病毒专杀VBS模块

“病毒专杀VBS模块.vbs”这个文件你可以直接执行，不会有任何破坏^^。

提供专杀模板，你就可以根据你分析出的病毒行为写出自己的病毒专杀工具。

非常的方便，非常的高效！

作为一个反病毒人士不应该仅仅能分析好病毒日志，还要知道如何分析病毒行为！

进而给出自己的解决方案！

这个解决方案并不一定非得用到网上那些出名的小软件icesword之类的。

因为你也可以自己写专杀，只要你学过VBS就行！

VBS代码很简单，和VB、VBSCRIPT是如出一辙的……

自然bat批处理（DOS命令）也可以写专杀，只要是编程语言大多数都是可以方便地写出专杀的。

呵~~这次你所要了解的就是如何用VBS来写专杀，我已经给出模板了，不了解的而你又真的有兴趣了解，可以到我的博客http://hi.baidu.com/ycosxhack来和我交流。

祝你好运：）。写专杀绝对是很快乐的事哦，因为你的专杀可以帮助很多朋友。

最后感谢好友小G（http://hi.baidu.com/greysign）与UMU（http://hi.baidu.com/umu618）
复制代码代码如下:
"查看更多关于此病毒专杀模板信息：http://hi.baidu.com/ycosxhack/modify/blog/36569f51dbd0cc8e8c5430d8

"-----------------病毒专杀VBS模板源码开始-----------------
on error resume next
msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack！",64,"xxx病毒专杀"
"本专杀模板有ycosxhack（余弦函数）制作，我的博客：http://hi.baidu.com/ycosxhack，欢迎讨论。

"-----------------病毒进程结束模块开始-----------------
set w=getobject（"winmgmts:"）
set p=w.execquery（"select * from win32_process where name="rundll.exe""）
for each i in p
i.terminate
next
"-----------------病毒进程结束模块终止-----------------

"-----------------插入型dll病毒释放模块开始-----------------
set WSHShell=wscript.createobject（"wscript.shell"）
WSHShell.run（"ps /e * hook.dll"）,0,true
"请将第三方程序ps.exe与本专杀放在同一目录下
"-----------------插入型dll病毒释放模块终止-----------------

"-----------------病毒文件删除模块开始-----------------
set fso=createobject（"scripting.filesystemobject"）
set del=wscript.createobject（"wscript.shell"）
d1=del.ExpandEnvironmentStrings（"%temp% undll.exe"）
d2=del.ExpandEnvironmentStrings（"%SystemRoot% undll86.exe"）
d3=del.ExpandEnvironmentStrings（"%SystemRoot%system32 undll86.exe"）
set v1=fso.getfile（d1）
set v2=fso.getfile（d2）
set v3=fso.getfile（d3）
set v4=fso.getfile（"d:virusvirus.exe"） "没涉及到环境变量的可以直接这样写。
v1.attributes=0
v2.attributes=0
v3.attributes=0
v4.attributes=0
v1.delete
v2.delete
v3.delete
v4.delete
"-----------------病毒文件删除模块终止-----------------

"-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------
set fso=createobject（"scripting.filesystemobject"）
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile（drv.driveletter&": undll.exe"）
w.attributes=0
w.delete
set u=fso.getfile（drv.driveletter&":autorun.inf"）
u.attributes=0
u.delete
end if
next
"-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

"-----------------注册表操作模块开始-----------------
set reg=wscript.createobject（"wscript.shell"）
reg.regwrite "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit", fso.GetSpecialFolder（1）&"userinit.exe,","REG_SZ"
reg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools",0,"REG_DWORD"
reg.regdelete "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions"
"-----------------注册表操作模块终止-----------------

"-----------------系统文件恢复模块开始-----------------
set fso=createobject（"scripting.filesystemobject"）
fso.getfile（"rundll32.exe"）.copy（"c:windowssystem32 undll32.exe"）
fso.getfile（"rundll32.exe"）.copy（"C:WINDOWSsystem32dllcache undll32.exe"）
"-----------------系统文件修复模块终止-----------------

"-----------------HOST文件修复模块开始-----------------
set fso=createobject（"scripting.filesystemobject"）
set re=fso.OpenTextFile（"C:WINDOWSsystem32driversetchosts",2,0）
re.Writeline "127.0.0.1 localhost"
re.Writeline "127.0.0.1 www.你要屏蔽的恶意网址或IP.com"
re.Close
set re=nothing
"-----------------HOST文件修复模块终止-----------------

"-----------------Autorun免疫模块开始-----------------
set fso=createobject（"scripting.filesystemobject"）
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
fso.createfolder（drv.driveletter&":autorun.inf"）
fso.createfolder（drv.driveletter&":autorun.inf免疫文件夹.."）
set fl=fso.getfolder（drv.driveletter&":autorun.inf"）
fl.attributes=3
end if
next
"-----------------Autorun免疫模块终止-----------------

"-----------------ARP病毒欺骗--客户端免疫模块开始-----------------
set WshShell=wscript.createobject（"wscript.shell"）
WshShell.run "arp -d",0
WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true
"-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

set fso=nothing
msgbox "病毒清除成功，请重启电脑！",64,"xxx病毒专杀"
"-----------------病毒专杀VBS模板源码终止-----------------

打包文件下载