工具下载地址:
Wsyscheck 20080223┊进程和服务驱动的系统检测维护工具
亲!本部分内容设定了隐藏,需要回复后才能看到. 请先
注册! 再回帖! 免费下载上千GB的课程.
功能详细说明:
一、菜单—
软件设置
“简洁显示”:
会过滤掉
微软文件不显示,方便查找
病毒进程、文件和模块。
“校验微软文件签名功能”:
通不过的微软签名验证文件会显示出来。紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信。
建议在查找病毒时,打开上面两个选项,查找时比较容易。
“禁止进程与文件创建”:
针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
二、菜单-工具:
“清除临时文件”:
删除%TEMP%,%windir%Temp及%windir%Downloaded Program Files下的所有文件。
“清除Autorun.inf”:
程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
“修复隐藏文件显示及禁用硬盘自动播放”:
菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
“修复安全模式”:
某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
“构建安全环境”:
还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程,然后执行上述三个子菜单功能。
“重启计算机”:
即先开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,再选择改项,则电脑会在wsyscheck监控下重启。
三、进程管理:清除病毒木马的第一步
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
“定位文件”:
使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。
“拷贝文件路径”:
拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。
“结束这个进程”:
可以直接结束单个进程。
“结束选择的进程”:
在要结束进程的前面复选,然后同时批量结束所选进程。
"禁止这个程序运行”:
这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“禁用程序管理”,如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。
关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。
关于“卸载模块”:
对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。
四、内核检查之SSDT检查:这里显示病毒的内核驱动保护。
如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
使用“恢复所有函数”功能则同时恢复上述两种HOOK。
五、服务管理:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。
查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
“检查键值保护”:
使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。
"删除选中的服务与文件”:在删除文件的同时删除注册表加载项。
六、安全检查-常规检查:
“host查看”:
检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。
“禁用程序管理”:
目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。
“注册表键值改动检测”:
检查和修复文件关联。
七、安全检查-活动文件:
红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。
黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。
对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
注意这里的“修复所选项”: - 这个操作是删除当前选定的启动或加载项。
这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。
八、安全检查-IE 安全:
这里是ie浏览器里加载的一些插件。怀疑的就删除,不会影响系统运行。
九、安全检查-重启删除文件:
驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。
“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
附: dos删除功能:
对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。
十、文件管理:
文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。
应注意的是如果文件本身在回收站内,请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。有的病毒文件是在回收站里的。
文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的病毒文件。
十一、注册表管理:
wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。
但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能
