安全性修改后再查看发现宏安全性还是信任所有宏，并且“信任对VBA工程对象模型的访问”被勾选，灰色，无法修改。

4.查杀宏病毒后，报错，Excel找不到Macro1$A$2 。每次切换工作表都报告一次。

打开的Excel，按Alt+F11，看看有没有加载“k4.xls”或者“MERALCO.xls”。如果有，那么恭喜，你的电脑中了这个Excel VBA的宏病毒，该病毒对您的电脑主要做了一下工作：

1.复制了一个自己，文件名叫k4.xls到Excel信任工作路径下，也就是每次打开Excel的时候都会执行，

2.写入注册表，修改“Excel的宏安全性”为启用所有宏，以及勾选“信任对VBA工程对象模型的访问”，并且这样通过Excel设置无法修改。

3.给每个被感染病毒后打开的Excel文件创建一个宏

4.0的宏表，判断是否禁用了宏，如果禁用了宏，不让打开这个文件，同时在每个工作表上都加了一个定义名称，并指向“Macro1"表中的单元格"A2”,目的就是触发这个宏4.0代码。

4.每天指定时间打开Outlook，把收集来的信息通过邮箱发出去

手动清理这个病毒按照以下步骤做：

1.所有关闭Excel文件。

2.搜索k4.xls以及MERALCO.XLS，删掉所有这两个文件

3.regedit打开注册表搜索AccessVBOM，把找到的AccessVBOM键和值都删掉，以及把同在一个路径下的Level也删掉。

一般在下列路径下：

"HKEY_CURRENT_USER\Software\Microsoft\Office\"Office版本号"\Excel\Security\AccessVBOM”

"HKEY_CURRENT_USER\Software\Microsoft\Office\"Office版本号"\Excel\Security\Level" "HKEY_LOCAL_MACHINE\Software\Microsoft\Office\"Office版本号"\Excel\Security\AccessVBOM"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Office\"Office版本号"\Excel\Security\Level"

64位win7下的office2013位于以下路径。

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\15.0\Excel\Security"

删掉上面Security下的所有键

4.所有被感染的文件都要删除两个文件

一个叫macro1的隐藏宏表

一个是按Alt+F11，删掉ToDOLE的模块，如果Thisworkbook也有Workbook_Open的话最好也一起清除了。

5.查杀了Macro1这个宏表后，如果这个文件已经被感染，点击任何一个

好了，按照上面的步骤做，你的Excel就清净了。

今天在帮同事处理这个宏病毒的时候匆忙写的，如有疏漏敬请见谅