病毒专杀VBS模块

''查看更多关于此病毒专杀模板信息：http://hi.baidu.com/ycosxhack/modify/blog/36569f51dbd0cc8e8c5430d8

''-----------------病毒专杀VBS模板源码开始-----------------
onerrorresumenext
msgbox"本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack！",64,"xxx病毒专杀"
''本专杀模板有ycosxhack（余弦函数）制作，我的博客：http://hi.baidu.com/ycosxhack，欢迎讨论。

''-----------------病毒进程结束模块开始-----------------
setw=getobject("winmgmts:")
setp=w.execquery("select*fromwin32_processwherename=''rundll.exe''")
foreachiinp
i.terminate
next
''-----------------病毒进程结束模块终止-----------------

''-----------------插入型dll病毒释放模块开始-----------------
setWSHShell=wscript.createobject("wscript.shell")
WSHShell.run("ps/e*hook.dll"),0,true
''请将第三方程序ps.exe与本专杀放在同一目录下
''-----------------插入型dll病毒释放模块终止-----------------

''-----------------病毒文件删除模块开始-----------------
setfso=createobject("scripting.filesystemobject")
setdel=wscript.createobject("wscript.shell")
d1=del.ExpandEnvironmentStrings("%temp%\rundll.exe")
d2=del.ExpandEnvironmentStrings("%SystemRoot%\rundll86.exe")
d3=del.ExpandEnvironmentStrings("%SystemRoot%\system32\rundll86.exe")
setv1=fso.getfile(d1)
setv2=fso.getfile(d2)
setv3=fso.getfile(d3)
setv4=fso.getfile("d:\virus\virus.exe")''没涉及到环境变量的可以直接这样写。
v1.attributes=0
v2.attributes=0
v3.attributes=0
v4.attributes=0
v1.delete
v2.delete
v3.delete
v4.delete
''-----------------病毒文件删除模块终止-----------------

''-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------
setfso=createobject("scripting.filesystemobject")
setdrvs=fso.drives
foreachdrvindrvs
ifdrv.drivetype=1ordrv.drivetype=2ordrv.drivetype=3ordrv.drivetype=4then
setw=fso.getfile(drv.driveletter&":\rundll.exe")
w.attributes=0
w.delete
setu=fso.getfile(drv.driveletter&":\autorun.inf")
u.attributes=0
u.delete
endif
next
''-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

''-----------------注册表操作模块开始-----------------
setreg=wscript.createobject("wscript.shell")
reg.regwrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit",fso.GetSpecialFolder(1)&"\userinit.exe,","REG_SZ"
reg.regwrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"
reg.regdelete"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
''-----------------注册表操作模块终止-----------------

''-----------------系统文件恢复模块开始-----------------
setfso=createobject("scripting.filesystemobject")
fso.getfile("rundll32.exe").copy("c:\windows\system32\rundll32.exe")
fso.getfile("rundll32.exe").copy("C:\WINDOWS\system32\dllcache\rundll32.exe")
''-----------------系统文件修复模块终止-----------------

''-----------------HOST文件修复模块开始-----------------
setfso=createobject("scripting.filesystemobject")
setre=fso.OpenTextFile("C:\WINDOWS\system32\drivers\etc\hosts",2,0)
re.Writeline"127.0.0.1localhost"
re.Writeline"127.0.0.1www.你要屏蔽的恶意网址或IP.com"
re.Close
setre=nothing
''-----------------HOST文件修复模块终止-----------------

''-----------------Autorun免疫模块开始-----------------
setfso=createobject("scripting.filesystemobject")
setdrvs=fso.drives
foreachdrvindrvs
ifdrv.drivetype=1ordrv.drivetype=2ordrv.drivetype=3ordrv.drivetype=4then
fso.createfolder(drv.driveletter&":\autorun.inf")
fso.createfolder(drv.driveletter&":\autorun.inf\免疫文件夹..\")
setfl=fso.getfolder(drv.driveletter&":\autorun.inf")
fl.attributes=3
endif
next
''-----------------Autorun免疫模块终止-----------------

''-----------------ARP病毒欺骗--客户端免疫模块开始-----------------
setWshShell=wscript.createobject("wscript.shell")
WshShell.run"arp-d",0
WshShell.run"arp-s202.4.139.100-07-ec-23-f8-0a",0,true
''-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

setfso=nothing
msgbox"病毒清除成功，请重启电脑！",64,"xxx病毒专杀"
''-----------------病毒专杀VBS模板源码终止-----------------