病毒专杀VBS模板更新

自从发布了《写了款Worm.Win32.VB.fw病毒专杀》与《病毒rundll.exe专杀发布与源码共享》两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善。这次增加了“HOSTS文件恢复功能模块”与“Autorun免疫功能模块”。本地服务的控制模块还在测试中……源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小GUMU看破红尘

07.4.30日更新如下:
1、“病毒文件删除模块”支持环境变量,这样使得此专杀模板的通用性增强!
2、“HOSTS文件恢复模块”支持换行写入要屏蔽的网址功能,符合HOSTS文件格式标准。

07.5.04日更新如下:
1、添加“ARP病毒欺骗--客户端免疫模块”,这是对付局域网ARP欺骗的一种临时方法。
2、添加“插入型dll病毒释放模块”,调用了第三方cmd程序ps.exe。这个程序可以到我网盘下载http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“ps.rar”,附使用说明。
3、这次将各个功能模块优化,每个功能模块可以单独使用。
4、考虑到代码的高效与简洁,在有些地方调用cmd程序;且由于加进了环境变量使代码通用性增强!

07.5.13更新如下:
解决反斜杠\问题,具体请看这里:病毒专杀VBS模板更新:解决反斜杠\问题。模板编写重心开始转向WMI。

07.5.15更新如下:
在写Trojan-PSW.Win32.OnlineGames.kw病毒专杀时进行了代码的优化,增加数组等元素。具体请查看:Trojan-PSW.Win32.OnlineGames.kw专杀中的说明。

转载下面病毒专杀模板请保持模板信息的完整性,谢谢~~~

附:要学习VBS专杀的写法可以参考我以前这篇文章《VBS编程打造自己的病毒专杀工具》,抛砖引玉罢了……多谢小G,这套模板才得以及时趋于完善,不足之处自然还很多。也希望大家的加入。众人拾柴火焰高嘛。

'-----------------病毒专杀VBS模板源码开始-----------------
on error resume next
msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack!",64,"xxx病毒专杀"
'本专杀模板有ycosxhack(余弦函数)制作,我的博客:http://hi.baidu.com/ycosxhack,欢迎讨论。

'-----------------病毒进程结束模块开始-----------------
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='rundll.exe'")
for each i in p
i.terminate
next
'-----------------病毒进程结束模块终止-----------------

'-----------------插入型dll病毒释放模块开始-----------------
set WSHShell=wscript.createobject("wscript.shell")
WSHShell.run("ps /e * hook.dll"),0,true
'请将第三方程序ps.exe与本专杀放在同一目录下
'-----------------插入型dll病毒释放模块终止-----------------

'-----------------病毒文件删除模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
d1=del.ExpandEnvironmentStrings("%temp%\rundll.exe")
d2=del.ExpandEnvironmentStrings("%SystemRoot%\rundll86.exe")
d3=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rundll86.exe")
set v1=fso.getfile(d1)
set v2=fso.getfile(d2)
set v3=fso.getfile(d3)
set v4=fso.getfile("d:\virus\virus.exe") '没涉及到环境变量的可以直接这样写。
v1.attributes=0
v2.attributes=0
v3.attributes=0
v4.attributes=0
v1.delete
v2.delete
v3.delete
v4.delete
'-----------------病毒文件删除模块终止-----------------

'-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\rundll.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
'-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

'-----------------注册表操作模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", fso.GetSpecialFolder(1)&"\userinit.exe,","REG_SZ"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
'-----------------注册表操作模块终止-----------------

'-----------------系统文件恢复模块开始-----------------
set fso=createobject("scripting.filesystemobject")
fso.getfile("rundll32.exe").copy("c:\windows\system32\rundll32.exe")
fso.getfile("rundll32.exe").copy("C:\WINDOWS\system32\dllcache\rundll32.exe")
'-----------------系统文件修复模块终止-----------------

'-----------------HOST文件修复模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set re=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline "127.0.0.1                 localhost"
re.Writeline "127.0.0.1                 www.你要屏蔽的恶意网址或IP.com"
re.Close
set re=nothing
'-----------------HOST文件修复模块终止-----------------

'-----------------Autorun免疫模块开始-----------------
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
fso.createfolder(drv.driveletter&":\autorun.inf")
fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夹..\")
set fl=fso.getfolder(drv.driveletter&":\autorun.inf")
fl.attributes=3
end if
next
'-----------------Autorun免疫模块终止-----------------

'-----------------ARP病毒欺骗--客户端免疫模块开始-----------------
set WshShell=wscript.createobject("wscript.shell")
WshShell.run "arp -d",0
WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true
'-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

set fso=nothing
msgbox "病毒清除成功,请重启电脑!",64,"xxx病毒专杀"
'-----------------病毒专杀VBS模板源码终止-----------------

最后附上解除Autorun免疫文件夹的bat,下面红色部分为盘符,你可以继续添加……

@echo off
echo 解除autorun免疫……Ycosxhack制作
pause
for %%a in (c d e f) do rd %%a:\autorun.inf\免疫文件夹..\ & attrib -h -r -s -a %%a:\autorun.inf & rd %%a:\autorun.inf
@echo 解除免疫完成!http://hi.baidu.com/ycosxhack
pause

完整病毒专杀VBS模板可以到我网盘下载:http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“病毒专杀VBS模板.rar”,有缺陷之处还望指出:)

(0)

相关推荐

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

  • 病毒专杀VBS模块

    "病毒专杀VBS模块.vbs"这个文件你可以直接执行,不会有任何破坏^^. 提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具. 非常的方便,非常的高效! 作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为! 进而给出自己的解决方案! 这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的. 因为你也可以自己写专杀,只要你学过VBS就行! VBS代码很简单,和VB.VBSCRIPT是如出一辙的-- 自然bat批处理(DOS命令)也可以

  • sxs.exe 病毒专杀工具 最近更新

    关于sxs.exe 病毒查杀文章请看下面的链接 http://www.jztop.com/net/bdzq/du/20060813/26006.html 杀毒前请先断开网络连接,运行专杀工具完以后重启电脑 下载地址: 下载sxs.exe病毒专杀工具 *************************************** 前些天电脑中了"sxs.exe病毒",后来整理了一篇"sxs.exe病毒手动删除方法",没想到短短几天时间,通过搜索找过来的朋友就突破800

  • 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

    在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇<VBS编程打造自己的病毒专杀工具> ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧--下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧. 复制代码 代码如下: on error resume next set w=getobject("winmgmts:") s

  • 5月一更新的Auto病毒专杀工具 V2.0 _简体中文绿色免费版

    Auto病毒专杀是一款专门用于预防及查杀Auto病毒.U盘病毒.闪盘病毒的工具.     除了可以30秒闪电查杀RavMone. Rose.Sxs.Fun.xls等几十种通过U盘传播的病毒,还可以对系统实行主动防御,自动检测清除插入U盘内的病毒,从根本上杜绝病毒通过U盘感染电脑,解决你的后顾之忧.免疫功能让病毒永远也无法进入你的U盘:解锁功能解除U盘锁定状态,解决无法安全删除设备问题:修复功能修复无法显示隐藏文件.双击无法打开硬盘.清除右键Auto字样.修复无法打开杀毒软件.    最新更新:

  • 4月4日更新的最新Auto病毒专杀软件 V2.0b3 下载

    Auto病毒专杀不仅可以查杀RavMone. Rose.熊猫烧香等已知以及未知通过U盘传播的病毒,更重要的是可以对系统实行主动防御,自动检测清除插入U盘内的病毒,使你的系统对Autorun类病毒完全免疫.此外Auto病毒专杀还可以解除U盘锁定状态,解决拔出时无法安全删除设备.双击无法打开磁盘等问题!Auto病毒专杀为U盘问题提供了专业.完整的解决方案.本地下载

  • Auto病毒专杀 V2.0b5_简体中文绿色免费版 提供下载

    Auto病毒专杀是一款专门用于预防及查杀Auto病毒.U盘病毒.闪盘病毒的工具.     除了可以30秒闪电查杀RavMone. Rose.Sxs.Fun.xls等几十种通过U盘传播的病毒,还可以对系统实行主动防御,自动检测清除插入U盘内的病毒,从根本上杜绝病毒通过U盘感染电脑,解决你的后顾之忧.免疫功能让病毒永远也无法进入你的U盘:解锁功能解除U盘锁定状态,解决无法安全删除设备问题:修复功能修复无法显示隐藏文件.双击无法打开硬盘.清除右键Auto字样.修复无法打开杀毒软件.    最新更新:

  • Autorun随机7位字母命名的病毒专杀工具

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit

  • 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香"中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"熊

  • 威金logo1.exe病毒专杀工具 下载

    病毒专杀-威金logo1.exe 病毒专杀工具包+威金logo1.exe 补丁 病毒专杀-威金logo 1.exe 病毒专杀工具包+威金logo 1.exe 补丁 集合了5个杀毒公司(瑞星,金山)的产品. 和.bat批量删除威金logo 1.exe 病毒的生成文件. 威金logo 1.exe 病毒的补丁. 用了觉得好的话,请多来本站发表评论和留言. 点击下载此文件

随机推荐