用vbs实现的一款Worm.Win32.VB.fw病毒专杀

在写了《Worm.Win32.VB.fw分析与清除方案》后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇《VBS编程打造自己的病毒专杀工具》 ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧……下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧。


代码如下:

on error resume next
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='wininit.exe'") 
for each i in p
i.terminate 
next
set fso=createobject("scripting.filesystemobject")
set v1=fso.getfile("c:\windows\system32\systeminit.exe")
set v2=fso.getfile("c:\windows\system32\wininit.exe")
set v3=fso.getfile("c:\windows\system32\winsystem.exe")
v1.attributes=0
v2.attributes=0
v3.attributes=0
v1.delete
v2.delete
v3.delete
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\kerneldrive.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start",2,"REG_DWORD"
reg.regwrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit","C:\WINDOWS\system32\userinit.exe,"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit"
reg.regdelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
fso.getfile("regedit.exe").copy("c:\regedit.exe")
fso.getfile("cmd.exe").copy("c:\windows\system32\cmd.exe")
fso.getfile("taskmgr.exe").copy("c:\windows\system32\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe")
fso.getfile("regedit.exe").copy("C:\WINDOWS\system32\dllcache\regedit.exe")
fso.getfile("cmd.exe").copy("C:\WINDOWS\system32\dllcache\cmd.exe")
fso.getfile("taskmgr.exe").copy("C:\WINDOWS\system32\dllcache\taskmgr.exe")
fso.getfile("msconfig.exe").copy("C:\WINDOWS\system32\dllcache\msconfig.exe")

regedit.exe、cmd.exe、taskmgr.exe、msconfig.exe四个文件是正常的(你可以从其他电脑上拷贝这四个文件),将这四个文件与上面的KillVirus.vbs放在同一目录下。运行KillVirus.vbs即可!
写专杀不容易的,代码为原创……希望尊重劳动成果啊!另:VBS写出来的专杀果真不怎么样,不过效果还是挺好的(对付小病毒)。思路如此,放上来仅供参考试用。上面代码试验通过,非常的有效!完全文件请到我网盘下载:-)http://ycosxhack.ys168.com/,“病毒专杀”目录,文件名为“Worm.Win32.VB.fw专杀.rar(修正)”。
补充:使用这个专杀后,重启电脑。因为有的注册表或其他设置要在重启后见到效果!不过病毒肯定没了这个时候……专杀修正

(0)

相关推荐

  • 用vbs实现的一款Worm.Win32.VB.fw病毒专杀

    在写了<Worm.Win32.VB.fw分析与清除方案>后,也没想到要写什么专杀,不过这些天好多同学都说中了这只病毒,我要是一个一个去解决,非忙死我不可!感染范围挺大的!我之前写了一篇<VBS编程打造自己的病毒专杀工具> ,VBS相对来说熟悉点,所以这次就用VBS来写个专杀吧--下面代码不懂的,请参考那篇介绍如何写自己的病毒专杀的文章吧. 复制代码 代码如下: on error resume next set w=getobject("winmgmts:") s

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

  • Worm.Win32.AutoRun.bqn病毒分析解决

    一.病毒相关分析:        病毒标签:         病毒名称:Worm.Win32.AutoRun.bqn          病毒类型:蠕虫         危害级别:2         感染平台:Windows         病毒大小:21,504(字节)         SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6         加壳类型:PECompact V2.X-> Bitsum Technologies         开

  • recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

    一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标. 二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1 :b86e4197

  • 病毒专杀VBS模块

    "病毒专杀VBS模块.vbs"这个文件你可以直接执行,不会有任何破坏^^. 提供专杀模板,你就可以根据你分析出的病毒行为写出自己的病毒专杀工具. 非常的方便,非常的高效! 作为一个反病毒人士不应该仅仅能分析好病毒日志,还要知道如何分析病毒行为! 进而给出自己的解决方案! 这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的. 因为你也可以自己写专杀,只要你学过VBS就行! VBS代码很简单,和VB.VBSCRIPT是如出一辙的-- 自然bat批处理(DOS命令)也可以

  • tel.xls.vbs xls专杀工具

    1.双击运行tel.xls.vbs即可消灭Trojan.Win32.Patched.v病毒. 2.本专杀使用VBS脚本编写,执行效率高,不过缺乏智能性,我也不愿去添加那些IF判断语句来进行智能判断,这没必要.只要是我分析的病毒而写出的对于专杀都是有效的,当然病毒变异了那就没办法了,任何专杀都是这样.有变种可以与我联系http://hi.baidu.com/ycosxhack. 3.学习如何用VBS写自己的专杀工具可以查看这里: http://hi.baidu.com/ycosxhack/blog

  • 用vbs实现7y7.us木马群的专杀工具 下载

    增加屏蔽:   16a.us     www.nice8.org     更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi

  • MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决

    文件名称:devic.exe 文件大小:23304 bytes AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok 加壳方式:未知 编写语言:VC 病毒类型:IRCbot 文件MD5:45de608d74ee4fb86b20da86dcbeb55c 行为分析: 1.释放病毒副本: C:\WINDOWS\devic.exe , 23304 字节 C:\WINDOWS\img5-2007.zip , 23456 字节 2.添加注册表,开机启动: HKEY

  • Script.VBS.Agent.ai juan.vbs专杀

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden           值:Type: REG_DWORD, Length: 4, Data: 0 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL\CheckedValue           值:Type: RE

  • 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香"中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"熊

随机推荐