dersFor each f1 in sfdeinfectfiles(f1.path)'清除目录中的文件folderlist(f1.path)'递归，继续搜索子目录NextEnd Sub
终止所有script进程函数
复制代码 隐藏代码Sub stoprocessSet objWMIService = GetObject("winmgmts:")Set colScheduledJobs = objWMIService.ExecQuery("select * from win32_process where name = 'wscript.exe'")for Each processor in colScheduledJobsprocessor.terminateNextEnd Sub
运行效果

在双击执行后，病毒就结束咧
文件已经被删除

File Monitor显示script进程发出了五个DELETE请求，位置恰好与此前新建的相对应，以及恢复。这里也侧面说明此前的病毒没有删除原有文件。

此时查看文件夹也发现病毒已被删除，原有文件也恢复显示状态了

注册表的开机自启删除了，进程也结束了，弹窗自然也消失了。

【小结或讨论】

本次实验主题是VBScript脚本病毒，该种脚本在Windows上双击即可运行，兼容性相当之高
本次实验先是速成了VBScript脚本语言，掌握了其基本的语法以及文件、注册表、进程等基本操作。随后便是综合运用。
此前搭建的病毒分析实验室在此处大显身手，有效监控了此次突发病毒事件，各司其职，共同打赢了病毒防控保卫战，使VBScript的行为无处遁形，其写入文件、修改注册表、新开进程的拙劣行为最终只会搬起石头砸自己的脚。
本次的病毒较为保守，并没有对计算机的文件数据进行破坏，但该病毒可能会结合此前的keylogger病毒隐藏文件夹及后缀名的行为，潜伏性更高。
编写病毒清楚程序时，根据其所做的操作，一一进行清算，前往System目录下追剿病毒副本，在注册表中删除新建的自启动项，删除在子文件夹下创建的vbs文件，并恢复旧文件的显示属性、最后删除所有的script进程。将病毒的痕迹从计算机上抹除干净。