自从发布了《写了款Worm.Win32.VB.fw病毒专杀》与《病毒rundll.exe专杀发布与源码共享》两篇文章中的病毒专杀后，我的病毒专杀VBS模板也开始考虑完善。这次增加了“HOSTS文件恢复功能模块”与“Autorun免疫功能模块”。本地服务的控制模块还在测试中……源码还是完全公开，这样的好处是有兴趣的朋友可以继续完善，多谢小G、UMU、看破红尘！

07.4.30日更新如下：

1、“病毒文件删除模块”支持环境变量，这样使得此专杀模板的通用性增强！

2、“HOSTS文件恢复模块”支持换行写入要屏蔽的网址功能，符合HOSTS文件格式标准。

07.5.04日更新如下：

1、添加“ARP病毒欺骗--客户端免疫模块”，这是对付局域网ARP欺骗的一种临时方法。

2、添加“插入型dll病毒释放模块”，调用了第三方cmd程序ps.exe。这个程序可以到我网盘下载http://ycosxhack.ys168.com/，“病毒专杀”目录，文件名为“ps.rar”，附使用说明。

3、这次将各个功能模块优化，每个功能模块可以单独使用。

4、考虑到代码的高效与简洁，在有些地方调用cmd程序；且由于加进了环境变量使代码通用性增强！

07.5.13更新如下：

解决反斜杠问题，具体请看这里：病毒专杀VBS模板更新：解决反斜杠问题。模板编写重心开始转向WMI。

07.5.15更新如下：

在写Trojan-PSW.Win32.OnlineGames.kw病毒专杀时进行了代码的优化，增加数组等元素。具体请查看：Trojan-PSW.Win32.OnlineGames.kw专杀中的说明。

转载下面病毒专杀模板请保持模板信息的完整性，谢谢~~~

附：要学习VBS专杀的写法可以参考我以前这篇文章《VBS编程打造自己的病毒专杀工具》，抛砖引玉罢了……多谢小G，这套模板才得以及时趋于完善，不足之处自然还很多。也希望大家的加入。众人拾柴火焰高嘛。

'-----------------病毒专杀VBS模板源码开始-----------------

on error resume next

msgbox "本专杀有ycosxhack提供http://hi.baidu.com/ycosxhack！",64,"xxx病毒专杀"

'本专杀模板有ycosxhack（余弦函数）制作，我的博客：http://hi.baidu.com/ycosxhack，欢迎讨论。

'-----------------病毒进程结束模块开始-----------------

set w=getobject("winmgmts:")

set p=w.execquery("select * from win32_process where name='rundll.exe'")

for each i in p

i.terminate

next

'-----------------病毒进程结束模块终止-----------------

'-----------------插入型dll病毒释放模块开始-----------------

set WSHShell=wscript.createobject("wscript.shell")

WSHShell.run("ps /e * hook.dll"),0,true

'请将第三方程序ps.exe与本专杀放在同一目录下

'-----------------插入型dll病毒释放模块终止-----------------

'-----------------病毒文件删除模块开始-----------------

set fso=createobject("scripting.filesystemobject")

set del=wscript.createobject("wscript.shell")

d1=del.ExpandEnvironmentStrings("%temp%rundll.exe")

d2=del.ExpandEnvironmentStrings("%SystemRoot%rundll86.exe")

d3=del.ExpandEnvironmentStrings("%SystemRoot%system32rundll86.exe")

set v1=fso.getfile(d1)

set v2=fso.getfile(d2)

set v3=fso.getfile(d3)

set v4=fso.getfile("d:virusvirus.exe") '没涉及到环境变量的可以直接这样写。

v1.attributes=0

v2.attributes=0

v3.attributes=0

v4.attributes=0

v1.delete

v2.delete

v3.delete

v4.delete

'-----------------病毒文件删除模块终止-----------------

'-----------------遍历删除各盘符根目录下病毒文件模块开始-----------------

set fso=createobject("scripting.filesystemobject")

set drvs=fso.drives

for each drv in drvs

if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

set w=fso.getfile(drv.driveletter&":rundll.exe")

w.attributes=0

w.delete

set u=fso.getfile(drv.driveletter&":autorun.inf")

u.attributes=0

u.delete

end if

next

'-----------------遍历删除各盘符根目录下病毒文件模块终止-----------------

'-----------------注册表操作模块开始-----------------

set fso=createobject("scripting.filesystemobject")

set reg=wscript.createobject("wscript.shell")

reg.regwrite "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit", fso.GetSpecialFolder(1)&"userinit.exe,","REG_SZ"

reg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools",0,"REG_DWORD"

reg.regdelete "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions"

'-----------------注册表操作模块终止-----------------

'-----------------系统文件恢复模块开始-----------------

set fso=createobject("scripting.filesystemobject")

fso.getfile("rundll32.exe").copy("c:windowssystem32rundll32.exe")

fso.getfile("rundll32.exe").copy("C:WINDOWSsystem32dllcacherundll32.exe")

'-----------------系统文件修复模块终止-----------------

'-----------------HOST文件修复模块开始-----------------

set fso=createobject("scripting.filesystemobject")

set re=fso.OpenTextFile("C:WINDOWSsystem32driversetchosts",2,0)

re.Writeline "127.0.0.1 localhost"

re.Writeline "127.0.0.1 www.你要屏蔽的恶意网址或IP.com"

re.Close

set re=nothing

'-----------------HOST文件修复模块终止-----------------

'-----------------Autorun免疫模块开始-----------------

set fso=createobject("scripting.filesystemobject")

set drvs=fso.drives

for each drv in drvs

if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

fso.createfolder(drv.driveletter&":autorun.inf")

fso.createfolder(drv.driveletter&":autorun.inf免疫文件夹..")

set fl=fso.getfolder(drv.driveletter&":autorun.inf")

fl.attributes=3

end if

next

'-----------------Autorun免疫模块终止-----------------

'-----------------ARP病毒欺骗--客户端免疫模块开始-----------------

set WshShell=wscript.createobject("wscript.shell")

WshShell.run "arp -d",0

WshShell.run "arp -s 202.4.139.1 00-07-ec-23-f8-0a",0,true

'-----------------ARP病毒欺骗--客户端免疫模块终止-----------------

set fso=nothing

msgbox "病毒清除成功，请重启电脑！",64,"xxx病毒专杀"

'-----------------病毒专杀VBS模板源码终止-----------------

最后附上解除Autorun免疫文件夹的bat，下面红色部分为盘符，你可以继续添加……

@echo off

echo 解除autorun免疫……Ycosxhack制作

pause

for %%a in (c d e f) do rd %%a:autorun.inf免疫文件夹.. & attrib -h -r -s -a %%a:autorun.inf & rd %%a:autorun.inf

@echo 解除免疫完成！http://hi.baidu.com/ycosxhack

pause

完整病毒专杀VBS模板可以到我网盘下载：http://ycosxhack.ys168.com/，“病毒专杀”目录，文件名为“病毒专杀VBS模板.rar”，有缺陷之处还望指出：）

【病毒专杀VBS模板更新】相关文章：

★ U盘病毒分析附bat批处理文件

★ MY123病毒清除方法，专杀工具下载

★ sxs.exe 病毒专杀工具 最近更新

★ 关于Rising病毒的查杀

★ shualai.exe病毒及手工查杀方法

★ 杀MSNS使网络瘫痪的病毒msns专杀工具下载

★ microsoft.exe病毒与清除方法

★ 解决sxs2.exe病毒bat专杀

★ sola 病毒使文件变成exe后的手工杀毒及修复方法

★ happy2008病毒专杀 happy2008病毒