病毒专杀VBS模块_vbs教程-查字典教程网

摘要：“病毒专杀VBS模块.vbs”这个文件你可以直接执行，不会有任何破坏^^。提供专杀模板，你就可以根据你分析出的病毒行为写出自己的病毒专杀工具...

“病毒专杀VBS模块.vbs”这个文件你可以直接执行，不会有任何破坏^^。

提供专杀模板，你就可以根据你分析出的病毒行为写出自己的病毒专杀工具。

非常的方便，非常的高效！

作为一个反病毒人士不应该仅仅能分析好病毒日志，还要知道如何分析病毒行为！

进而给出自己的解决方案！

这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的。

因为你也可以自己写专杀，只要你学过VBS就行！

VBS代码很简单，和VB、VBSCRIPT是如出一辙的……

自然bat批处理（DOS命令）也可以写专杀，只要是编程语言大多数都是可以方便地写出专杀的。

呵~~这次你所要了解的就是如何用VBS来写专杀，我已经给出模板了，不了解的而你又真的有兴趣了解，可以到我的博客http://hi.baidu.com/ycosxhack来和我交流。

祝你好运：）。写专杀绝对是很快乐的事哦，因为你的专杀可以帮助很多朋友。

最后感谢好友小G（http://hi.baidu.com/greysign）与UMU（http://hi.baidu.com/umu618）

复制代码代码如下:

'查看更多关于此病毒专杀模板信息：http://hi.baidu.com/ycosxhack/modify/blog/36569f51dbd0cc8e8c5430d8

'-----------------病毒专杀VBS模板源码开始-----------------

onerrorresumenext

msgbox"本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack！",64,"xxx病毒专杀"

'本专杀模板有ycosxhack（余弦函数）制作，我的博客：http://hi.baidu.com/ycosxhack，欢迎讨论。

'-----------------病毒进程结束模块开始-----------------

setw=getobject("winmgmts:")

setp=w.execquery("select*fromwin32_processwherename='rundll.exe'")

foreachiinp

i.terminate

'-----------------病毒进程结束模块终止-----------------

'-----------------插入型dll病毒释放模块开始-----------------

setWSHShell=wscript.createobject("wscript.shell")

WSHShell.run("ps/e*hook.dll"),0,true

'请将第三方程序ps.exe与本专杀放在同一目录下

'-----------------插入型dll病毒释放模块终止-----------------

'-----------------病毒文件删除模块开始-----------------

setfso=createobject("scripting.filesystemobject")

setdel=wscript.createobject("wscript.shell")

d1=del.ExpandEnvironmentStrings("%temp%rundll.exe")

d2=del.ExpandEnvironmentStrings("%SystemRoot%rundll86.exe")

d3=del.ExpandEnvironmentStrings("%SystemRoot%system32rundll86.exe")

setv1=fso.getfile(d1)

setv2=fso.getfile(d2)

setv3=fso.getfile(d3)

setv4=fso.getfile("d:virusvirus.exe")'没涉及到环境变量的可以直接这样写。

v1.attributes=0

v2.attributes=0

v3.attributes=0

v4.attributes=0

v1.delete

v2.delete

v3.delete

v4.delete

'-----------------病毒文件删除模块终止-----------------

'-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------

setfso=createobject("scripting.filesystemobject")

setdrvs=fso.drives

foreachdrvindrvs

ifdrv.drivetype=1ordrv.drivetype=2ordrv.drivetype=3ordrv.drivetype=4then

setw=fso.getfile(drv.driveletter&":rundll.exe")

w.attributes=0

w.delete

setu=fso.getfile(drv.driveletter&":autorun.inf")

u.attributes=0

u.delete

endif

'-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

'-----------------注册表操作模块开始-----------------

setreg=wscript.createobject("wscript.shell")

reg.regwrite"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit",fso.GetSpecialFolder(1)&"userinit.exe,","REG_SZ"

reg.regwrite"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools",0,"REG_DWORD"

reg.regdelete"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions"

'-----------------注册表操作模块终止-----------------

'-----------------系统文件恢复模块开始-----------------

setfso=createobject("scripting.filesystemobject")

fso.getfile("rundll32.exe").copy("c:windowssystem32rundll32.exe")

fso.getfile("rundll32.exe").copy("C:WINDOWSsystem32dllcacherundll32.exe")

'-----------------系统文件修复模块终止-----------------

'-----------------HOST文件修复模块开始-----------------

setfso=createobject("scripting.filesystemobject")

setre=fso.OpenTextFile("C:WINDOWSsystem32driversetchosts",2,0)

re.Writeline"127.0.0.1localhost"

re.Writeline"127.0.0.1www.你要屏蔽的恶意网址或IP.com"

re.Close

setre=nothing

'-----------------HOST文件修复模块终止-----------------

'-----------------Autorun免疫模块开始-----------------

setfso=createobject("scripting.filesystemobject")

setdrvs=fso.drives

foreachdrvindrvs

ifdrv.drivetype=1ordrv.drivetype=2ordrv.drivetype=3ordrv.drivetype=4then

fso.createfolder(drv.driveletter&":autorun.inf")

fso.createfolder(drv.driveletter&":autorun.inf免疫文件夹..")

setfl=fso.getfolder(drv.driveletter&":autorun.inf")

fl.attributes=3

endif

'-----------------Autorun免疫模块终止-----------------

'-----------------ARP病毒欺骗--客户端免疫模块开始-----------------

setWshShell=wscript.createobject("wscript.shell")

WshShell.run"arp-d",0

WshShell.run"arp-s202.4.139.100-07-ec-23-f8-0a",0,true

'-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

setfso=nothing

msgbox"病毒清除成功，请重启电脑！",64,"xxx病毒专杀"

'-----------------病毒专杀VBS模板源码终止-----------------

打包文件下载