回复：［程序讲解］雨云病毒及其专杀的原理及实现

楼主，还在吗，求继续更新专杀原理，专杀请问您是用下面这个脚本吗，但是这个只能杀本机的，一连接局域网，又被反复感染了，我试过禁止wscript.exe运行，同时删除wscript.exe，还是会继续被感染，因为电脑连局域网互相感染，所以我有猜想是否可以反其道而行，做一个跟他类似的vbs病毒把局域网其他电脑的快捷方式和autorun.inf,，都删除了

似乎明白，病毒不是通过wscript运行，而是thumb.db原本就是病毒本体，一运行explore就会启动thumb.db吗

楼主，这要怎么搞，原谅我小白

先说关于 @小年维特 的问题 ，这是权限设置不正确。如果你是刚刚下载的，那多半是杀毒软件误报了。退出杀毒软件或添加信任都可以。

然后关于“病毒不是通过wscript运行，而是thumb.db原本就是病毒本体，一运行explore就会启动thumb.db”的说法是不正确的。VBS是脚本语言，脚本语言必须要有解释器，也就是所谓的“宿主”，负责执行程序的代码。通常情况下，VBS的默认脚本解释器就是wscript.exe（WinXP&Win7）和cscript.exe（Win10）。这个病毒只是把自己重命名为"thumb.db"和"database.mdb"来混淆视线，伪装成正常文件和系统文件，而实际上执行时仍然是依靠wscript.exe运行的。病毒执行时，只要打开任务管理器，就能看见一个wscript.exe的进程，这就是执行病毒的宿主运行时的进程。

最后有关你贴出来的图里的代码，和我的程序、代码没有任何关系。
对于如何清除一个局域网系统内的所有雨云病毒，并不在本帖的讨论范围。本帖只是分析雨云病毒本身并讨论如何通过VBS在本地机器的Windows平台上彻底清除雨云病毒。
不过对于你所说的情况，可以在封闭网络的情况下分别使用我的专杀清除每台机器的病毒，可以直接杜绝反复传染的情况。

继续太监。。。

开始更新有关专杀的内容

雨云病毒功能和代码差不多了解了，开发他的专杀就要对应着它的原理来
首先，最主要的功能，是要清除磁盘（U盘）内他创建的病毒文件。在专杀里面函数DelVirus()就是实现这个功能的主要函数。我写这个函数的基本思路是循环调用自己，遍历磁盘的每个文件夹和每个文件，根据文件名判断是否为病毒文件，然后删除它。
根据病毒源码，病毒有可能会创建的文件有：*.lnk,thumb.db,database.mdb,Microsoft Office Update for Windows XP.sys，其中database.mdb和Microsoft Office Update for Windows XP.sys是放在系统中固定的路径的，我们可以在开始查杀的时候就直接寻找删除，而其它的则是病毒根据磁盘（U盘）里原来的文件和文件夹创建的，散落在磁盘（U盘）的各个角落没有固定位置，这时我们就需要根据病毒的文件创建规则判断哪些是病毒的文件了

其次，我们要清楚恢复被修改的注册表项，清除病毒创建的注册表项。
为了实现开机自动启动，病毒丧心病狂地写了两个启动项，分别是注册表的HKCU_RUN和HKLM_RUN，文件分别指向database.mdb和Microsoft Office Update for Windows XP.sys。在专杀程序中，我们要删除这两个注册表项和文件。
病毒最恶心的注册表项就是那个“HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\”和"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\"。这个注册表目录及其下面的项在桌面上创建了一个名叫“Yuyun_Cantix”的不可删除图标。虽然没有什么实际杀伤力，但是本着为用户服务的宗旨和力求完美的原则（凑字数），也要把它删掉。
最后还有两个：病毒创建的"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools"和病毒删除的"HKCR\lnkfile\IsShortcut"，前者禁用了注册表编辑器，后者清除快捷方式文件右下角的小箭头图标，我们也要把它们恢复。

再次太监。。。。
。。。。。
。。。
。。
。

最近时间不多，更新可能不稳。。。

up

up

up