快捷導(dǎo)航

病毒專殺VBS模板更新

更新時(shí)間：2007年06月11日 00:00:00 投稿：mdxy-dxy

這篇文章主要介紹了病毒專殺VBS模板更新

自從發(fā)布了《寫了款Worm.Win32.VB.fw病毒專殺》與《病毒rundll.exe專殺發(fā)布與源碼共享》兩篇文章中的病毒專殺后，我的病毒專殺VBS模板也開始考慮完善。這次增加了“HOSTS文件恢復(fù)功能模塊”與“Autorun免疫功能模塊”。本地服務(wù)的控制模塊還在測(cè)試中……源碼還是完全公開，這樣的好處是有興趣的朋友可以繼續(xù)完善，多謝小G、UMU、看破紅塵！

07.4.30日更新如下：
1、“病毒文件刪除模塊”支持環(huán)境變量，這樣使得此專殺模板的通用性增強(qiáng)！
2、“HOSTS文件恢復(fù)模塊”支持換行寫入要屏蔽的網(wǎng)址功能，符合HOSTS文件格式標(biāo)準(zhǔn)。

07.5.13更新如下：
解決反斜杠\問(wèn)題，具體請(qǐng)看這里：病毒專殺VBS模板更新：解決反斜杠\問(wèn)題。模板編寫重心開始轉(zhuǎn)向WMI。

07.5.15更新如下：
在寫Trojan-PSW.Win32.OnlineGames.kw病毒專殺時(shí)進(jìn)行了代碼的優(yōu)化，增加數(shù)組等元素。具體請(qǐng)查看：Trojan-PSW.Win32.OnlineGames.kw專殺中的說(shuō)明。

轉(zhuǎn)載下面病毒專殺模板請(qǐng)保持模板信息的完整性，謝謝~~~

附：要學(xué)習(xí)VBS專殺的寫法可以參考我以前這篇文章《VBS編程打造自己的病毒專殺工具》，拋磚引玉罷了……多謝小G，這套模板才得以及時(shí)趨于完善，不足之處自然還很多。也希望大家的加入。眾人拾柴火焰高嘛。

'-----------------病毒專殺VBS模板源碼開始-----------------
on error resume next
msgbox "本專殺有ycosxhack提供http://hi.baidu.com/ycosxhack！",64,"xxx病毒專殺"
'本專殺模板有ycosxhack（余弦函數(shù)）制作，我的博客：http://hi.baidu.com/ycosxhack，歡迎討論。

'-----------------病毒進(jìn)程結(jié)束模塊開始-----------------
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='rundll.exe'")
for each i in p
i.terminate
next
'-----------------病毒進(jìn)程結(jié)束模塊終止-----------------

'-----------------插入型dll病毒釋放模塊開始-----------------
set WSHShell=wscript.createobject("wscript.shell")
WSHShell.run("ps /e * hook.dll"),0,true
'請(qǐng)將第三方程序ps.exe與本專殺放在同一目錄下
'-----------------插入型dll病毒釋放模塊終止-----------------

'-----------------病毒文件刪除模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
d1=del.ExpandEnvironmentStrings("%temp%\rundll.exe")
d2=del.ExpandEnvironmentStrings("%SystemRoot%\rundll86.exe")
d3=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rundll86.exe")
set v1=fso.getfile(d1)
set v2=fso.getfile(d2)
set v3=fso.getfile(d3)
set v4=fso.getfile("d:\virus\virus.exe") '沒涉及到環(huán)境變量的可以直接這樣寫。
v1.attributes=0
v2.attributes=0
v3.attributes=0
v4.attributes=0
v1.delete
v2.delete
v3.delete
v4.delete
'-----------------病毒文件刪除模塊終止-----------------

'-----------------遍歷刪除各盤符根目錄下病毒文件模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\rundll.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
'-----------------遍歷刪除各盤符根目錄下病毒文件模塊終止-----------------

'-----------------注冊(cè)表操作模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", fso.GetSpecialFolder(1)&"\userinit.exe,","REG_SZ"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
'-----------------注冊(cè)表操作模塊終止-----------------

'-----------------系統(tǒng)文件恢復(fù)模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
fso.getfile("rundll32.exe").copy("c:\windows\system32\rundll32.exe")
fso.getfile("rundll32.exe").copy("C:\WINDOWS\system32\dllcache\rundll32.exe")
'-----------------系統(tǒng)文件修復(fù)模塊終止-----------------

'-----------------HOST文件修復(fù)模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline "127.0.0.1 localhost"
re.Writeline "127.0.0.1 www.你要屏蔽的惡意網(wǎng)址或IP.com"
re.Close
set re=nothing
'-----------------HOST文件修復(fù)模塊終止-----------------

'-----------------Autorun免疫模塊開始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
fso.createfolder(drv.driveletter&":\autorun.inf")
fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夾..\")
set fl=fso.getfolder(drv.driveletter&":\autorun.inf")
fl.attributes=3
end if
next
'-----------------Autorun免疫模塊終止-----------------

'-----------------ARP病毒欺騙--客戶端免疫模塊開始-----------------
set WshShell=wscript.createobject("wscript.shell")
WshShell.run "arp -d",0
WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true
'-----------------ARP病毒欺騙--客戶端免疫模塊終止-----------------

set fso=nothing
msgbox "病毒清除成功，請(qǐng)重啟電腦！",64,"xxx病毒專殺"
'-----------------病毒專殺VBS模板源碼終止-----------------

最后附上解除Autorun免疫文件夾的bat，下面紅色部分為盤符，你可以繼續(xù)添加……

@echo off
echo 解除autorun免疫……Ycosxhack制作
pause
for %%a in (c d e f) do rd %%a:\autorun.inf\免疫文件夾..\ & attrib -h -r -s -a %%a:\autorun.inf & rd %%a:\autorun.inf
@echo 解除免疫完成！http://hi.baidu.com/ycosxhack
pause