找到恶意宏

如果计算机上防病毒软件通知 Office 应用程序文件中 Visual Basic for Applications (VBA) 或 Excel 4.0 (XLM) 宏已采取防病毒软件确定为恶意的操作,则会出现此对话框。

注意: Excel 4.0 (XLM) 宏是使用旧宏语言创建的宏,它们仅在 Excel 中运行。 虽然 Excel for Microsoft 365 仍运行 XLM 宏,但建议将它们迁移到最新版本的 Microsoft Visual Basic for Applications (VBA) 。

AMSI 与 Office 集成

从 Windows 10 开始 (Windows) AMSI 扫描接口功能。 此功能允许系统上运行的应用程序将应用程序中运行的脚本或宏的行为信息传递给支持 AMSI 接口的计算机上运行的反恶意软件服务。 然后,如果操作模式在 Office 运行代码之前看起来有害,防病毒软件会通知 Office。

如果防病毒软件指示宏正在执行恶意操作,Office 将显示此内容,然后终止 Office 进程,而不运行恶意指令。

如果看到此对话框...

  1. 可能是打开的文件尝试执行与防病毒软件视为恶意的行为模式相匹配的代码。

  2. 如果觉得 Office 文件被不当报告为恶意文件,可以将该文件移动到 Office 中"受信任的位置"功能一部分的位置,将文件的当前位置添加到" 受信任位置",或对文档中的VBA宏进行数字签名。 

    注意: XLM 宏无法签名。

  3. 如果在执行步骤 2 中的一项操作后,文件仍被报告为恶意文件,则你可能设置了"恶意软件运行时扫描"功能设置来验证所有文件,而不考虑信任。 可以使用组策略配置何时启用 AMSI 扫描 (请参阅以下) 。

恶意软件运行时扫描功能的设置

默认情况下,Office 将为 Office 文件中运行的 VBA 或 XLM 宏启用恶意软件运行时扫描。

有两种例外情况:

  • 该文件从注册到 Office 应用程序的其中一个受信任位置打开。 有关详细信息,请参阅: 添加、删除或更改受信任位置

  • 该文件包含 VBA 宏,这些宏由受信任的签名提供商进行数字签名。有关详细信息,请参阅:对宏项目 进行数字签名

此行为可通过组策略设置宏运行时 扫描范围控制

如果在企业环境中,必须联系 IT 管理员才能更改此设置。  

另请参阅

防范 Microsoft 365

恶意软件如何感染你的电脑

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×