wsyscheck(系統(tǒng)檢測維護工具) V1.68.33 綠色版

　　wsyscheck中文版是地款系統(tǒng)安全檢測軟件。wsyscheck中文版能夠手動清理病毒木馬，其目的是簡化病毒木馬的識別與清理工作。

　　一般來說，對病毒體的判斷主要可以采用查看路徑，查看文件名，查看文件創(chuàng)建日期，查看文件廠商，微軟文件校驗，查看啟動項等方法，syschck在這些方面均盡量簡化操作，提供相關(guān)的數(shù)據(jù)供您分析。最終判斷并清理木馬取決際您個人的分析及對Wsyscheck基本功能的熟悉程度。

功能介紹

　　1、軟件設(shè)置中的模塊、服務(wù)簡潔顯示

　　簡潔顯示會過濾所微軟文件，但在使用了“校驗微軟文件簽名”功能后，通不過的微軟文件也會顯示出來。

　　SSDt右鍵“全部顯示”是默認動作，當取消這個選項后，則僅顯示SSDT表中已更改的項目。

　　2、關(guān)于Wsyscheck的顏色顯示

　　進程頁：

　　紅色表示非微軟進程，紫紅色表示雖然進程是微軟進程，但其模塊中有非微軟的文件。

　　服務(wù)頁：

　　紅色表示該服務(wù)不是微軟服務(wù)，且該服務(wù)非.sys驅(qū)動。（最常見的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

　　右鍵使用“檢查鍵值”后，藍色顯示的是有鍵值保護的隨系統(tǒng)啟動的驅(qū)動程序。它們有可能是殺軟的自我保護，也有可能是木馬的鍵值保護。

　　在取消了“模塊、服務(wù)簡潔顯示”后，查看第三方服務(wù)可以點擊標題條”文件廠商”排序，結(jié)合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

　　進程頁中查看模塊與服務(wù)頁中查看服務(wù)描述可以使用鍵盤的上下鍵控制。

　　在使用“軟件設(shè)置”-“校驗微軟文件簽名”后，紫紅色顯示未通過微軟簽名的文件。同時，在各顯示欄的“微軟文件校驗”會顯示Pass與no pass。（可以據(jù)此參考是否是假冒微軟文件，注意的是如果紫紅色顯示過多，可能是你的系統(tǒng)是網(wǎng)上常見的Ghost精簡版，這些版本可能精簡掉了微軟簽名數(shù)據(jù)庫所以結(jié)果并不可信）

　　SSDT管理頁：

　　默認顯示全部的SSDT表，紅色表示內(nèi)核被HOOK的函數(shù)。查看第三方模塊，可以點擊兩次標簽“映像路徑”排序，則第三方HOOK的模塊會排在一起列在最前面。也可以取消“全部顯示”，則僅顯示入口改變了的函數(shù)。

　　SSDT頁的“代碼異常”欄如顯示“YES”，表明該函數(shù)被Inline Hook。如果一個函數(shù)同時存在代碼HOOK與地址HOOK，則對應(yīng)的模塊路徑顯示的是Inline Hook的路徑，而使用“恢復(fù)當前函數(shù)代碼”功能只恢復(fù)Inline Hook，路徑將顯示為地址HOOK的模塊路徑，再使用“恢復(fù)當前函數(shù)地址”功能就恢復(fù)到默認的函數(shù)了。

　　使用“恢復(fù)所有函數(shù)”功能則同時恢復(fù)上述兩種HOOK。

　　發(fā)現(xiàn)木馬修改了SSDT表時請先恢復(fù)SSDT，再作注冊表刪除等操作。

　　活動文件頁：

　　紅色顯示的常規(guī)啟動項的內(nèi)容。

　　3、關(guān)于Wsyscheck啟動后狀態(tài)欄的提示“警告！程序驅(qū)動未加載成功，一些功能無法完成。”

　　多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動的方法來完成對系統(tǒng)的修復(fù)。

　　驅(qū)動加載成功的情況下，對于木馬文件可以直接使用Wsyscheck中各頁中的刪除文件功能，本功能帶有“直接刪除”運行中的文件的功能。

　　4、關(guān)于卸載模塊

　　對HOOK了系統(tǒng)關(guān)鍵進程的模塊卸載可能導(dǎo)致系統(tǒng)重啟，這與該模塊的寫法有關(guān)系，所以卸載不了的模塊不要強求卸載，可以先刪除該模塊的啟動項或文件（驅(qū)動加載情況下使用刪除后重啟文件即消失）。

　　5、關(guān)于文件刪除

　　驅(qū)動加載的情況下，Wsyscheck的刪除功能已經(jīng)夠用了，大多數(shù)文件都可以立即刪除（進程模塊可以直接使用右鍵下帶刪除的各項功能），加載的DLL文件刪除后雖然文件仍然可見，但事實上已刪除，重啟后該文件消失。

　　文件管理頁的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。應(yīng)注意的是如果文件本身在回收站內(nèi)，請使用直接刪除功能�；蛘呤褂眉羟泄δ軐⑺鼜�(fù)制到另一個地方。否則你可能看到回收站內(nèi)的文件刪除了這個又添加了那個。

　　Wsyscheck的或“dos刪除功能”需要單獨下載Wsyscheck的附加模塊文件WDosDel.dat，將此文件與Wsyscheck放在一起會顯示出相關(guān)頁面，添加待刪除文件并重啟，啟動菜單中將出現(xiàn)“刪除頑固文件”字樣，選擇后轉(zhuǎn)入Dos刪除文件。在某些機器上，若執(zhí)行“dos刪除”重啟后系統(tǒng)報告文件損壞要修復(fù)（此時修復(fù)會造成文件系統(tǒng)的真正損壞），此時請不要修復(fù)而是立即關(guān)閉主機電源，重新開機。（這種情況是Dos刪除所帶的NTFS支持軟件本身的BUG造成的，并不需要真正的修復(fù)，只需關(guān)閉電源重新開機即可。）

　　“重啟刪除”與“Dos刪除”可以同時使用。其列表都可以手動編輯，一行一個文件路徑即可。關(guān)閉程序時如果上述兩者之一存在刪除列表，會問詢是否執(zhí)行。

　　注意，為避免病毒程序守護，Wsyscheck可以在刪除某些文件時可能會采取0字節(jié)文件占位的方式來確保刪除。這些0字節(jié)文件在Wsyscheck退出后會被自動清理。是否采用此方式依賴于“軟件設(shè)置”下的“刪除文件后鎖定”選項是否勾選。

　　如果需要對刪除的文件備份，先啟用軟件設(shè)置下的“刪除文件前備份文件”，它將在刪除前將文件備份到%SystemDrive%\VirusBackup目錄中，且將文件名添加.vir后綴以免誤執(zhí)行。

　　6、關(guān)于進程的結(jié)束后的反復(fù)創(chuàng)建

　　如果確系木馬文件，可選擇結(jié)束進程并刪除文件，這樣的話Wsyscheck會將其結(jié)束并刪除文件。但有時因為木馬有關(guān)聯(lián)進程未同時結(jié)束，會重新加載木馬文件。這時我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”。這時當結(jié)束進程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生。

　　也可以使用進程頁的“禁止程序運行”，這個功能就是流行的IFEO劫持功能，我們可以使用它來屏蔽一些結(jié)束后又自動重新啟動的程序。通過禁用它的執(zhí)行來清理文件。解除禁用的程序用“安全檢查”頁的“禁用程序管理”功能，所以在木馬使用IFEO劫持后也可以“禁用程序管理”中恢復(fù)被劫持的程序。

　　軟件設(shè)置下的“禁止進程與文件創(chuàng)建”功能是針對木馬的反復(fù)啟動，反復(fù)創(chuàng)建文件，反復(fù)寫注冊表啟動項進行監(jiān)視或阻止，使用本功能后能更清松地刪除木馬文件及注冊表啟動項。開啟禁止“禁止進程與文件創(chuàng)建”后會自動添加“監(jiān)控日志”頁，取消后該頁消失�？梢杂^察一下日志情況以便從所阻止的動作中找到比較隱藏的木馬文件。注意的是，如果木馬插入系統(tǒng)進程，則反映的日志是阻止系統(tǒng)進程的動作，你需要自我分辨該動作是否有害并分析該進程的模塊文件。

　　要保留日志請在取消前Ctrl+A全選后復(fù)制。注意，為防止日志過多，滿1000條后自動刪除前400條日志。

　　對于反復(fù)寫注冊表啟動項無法修復(fù)的情況，可以先用“禁止進程與文件創(chuàng)建”找出覆寫該注冊表項的進程，針對木馬插入的線程進行掛起，再修復(fù)注冊表。

　　懶于查看分析，不想太麻煩的話，可以先刪除文件（直接刪除、重啟刪除），待重啟之后再修復(fù)注冊表。