当前位置: 首页 > 图文教程 > 脚本技术 > VBScript > tel.xls.vbs xls专杀工具

VBScript
vbs在网页中显示服务
vbs得没公开对象
unpack.vbs
使用批处理文件异地备份数据库(最近几天的数据)
VBScript 中的字节数据操作函数
切换dos并dir的vbs
杀毒的对vbs相当敏感 免杀
多进程的vbs脚本
Windows管理脚本学习
15分钟提醒一次,珍惜时间啊
从一个VBS脚本学习一点点东西
exe2swf 工具(Adodb.Stream版)
使用脚本自动修改ip设置
深入挖掘Windows脚本技术
用VBSCRIPT控制ONSUBMIT事件
VBS中Select CASE的其它用法
vbscript 可以按引用传递参数吗?
下载文件到本地运行的vbs
飘叶千夫指源代码,又称qq刷屏器
SendKeys参考文档

VBScript 中的 tel.xls.vbs xls专杀工具


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-11   浏览: 42 ::
收藏到网摘: n/a

1、双击运行tel.xls.vbs即可消灭Trojan.Win32.Patched.v病毒。
2、本专杀使用VBS脚本编写,执行效率高,不过缺乏智能性,我也不愿去添加那些IF判断语句来进行智能判断,这没必要。只要是我分析的病毒而写出的对于专杀都是有效的,当然病毒变异了那就没办法了,任何专杀都是这样。有变种可以与我联系http://hi.baidu.com/ycosxhack。
3、学习如何用VBS写自己的专杀工具可以查看这里:
http://hi.baidu.com/ycosxhack/blog/item/36569f51dbd0cc8e8c5430d8.html
BY 余弦函数 2007.6.1 有不足之处还望指出:)
复制代码 代码如下:

on error resume next
msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack!",64,"tel.xls.exe病毒专杀"
'本专杀模板有ycosxhack(余弦函数)制作,我的博客:http://hi.baidu.com/ycosxhack,欢迎讨论。
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='algsrv.exe' or name='SocksA.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
dim d(5)
dim v(5)
d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")
d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")
d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")
d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")
d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")
for i=0 to 1
set v(i)=fso.getfile(d(i))
v(i).attributes=0
v(i).delete
next
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\tel.xls.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"
'-----------------Autorun病毒免疫模块-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
fso.createfolder(drv.driveletter&":\autorun.inf")
fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夹..\")
set fl=fso.getfolder(drv.driveletter&":\autorun.inf")
fl.attributes=3
end if
next
'-----------------Autorun病毒免疫模块-----------------
set fso=nothing
msgbox "病毒清除成功,请重启电脑!",64,"xxx病毒专杀"

打包文件下载