当前位置: 首页 > 图文教程 > 脚本技术 > VBScript > 病毒专杀VBS模块

VBScript
用vbs清空iis log 中自己登录ip的记录
vbs sendmail发邮件带附件方法
用vbs通过135端口执行命令的脚本
用vbs实现的瞬间关闭多个系统进程的脚本
vbs 中调用shell.application 简单函数
vbs wmi获取电脑硬件信息实例
用vbscript实现隐藏任务栏图标的脚本
vbs正则表达式代码
vbs版IP地理位置查询小偷
超级厉害的VBS定时提醒脚本 Remind.vbs
vbs实现的支持拖动的txt文本切割器
VBS如何察看或获得剪切板内容的脚本
VBS备忘录启动代码
VBS脚本使用WMI操作注册表的代码
vbs xmldom初次实战获取QQ签名的代码
VBS破坏性应用代码
vbs生成ACCESS数据里所有表的字段
vbs实现的图片自适应表格,目前最佳解决方案!
ProcessMagnifier.vbs进程查看
用于提取网易文件的hta代码

VBScript 中的 病毒专杀VBS模块


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-11   浏览: 118 ::
收藏到网摘: n/a

“病毒专杀VBS模块.vbs”这个文件你可以直接执行,不会有任何破坏^^。
提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具。
非常的方便,非常的高效!
作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为!
进而给出自己的解决方案!
这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的。
因为你也可以自己写专杀,只要你学过VBS就行!
VBS代码很简单,和VB、VBSCRIPT是如出一辙的……
自然bat批处理(DOS命令)也可以写专杀,只要是编程语言大多数都是可以方便地写出专杀的。
呵~~这次你所要了解的就是如何用VBS来写专杀,我已经给出模板了,不了解的而你又真的有兴趣了解,可以到我的博客http://hi.baidu.com/ycosxhack来和我交流。

祝你好运:)。写专杀绝对是很快乐的事哦,因为你的专杀可以帮助很多朋友。
最后感谢好友小G(http://hi.baidu.com/greysign)与UMU(http://hi.baidu.com/umu618
复制代码 代码如下:

'查看更多关于此病毒专杀模板信息:http://hi.baidu.com/ycosxhack/modify/blog/36569f51dbd0cc8e8c5430d8
'-----------------病毒专杀VBS模板源码开始-----------------
on error resume next
msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack!",64,"xxx病毒专杀"
'本专杀模板有ycosxhack(余弦函数)制作,我的博客:http://hi.baidu.com/ycosxhack,欢迎讨论。
'-----------------病毒进程结束模块开始-----------------
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='rundll.exe'")
for each i in p
i.terminate
next
'-----------------病毒进程结束模块终止-----------------
'-----------------插入型dll病毒释放模块开始-----------------
set WSHShell=wscript.createobject("wscript.shell")
WSHShell.run("ps /e * hook.dll"),0,true
'请将第三方程序ps.exe与本专杀放在同一目录下
'-----------------插入型dll病毒释放模块终止-----------------
'-----------------病毒文件删除模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
d1=del.ExpandEnvironmentStrings("%temp%\rundll.exe")
d2=del.ExpandEnvironmentStrings("%SystemRoot%\rundll86.exe")
d3=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rundll86.exe")
set v1=fso.getfile(d1)
set v2=fso.getfile(d2)
set v3=fso.getfile(d3)
set v4=fso.getfile("d:\virus\virus.exe") '没涉及到环境变量的可以直接这样写。
v1.attributes=0
v2.attributes=0
v3.attributes=0
v4.attributes=0
v1.delete
v2.delete
v3.delete
v4.delete
'-----------------病毒文件删除模块终止-----------------
'-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\rundll.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
'-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------
'-----------------注册表操作模块开始-----------------
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", fso.GetSpecialFolder(1)&"\userinit.exe,","REG_SZ"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
'-----------------注册表操作模块终止-----------------
'-----------------系统文件恢复模块开始-----------------
set fso=createobject("scripting.filesystemobject")
fso.getfile("rundll32.exe").copy("c:\windows\system32\rundll32.exe")
fso.getfile("rundll32.exe").copy("C:\WINDOWS\system32\dllcache\rundll32.exe")
'-----------------系统文件修复模块终止-----------------
'-----------------HOST文件修复模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline "127.0.0.1 localhost"
re.Writeline "127.0.0.1 www.你要屏蔽的恶意网址或IP.com"
re.Close
set re=nothing
'-----------------HOST文件修复模块终止-----------------
'-----------------Autorun免疫模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
fso.createfolder(drv.driveletter&":\autorun.inf")
fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夹..\")
set fl=fso.getfolder(drv.driveletter&":\autorun.inf")
fl.attributes=3
end if
next
'-----------------Autorun免疫模块终止-----------------
'-----------------ARP病毒欺骗--客户端免疫模块开始-----------------
set WshShell=wscript.createobject("wscript.shell")
WshShell.run "arp -d",0
WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true
'-----------------ARP病毒欺骗--客户端免疫模块终止-----------------
set fso=nothing
msgbox "病毒清除成功,请重启电脑!",64,"xxx病毒专杀"
'-----------------病毒专杀VBS模板源码终止-----------------

打包文件下载