当前位置: 首页 > 图文教程 > 脚本技术 > VBScript > 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

VBScript
用vbs检索在运行对话框中键入的一系列命令的代码
编写可以打开文本文件并打乱在该文件中所找到的单词顺序的vbs脚本
在 HTA 中暂停脚本的方法
运行脚本之前,如何确定计算机上的默认脚本宿主的代码
用vbs实现删除名称中有撇号的文件夹
用vbs将输出内容写到屏幕以覆盖当前屏幕上的内容的方法
用vbs实现配置无人登录计算机时使用的屏幕保护程序
用vbs更改 Internet Explorer 的标题栏
用vbs读取文本文件的最后一行
用vbs实现重新启动 Internet Explorer
用vbs实现禁用服务
用vbs确定计算机是否有 USB 2.0 端口的代码
用vbs列出注册表中 Run 项中的所有项目
用vbs将名称截断以使其最多包含 16 个字符的代码
用vbs将本地文件替换为在文件服务器上找到的新版本
用vbs确定脚本正在哪一个帐户下运行
用vbs确定可移动驱动器的连接时间
用vbs记录屏幕保护程序的开始时间和结束时间
用vbs计算某个词在日志文件中的出现次数
vbs病毒的简单例子源代码解析

VBScript 中的 用vbs实现的一款Worm.Win32.VB.fw病毒专杀


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-11   浏览: 51 ::
收藏到网摘: n/a

在写了《Worm.Win32.VB.fw分析与清除方案》后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇《VBS编程打造自己的病毒专杀工具》 ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧……下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧。

复制代码 代码如下:

on error resume next
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='wininit.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set v1=fso.getfile("c:\windows\system32\systeminit.exe")
set v2=fso.getfile("c:\windows\system32\wininit.exe")
set v3=fso.getfile("c:\windows\system32\winsystem.exe")
v1.attributes=0
v2.attributes=0
v3.attributes=0
v1.delete
v2.delete
v3.delete
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\kerneldrive.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start",2,"REG_DWORD"
reg.regwrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit","C:\WINDOWS\system32\userinit.exe,"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
fso.getfile("regedit.exe").copy("c:\regedit.exe")
fso.getfile("cmd.exe").copy("c:\windows\system32\cmd.exe")
fso.getfile("taskmgr.exe").copy("c:\windows\system32\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
fso.getfile("regedit.exe").copy("C:\WINDOWS\system32\dllcache\regedit.exe")
fso.getfile("cmd.exe").copy("C:\WINDOWS\system32\dllcache\cmd.exe")
fso.getfile("taskmgr.exe").copy("C:\WINDOWS\system32\dllcache\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\system32\dllcache\msconfig.exe")

regedit.exe、cmd.exe、taskmgr.exe、msconfig.exe四个文件是正常的(你可以从其他电脑上拷贝这四个文件),将这四个文件与上面的KillVirus.vbs放在同一目录下。运行KillVirus.vbs即可!
写专杀不容易的,代码为原创……希望尊重劳动成果啊!另:VBS写出来的专杀果真不怎么样,不过效果还是挺好的(对付小病毒)。思路如此,放上来仅供参考试用。上面代码试验通过,非常的有效!完全文件请到我网盘下载:-)http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“Worm.Win32.VB.fw专杀.rar(修正)”。
补充:使用这个专杀后,重启电脑。因为有的注册表或其他设置要在重启后见到效果!不过病毒肯定没了这个时候……专杀修正