近几个月零零散散地接到中脚本病毒的用户求助，在网上输入关键字“脚本病毒”随便搜一搜，大都是三四年以前的内容并且分析的已经很透了。但为什么会又会出现在我们的视线之内呢？个人认为原因是全民黑客风潮的附属品。
随着近年来出现很多用户QQ号码，网银账户，网游帐号被盗，个人隐私泄露，电脑文件被删除等事件，看得人们早已见怪不怪。而脚本的编写基本上作为很多计算机专业学生以及黑客的必修课。
　　从截获的样本情况看，所有代码都像是教科书一般。不过传播范.围应该不广，主要在教育网和部分局域网传播。受AV终结者以及ANI蠕虫的思路影响，部分样本加入了对抗杀毒工具以及arp欺骗通过系统漏洞传播的特性，并可寄生于U盘传播。

　　此类病毒主要可见特征：
1.修改文件关联：主要是网页格式，部分样本会将*.reg和*.txt的文件关联修改到自身。导致用户在使用*.reg文件解锁文件夹选项时仍然调用病毒文件，删除vbs文件后记事本文件无法打开等。
2.修改文件夹选项：将自身设置为隐藏.或系统属性，配合文件夹选项的修改达到自我隐藏的目的。
3.自动运行：在各个盘符留下autorun文件，导致用户双击即激活。
4.文件名特典：文件名有的是获取当前登录账户的用户名，达到“随机”的目的；有的将文件名起的比较长，如：{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs"；还有的则简单到一般用户看后不知道该删除什么，如：`.vbs。
5.自我保护：病毒在进程中调用wscript.exe文件形成进程保护，发现盘符下的主文件删除后会自动生成。为了防止用户手动杀毒，病毒会关闭任务管理器，注册表工具，cmd命令提示符，mmc控制台，以及一些常见的杀毒工具，如：SReng等。
6随机启动：可能一些用户认为使用文件粉碎器将各个盘符下面的autorun.inf同.vbs文件全部粉碎即可删除病毒。但是病毒在注册表中加入了随机启动值，并在系统文件夹下留下相关病毒文件，导致病毒.现象挥之不去。
常见的注册表键值如下：
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows  /load
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /explorer
7.破坏部分：由于autorun的存在，导致用户无法格式化可移动磁盘。病毒会寻找磁盘内具有淫秽色情文件名的视频文件，并进行删除操作。（一些家长可能会觉得此举比较人性化吧）感染网页格式文件，连接远程主机下载病毒等脚本可以做到的事情。
关于主文件的处理方法分高手版和菜鸟版，高手看下面的操作流程。菜鸟下载附件中的vbs病毒通杀批处理1.0版。（由于本人能力与精力有限，所以批处理仅适合菜鸟进行强制清除。如果无法清除，请提供病毒样.本进行修正。本人对使用后造成的异常现象不负相关责任———理论上普通个人用户不会有异常。）
高手清理流程：
我们用到的工具是金山系统清理专家2.1版和SEeng（清理专家通常不会被此病毒关闭。如果无法运行的话，修改为其他可执行文件扩展名以及随机文件名即可。例如：093.com ，papa.pif，xuxu.scr等）

下载地址如下：

金山系统清理专家2.1
http://buy.duba.net/download/index.shtml#kas

SReng：
http://www.kztechs.com/sreng/download.html

安装金山系统清理专家2.1并升级到最新以后，使用『全面诊断』功能找到wscript.exe进程将其“修复选中项”。（注意：有几个wscript.exe进程便修复几个）
之后使用安全百宝箱中的『自动运行管理工具』将全部自动播放功能禁用。
最后进行恶意软件检测清除“异常的autorun.inf”，以免之后双击磁盘无法打开。

至此清理专家的任务基本完毕，当然强烈建议用户使用垃圾文件清理功能。因为其中包括清理临时目录下被感染的网页格式文件。以及系统漏洞修复功能，以便提高病毒免疫力。

接下来运行SReng找到『文件关联』全选修.复（由于之前清理专家将病毒的守护进程关闭掉了所以SReng肯定不牵涉改名问题，可直接运行)

为了能够显示隐藏文件，选择『Windows Shell/IE』全选修复。

之后修改文件夹选项中的三处，以便保证可以查看系统以及隐藏属性的文件。
最后点击『开始』—『搜索』选择搜索.范围是“我的电脑”中包含隐藏属性以及系统文件夹下的最近一段时间的*.vbs文件，全选删除即可。
（没有正确选择时间范围的话，蓝色字体显示的文件是系统文件不要删除。）

至此，脚本类病毒的主要传播源头以及加载位置已经清理完毕。建议用户升级杀毒软件，做好预防工作。
对于菜鸟用户认为上述操作步骤过于复杂的，可以使用.附件中的批处理处理。如有问题，请提供样本，以便修正。

学习了，遇到了就用这个方法，多谢！！

金山的那个清理专家好像还可以。。。最近听流行的