【电脑帮客导读】在我们日常工作中，使用U盘或运行不明文件，难免会遇到病毒的情况，今天给大家分享一个木马病毒以及如何预防此类病毒，希望大家在使用电脑过程中有所防范，以免多年积累下的电脑数据受到损失。

最近在工作中接到客户报障说电脑里的照片、文档、压缩包文件全部变成了EXE程序，所有照片无法打开、文档打开乱码等等，可以说基本上多年积累下来的工作数据就这样损失了，真是一个毁灭性的打击啊。

一、病毒名称

resvr.exe（病毒母体）或叫水印标签系统病毒

二、病毒现象

电脑感染了此病毒的典型的特征是系统逻辑盘里的.doc、.xls、.webp、.rar格式的文件会被隐藏起来变成.exe格式的病毒文件，

被病毒母体resvr.exe感染的.doc、.xls、.webp、.rar格式的文件称作为衍生的病毒，如果一台干净的系统，只要运行一次感染病毒的文件，你的电脑里的其它文件就将被感染。

三、病毒母体resvr.exe行为分析

1、拷贝病毒母体文件resvr.exe自身到C:\Program Files\Common Files\Microsoft Shared目录下设置其属性为系统属性隐藏并运行创建C:\Program Files\Common Files\Microsoft Shared\resvr.exe进程。

2、在系统“「开始」菜单”添加程序开机启动项的快捷方式”程序\启动\水印标签系统.lnk“即将C:\Program Files\Common Files\Microsoft Shared\resvr.exe设置为开机启动项。

3.遍历系统的磁盘中的文件进行文件遍历针对.doc、.xls、.webp、.rar格式的文件进行感染或者进行加密处理。

4.绑定监听端口40118，说明0.0.0.0这个IP，它可以代表本机的所有IP地址。

5.在病毒母体resvr.exe所在的文件路径下创建X.bat文件，然后调用cmd.exe程序运行X.bat文件删除病毒文件自身。

四、如何解决此类病毒

把以下内容复制到记录本另存为批处理文件

@echo off

taskkill /im resvr.exe /f

del "C:\Program Files\Common Files\Microsoft Shared\resvr.exe"

del "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\水印标签系统.lnk"

md "C:\Program Files\Common Files\Microsoft Shared\resvr.exe\"

md "C:\Program Files\Common Files\Microsoft Shared\resvr.exe\免疫文件夹..\"

exit

运行以上批处理文件，处理成功后，运行染毒文件原来的文档就释放出来

但是、但是，有时候不一定能解决，有时候基本上无法修复文档,所以平常一定要防范病毒。

五、如何防范病毒

1、电脑安装杀毒软件

虽然现在杀毒软件都免费了，但真正能杀毒的并不多，所以我还是推荐安装微软杀毒软件，微软自家的产品最了解自家的系统

2、建议不要随意执行不明文件

现在的很多垃圾邮件或不明文件，建议不要任何打开exe之类的程序，以够感染木马类问题，虽然现在病毒已经非常少了，但还是要避免。