当前位置: 首页 > 图文教程 > 脚本技术 > VBScript > 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

VBScript
ActiveX漏洞通用Exploit vbs修正版
一个扩展时间段的dir命令的vbs脚本
Rcmd.vbs [Remote Cmd with wmi]远程脚本
Rcmd.vbs 1.01修正版 增加了下载功能
将VBS或ASP中的代码转成一句话形式
FileSystemObject 示例代码
灵活实用的VBS入门教程基础篇
vbs实用软件自造:Windows脚本应用实例
好玩的vbs特色代码
vbs实现的下拉框对应键入值
用vbs实现防止计算机使用 LMHosts 文件
vbs脚本大全,配有实例 DOS命令,批处理 脚本 代码
vbscript下调用 Dir 命令的方法
用vbscript实现从后到前阅读一个文本文件
用vbs实现zip功能的脚本
vbs搜索文件名或者得到目录列表
vbs shellcode转换escape加密
ADOX.Catalog中文帮助详细说明chm文档
vbs Windows系统改变或修改网卡的MAC地址的脚本与软件
IE浏览器增加“复制图像地址”的右键菜单的vbs代码

VBScript 中的 用vbs实现的一款Worm.Win32.VB.fw病毒专杀


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-11   浏览: 57 ::
收藏到网摘: n/a

在写了《Worm.Win32.VB.fw分析与清除方案》后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇《VBS编程打造自己的病毒专杀工具》 ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧……下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧。

复制代码 代码如下:

on error resume next
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='wininit.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set v1=fso.getfile("c:\windows\system32\systeminit.exe")
set v2=fso.getfile("c:\windows\system32\wininit.exe")
set v3=fso.getfile("c:\windows\system32\winsystem.exe")
v1.attributes=0
v2.attributes=0
v3.attributes=0
v1.delete
v2.delete
v3.delete
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\kerneldrive.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start",2,"REG_DWORD"
reg.regwrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit","C:\WINDOWS\system32\userinit.exe,"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
fso.getfile("regedit.exe").copy("c:\regedit.exe")
fso.getfile("cmd.exe").copy("c:\windows\system32\cmd.exe")
fso.getfile("taskmgr.exe").copy("c:\windows\system32\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
fso.getfile("regedit.exe").copy("C:\WINDOWS\system32\dllcache\regedit.exe")
fso.getfile("cmd.exe").copy("C:\WINDOWS\system32\dllcache\cmd.exe")
fso.getfile("taskmgr.exe").copy("C:\WINDOWS\system32\dllcache\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\system32\dllcache\msconfig.exe")

regedit.exe、cmd.exe、taskmgr.exe、msconfig.exe四个文件是正常的(你可以从其他电脑上拷贝这四个文件),将这四个文件与上面的KillVirus.vbs放在同一目录下。运行KillVirus.vbs即可!
写专杀不容易的,代码为原创……希望尊重劳动成果啊!另:VBS写出来的专杀果真不怎么样,不过效果还是挺好的(对付小病毒)。思路如此,放上来仅供参考试用。上面代码试验通过,非常的有效!完全文件请到我网盘下载:-)http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“Worm.Win32.VB.fw专杀.rar(修正)”。
补充:使用这个专杀后,重启电脑。因为有的注册表或其他设置要在重启后见到效果!不过病毒肯定没了这个时候……专杀修正