Script.VBS.Agent.ai juan.vbs专杀

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
          值:Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

SHOWALL\CheckedValue
          值:Type: REG_DWORD, Length: 4, Data: 0

其它方面:

每隔一段时间自动复制副本到c:\WINDOWS\%username%.vbs、c:\WINDOWS\system32\%username%.vbs,并对对注册表作出上面的修改;

整个vbs文件分为好几个模块,在感染的时候会打乱并重新组合这些模块,而模块的名称也会改变;

如果感染的文件超过2000个,则会弹窗对话框:"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !"

监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ,发现后就结束之;

c:\WINDOWS\system32\%GetUserName%.ini里面记录了一些数据,包括感染日期,用于日后作出对照。

结语:

对vbs的了解只能让我分析到这里了,其它的有待vbs达人(某U出来看看啦)分析;

另外不知这个东西会不会被卡巴命名为 Virus.VBS.KillAV.a 呢,哈哈![:14:]

(0)

相关推荐

  • Script.VBS.Agent.ai juan.vbs专杀

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden           值:Type: REG_DWORD, Length: 4, Data: 0 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL\CheckedValue           值:Type: RE

  • tel.xls.vbs xls专杀工具

    1.双击运行tel.xls.vbs即可消灭Trojan.Win32.Patched.v病毒. 2.本专杀使用VBS脚本编写,执行效率高,不过缺乏智能性,我也不愿去添加那些IF判断语句来进行智能判断,这没必要.只要是我分析的病毒而写出的对于专杀都是有效的,当然病毒变异了那就没办法了,任何专杀都是这样.有变种可以与我联系http://hi.baidu.com/ycosxhack. 3.学习如何用VBS写自己的专杀工具可以查看这里: http://hi.baidu.com/ycosxhack/blog

  • 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

    在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇<VBS编程打造自己的病毒专杀工具> ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧--下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧. 复制代码 代码如下: on error resume next set w=getobject("winmgmts:") s

  • 病毒专杀VBS模块

    "病毒专杀VBS模块.vbs"这个文件你可以直接执行,不会有任何破坏^^. 提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具. 非常的方便,非常的高效! 作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为! 进而给出自己的解决方案! 这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的. 因为你也可以自己写专杀,只要你学过VBS就行! VBS代码很简单,和VB.VBSCRIPT是如出一辙的-- 自然bat批处理(DOS命令)也可以

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

  • 用vbs实现7y7.us木马群的专杀工具 下载

    增加屏蔽:   16a.us     www.nice8.org     更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi

  • Trojan.DL.VBS.Agent.cpb(k[1].js)脚本病毒的解决方法

    脚本病毒:Trojan.DL.VBS.Agent.cpb (文件名为k[1].js)老是在internet临时文件里出现,瑞星监控杀了又来,如此反复着!我试图清空临时文件,但一上网打开网页(不管是哪些网页),那个k[1].js又会被瑞星监控到.这是怎么回事呀?是误报吗? 该网页利用MS06-014漏洞,下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll,并直接写入注册表 Code: HKLM\SOFTWARE\Classes\CLSID\{6B

  • Autorun随机7位字母命名的病毒专杀工具

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit

  • 解决http://16a.us/2.js之arp欺骗的方法附专杀工具

    公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可

  • 情人节病毒介绍与专杀方案大全第1/2页

    典型"情人节"病毒的介绍 1.情人节(vbs.Valentin)病毒  情人节(vbs.Valentin)病毒是一个会写情书的病毒.它会将自身用脚本加密引擎加密后插入到HTML文件中,病毒运行时会产生一个名为Main.htm的病毒文件,并拷贝到系统目录中.并搜索outlook的地址薄中的所有邮件地址,向这些地址发送标题为:Feliz san valentin,内容为:Feliz san valentin. Por favor visita...的病毒邮件.该病毒还会通过网络聊天工具mI

随机推荐