当前位置: 首页 > 图文教程 > 脚本技术 > VBScript > 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

VBScript
一个最简单的vbs类实例代码
实用vbs提醒小程序
使用vbs下载文件的代码加强版
vbs病毒制作之一复制自身的vbs脚本
用vbs实现的exe2swf工具脚本代码
vbs更改3389远程桌面端口的脚本
用vbs实现的强制杀进程的脚本
用VBS脚本实现更换Windows Xp序列号的代码
vbs实现右键菜单中添加CMD HERE
用VBS脚本删除指定以外的文件或文件夹
用VBS记录客户机操作的代码
用vbs删除某些类型文件和磁盘空间报告的脚本
两个批量挂马vbs脚本代码
关于vbs WebBrowser导航问题
LCL.VBS 病毒源代码
用vbs实现向任何电子邮件发送邮件
用VBS检测Guest状态的脚本
用vbs实现的输入助手附使用方法
vbs base64 解密脚本代码
用vbs实现修改dns的网关脚本

VBScript 中的 用vbs实现的一款Worm.Win32.VB.fw病毒专杀


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-11   浏览: 68 ::
收藏到网摘: n/a

在写了《Worm.Win32.VB.fw分析与清除方案》后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇《VBS编程打造自己的病毒专杀工具》 ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧……下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧。

复制代码 代码如下:

on error resume next
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='wininit.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set v1=fso.getfile("c:\windows\system32\systeminit.exe")
set v2=fso.getfile("c:\windows\system32\wininit.exe")
set v3=fso.getfile("c:\windows\system32\winsystem.exe")
v1.attributes=0
v2.attributes=0
v3.attributes=0
v1.delete
v2.delete
v3.delete
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\kerneldrive.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start",2,"REG_DWORD"
reg.regwrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit","C:\WINDOWS\system32\userinit.exe,"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
fso.getfile("regedit.exe").copy("c:\regedit.exe")
fso.getfile("cmd.exe").copy("c:\windows\system32\cmd.exe")
fso.getfile("taskmgr.exe").copy("c:\windows\system32\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
fso.getfile("regedit.exe").copy("C:\WINDOWS\system32\dllcache\regedit.exe")
fso.getfile("cmd.exe").copy("C:\WINDOWS\system32\dllcache\cmd.exe")
fso.getfile("taskmgr.exe").copy("C:\WINDOWS\system32\dllcache\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\system32\dllcache\msconfig.exe")

regedit.exe、cmd.exe、taskmgr.exe、msconfig.exe四个文件是正常的(你可以从其他电脑上拷贝这四个文件),将这四个文件与上面的KillVirus.vbs放在同一目录下。运行KillVirus.vbs即可!
写专杀不容易的,代码为原创……希望尊重劳动成果啊!另:VBS写出来的专杀果真不怎么样,不过效果还是挺好的(对付小病毒)。思路如此,放上来仅供参考试用。上面代码试验通过,非常的有效!完全文件请到我网盘下载:-)http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“Worm.Win32.VB.fw专杀.rar(修正)”。
补充:使用这个专杀后,重启电脑。因为有的注册表或其他设置要在重启后见到效果!不过病毒肯定没了这个时候……专杀修正