当前位置:首页 > VB > 病毒专杀VBScript模板更新 文章详情

    自从发布了《写了款Worm.Win32.VB.fw病毒专杀》与《病毒rundll.exe专杀发布与源码共享》两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善。这次增加了“HOSTS文件恢复功能模块”与“Autorun免疫功能模块”。本地服务的控制模块还在测试中……源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小GUMU看破红尘

    07.4.30日更新如下:
    1、“病毒文件删除模块”支持环境变量,这样使得此专杀模板的通用性增强!
    2、“HOSTS文件恢复模块”支持换行写入要屏蔽的网址功能,符合HOSTS文件格式标准。

    07.5.04日更新如下:
    1、添加“ARP病毒欺骗--客户端免疫模块”,这是对付局域网ARP欺骗的一种临时方法。
    2、添加“插入型dll病毒释放模块”,调用了第三方cmd程序ps.exe。这个程序可以到我网盘下载    http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“ps.rar”,附使用说明。
    3、这次将各个功能模块优化,每个功能模块可以单独使用。
    4、考虑到代码的高效与简洁,在有些地方调用cmd程序;且由于加进了环境变量使代码通用性增强!

    07.5.13更新如下:
    解决反斜杠\问题,具体请看这里:病毒专杀VBS模板更新:解决反斜杠\问题。模板编写重心开始转向WMI。

    07.5.15更新如下:
    在写Trojan-PSW.Win32.OnlineGames.kw病毒专杀时进行了代码的优化,增加数组等元素。具体请查看:Trojan-PSW.Win32.OnlineGames.kw专杀中的说明。

    转载下面病毒专杀模板请保持模板信息的完整性,谢谢~~~

    附:要学习VBS专杀的写法可以参考我以前这篇文章《VBS编程打造自己的病毒专杀工具》,抛砖引玉罢了……多谢小G,这套模板才得以及时趋于完善,不足之处自然还很多。也希望大家的加入。众人拾柴火焰高嘛。

    '-----------------病毒专杀VBS模板源码开始-----------------
    on error resume next
    msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack!",64,"xxx病毒专杀"
    '本专杀模板有ycosxhack(余弦函数)制作,我的博客:http://hi.baidu.com/ycosxhack,欢迎讨论。

    '-----------------病毒进程结束模块开始-----------------
    set w=getobject("winmgmts:")
    set p=w.execquery("select * from win32_process where name='rundll.exe'")
    for each i in p
    i.terminate
    next
    '-----------------病毒进程结束模块终止-----------------

    '-----------------插入型dll病毒释放模块开始-----------------
    set WSHShell=wscript.createobject("wscript.shell")
    WSHShell.run("ps /e * hook.dll"),0,true
    '请将第三方程序ps.exe与本专杀放在同一目录下
    '-----------------插入型dll病毒释放模块终止-----------------

    '-----------------病毒文件删除模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    set del=wscript.createobject("wscript.shell")
    d1=del.ExpandEnvironmentStrings("%temp%\rundll.exe")
    d2=del.ExpandEnvironmentStrings("%SystemRoot%\rundll86.exe")
    d3=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rundll86.exe")
    set v1=fso.getfile(d1)
    set v2=fso.getfile(d2)
    set v3=fso.getfile(d3)
    set v4=fso.getfile("d:\virus\virus.exe") '没涉及到环境变量的可以直接这样写。
    v1.attributes=0
    v2.attributes=0
    v3.attributes=0
    v4.attributes=0
    v1.delete
    v2.delete
    v3.delete
    v4.delete
    '-----------------病毒文件删除模块终止-----------------

    '-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    set drvs=fso.drives
    for each drv in drvs
    if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
    set w=fso.getfile(drv.driveletter&":\rundll.exe")
    w.attributes=0
    w.delete
    set u=fso.getfile(drv.driveletter&":\autorun.inf")
    u.attributes=0
    u.delete
    end if
    next
    '-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

    '-----------------注册表操作模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    set reg=wscript.createobject("wscript.shell")
    reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", fso.GetSpecialFolder(1)&"\userinit.exe,","REG_SZ"
    reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
    reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
    '-----------------注册表操作模块终止-----------------

    '-----------------系统文件恢复模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    fso.getfile("rundll32.exe").copy("c:\windows\system32\rundll32.exe")
    fso.getfile("rundll32.exe").copy("C:\WINDOWS\system32\dllcache\rundll32.exe")
    '-----------------系统文件修复模块终止-----------------

    '-----------------HOST文件修复模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
    re.Writeline "127.0.0.1                 localhost"
    re.Writeline "127.0.0.1                 www.你要屏蔽的恶意网址或IP.com"
    re.Close
    set re=nothing
    '-----------------HOST文件修复模块终止-----------------

    '-----------------Autorun免疫模块开始-----------------
    set fso=createobject("scripting.filesystemobject")
    set drvs=fso.drives
    for each drv in drvs
    if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
    fso.createfolder(drv.driveletter&":\autorun.inf")
    fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夹..\")
    set fl=fso.getfolder(drv.driveletter&":\autorun.inf")
    fl.attributes=3
    end if
    next
    '-----------------Autorun免疫模块终止-----------------

    '-----------------ARP病毒欺骗--客户端免疫模块开始-----------------
    set WshShell=wscript.createobject("wscript.shell")
    WshShell.run "arp -d",0
    WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true
    '-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

    set fso=nothing
    msgbox "病毒清除成功,请重启电脑!",64,"xxx病毒专杀"
    '-----------------病毒专杀VBS模板源码终止-----------------

    最后附上解除Autorun免疫文件夹的bat,下面红色部分为盘符,你可以继续添加……

    @echo off
    echo 解除autorun免疫……Ycosxhack制作
    pause
    for %%a in (c d e f) do rd %%a:\autorun.inf\免疫文件夹..\ & attrib -h -r -s -a %%a:\autorun.inf & rd %%a:\autorun.inf
    @echo 解除免疫完成!    http://hi.baidu.com/ycosxhack
    pause

    完整病毒专杀VBS模板可以到我网盘下载:http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“病毒专杀VBS模板.rar”,有缺陷之处还望指出:)

    以上就是【病毒专杀VBScript模板更新】的全部内容了,欢迎留言评论进行交流!

    赞(0) 踩(0)
    发表我的评论

    最新评论

    1. 暂无评论