Wsyscheck手动清理病毒木马工具 免费版pc软件 文章资讯 手机软件

您当前的位置:ARP联盟下载中心杀毒安全安全工具→ Wsyscheck手动清理病毒木马工具 开始下载

Wsyscheck手动清理病毒木马工具 免费版

  • 运行环境:Win9X/2000/XP/2003/
  • 软件语言:简体中文|授权方式:免费版
  • 软件类型:国产软件 - 杀毒安全 - 安全工具
  • 软件大小:1029 KB
  • 下载星级:
  • 相关链接:暂无
  • 更新时间:2008/10/9 6:57:39
  • 下载统计:
  • 关键词:

    Wsyscheck手动清理病毒木马工具

软件简介 Soft Introduction
本站提供免费版的 Wsyscheck手动清理病毒木马工具 软件免费下载。

【软件截图】

ARP联盟

【基本介绍】

   Wsyscheck是一款手动清理病毒木马的必备工具, 其目的是简化病毒木马的识别与清理工作。

  一般来说, 对病毒体的判断主要可以能够采用查看路径, 查看文件程序名, 查看文件建造日期, 查看文件厂商, 微软文件校验, 查看启动项等方法, Wsyschck就在这些方面均尽量简化操作, 提供相关的数据信息供您分析。

  最后判断并清理木马取决际您个人的分析及对Wsyscheck可以说是功能的熟悉程度。

Wsyscheck基本功能不复杂介绍说明:

1:软件布置设置中的模块、服务简洁显示

  简洁显示会过滤所微软文件, 但在使用了“校验微软文件签名”功能后, 通不过的微软文件也会显示出来。

  SSDt右键“全部显示”是默认动作, 当取消这个选择中项后, 则只显示SSDT表中已更改的项目。

  

2:有关联于Wsyscheck的颜色显示

进程页:

  红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页:

  红色表示该服务不是微软服务,且该服务非.sys驱动。 (最常见的是.exe与.dll的服务, 木马大多使用这种方式)。

  使用“检查键值”后, 蓝色显示的是有键值保护的随系统system启动的驱动程序(电脑计算机和设备通信的特殊程序)。 它们有有可能是杀软的自我保护, 也有可能是木马的键值保护。

  在取消了“模块、服务简洁显示”后, 查看第三方服务可以用鼠标点击标题条”文件厂商”排序, 结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

  进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

  在使用“软件设置”-“校验微软文件签名”后, 紫红色显示未可以通过微软签名的文件。 同一个时间, 在各显示栏的"微软文件校验"会显示Pass与no pass。 (可以据此参考是否是假冒微软文件, 提醒一定要注意的是如果紫红色显示过多, 可能是您的系统是网上常见的Ghost精简简约版, 这些版本可能精简掉了微软签名数据库(称数据集合)所以结果并不可信)

SSDT管理页:

  默认显示全部的SSDT表, 红色表示内核被HOOK的函数。 查看第三方模块, 可以点击两次标签“映像路径”排序, 则第三方HOOK的模块会排在一起列在最前面。 也可以取消“全部显示”,则仅显示入口改变了的函数。

  SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。 如果一个函数同一时间内存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径, 而使用“恢复当前函数代码”功能只恢复Inline Hook, 路径将显示为地址HOOK的模块路径, 再使用“恢复当前函数地址”功能就恢复到默认的函数了。

  

  使用“恢复所有函数”功能则同时恢复上述两种HOOK。

  发现木马修改了SSDT表时请先恢复SSDT, 再作注册表删除等操作。

活动系列文件页:

  红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功, 一些功能再也不能够完成。 ”

  多数情况下是安全软件阻止了Wsyscheck加载所需的驱动, 这种情况下Wsyscheck的功能有一定减弱, 但它仍能用不有请求需要驱动的方法来完成对系统的修复。

  驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

4:关于卸载模块

  对HOOK了系统关键进程的模块卸载可能导致系统重新启动, 这与该模块的写法有关系, 所以卸载不了的模块一定不要强求卸载, 可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。

5:关于文件删除

  驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见, 但事实上已删除, 重启后该文件消失。

  文件管理页的“删除”操作是删除文件到回收站, 支持畸形目录下的文件删除。 应注意的是如果文件本身在回收站内, 请使用直接删除功能。 或者使用剪切功能将它复制到另一个地方。 否则你可能看到回收站内的文件删除了这个又添加了那个。

  Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面, 添加待删除文件并重启, 启动菜单中将出现“删除顽固文件”字样, 选择后转入Dos删除文件。 在某些机器上, 若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏), 此时请不要修复而是立即关闭主机电源, 重新开机。 (这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的, 并不需要真正的修复, 只需关闭电源重新开机即可。 )

  “重启删除”与“Dos删除”可以同时使用。 其列表都可以手动编辑,一行一个文件路径即可。 关闭程序时如果上述两者之一存在删除列表, 会问询是否执行。

   

    注意, 为避免病毒程序守护, Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。 这些0字节文件在Wsyscheck退出后会被全自动清理。 是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。

  如果需要对删除的文件备分COPY,先启用软件设置下的“删除文件前备份文件”, 它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中, 且将文件名添加.vir后缀以免误执行。

6:关于进程的结束后的反复创建

  如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。 但有时因为木马有关联进程未同时结束, 会重新加载木马文件。 这时我们我自己可以选择“软件设置”下的“删除文件后锁定”。 这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。

  也可以使用进程页的“禁止程序运行”, 这个功能就是流行的IFEO劫持功能, 我们可以使用它来屏蔽一些结束后又自动重新启动的程序。 通过禁用它的执行来清理文件。 解除禁用的程序用“安全检查”页的“禁用程序管理”功能, 所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。

  软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动, 反复创建文件, 反复写注册表启动项来进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。 启动禁止“禁止进程与文件创建”后会自动添加“监控日志”页, 取消后该页消失。 可以观察一下日志情况以便从所阻止的动作中去寻找到比较隐藏的木马文件。 注意的是, 如果木马插入系统进程, 则反映的日志是阻止系统进程的动作, 你需要自我分辨该动作是否有害并分析该进程的模块文件。

  要保留日志请在取消前Ctrl+A全选后复制。 注意,为防止日志过多,满1000条后自动删除前400条日志。

  对于反复写注册表启动项无法修复的情况, 可以先用“禁止进程与文件创建”找出覆写该注册表项的进程, 针对木马插入的线程进行挂起, 再修复注册表。

  懒于查看分析, 不想太麻烦的话, 可以先删除文件(直接删除、重启删除), 待重启之后再修复注册表。

8:关于批量处理

  各页中可尝试用Ctrl,Shift多选再执行相关的功能。

  文件搜索中的“保存文件列表”导出搜索结果列表1, 在PE启动后再执行一次得到结果2,将结果1与结果2相比较, 可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。

9:关于怎么才能清理木马的简单方法:

  

  1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。

  2: 批量选择病毒进程, 使用“结束进程并删除文件”。

  3: 插入到进程中的模块多不可怕, 全局钩子在各进程中通常都是相同的, 处理进程的模块即可。 主张采用“直接删除模块文件”, 本功能执行后看不到变化, 但文件其实已经删除。 不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用), 原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。

  4: 执行“清理临时文件”、“消除Autorun.inf”

  5:在安全检查中可以修复的修复一下。 不强求, 重启后再执行二次清理。

  6: 重启机器, 大部份的病毒应该可以搞定了。 此时再次检查, 发现还是有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。

  7: 清理完后切换到文件搜索页, 限制文件大小为50K左右, 去除“排除微软文件的勾”搜索最近一周的新增的文件, 从中选出病毒尸体文件删除。

10:Wsyscheck可以使用的参数说明:

  Wsyscheck可以带参数运行以提高自身的优先级

  Wsyscheck 1 高于标准  Wsyscheck 2 高  Wsyscheck 3 实时

  例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3

  将RunWs.bat与Wsyscheck放在一起, 双击RunWs.bat即可让Wsyscheck以实时优先级启动。

  Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,之后退出。

  Wsyscheck -s 在-f的基础上执行创建安全环境后退出。

  如将Wsyscheck.exe换名字, 则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数, 其恢复结果可以在SSdt显示页下面的Auto Restore中看到。 不更名则不带此功能。 另外, 更名后Wsyscheck将使用随机驱动名来释放驱动。

11:随手工具说明(指菜单工具下的子菜单功能)

  一般看其意即识其意,仅对部份子项说明:

  清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。

  禁用硬盘(电脑存储媒介)自动播放:本功能还包括磁盘无法双击打开故障。 注意, 某些故障修复后可能需要注销或重启才能生效。

  修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式, 本功能先备份当前安全模式键值再恢复默认的安全模式键值。

  如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。

                                                               Wangsea 20071222 

                                                               Wang6071@sina.com.cn 

                                                               http://wangsea.ys168.com 

下载地址
Wsyscheck手动清理病毒木马工具
相关下载
  • WSM调节显示器 v1.10
  • 一键激活Windows所有系统&Office所有版本!
  • 百分浏览器Cent Browser v2.8.5.75 最新版
  • 腾讯win10升级工具(腾讯windows10升级助手) v2017 官方版
  • BeRoot Windows系统提权工具(BeRoot系统提权工具) 最新版
  • 相关文章
  • ·[组图]windows7输入法的操作方法
  • ·[组图]windows10如何才可以查看当前系统的激活码?
  • ·[组图]widows7CPU温度观察,Win7系统查看CPU温度的方法
  • ·[图文]windows7不能删除软件!Win7系统软件无法卸载怎么办
  • ·windows7系统不小心清空回收站!win7回收站清空了怎么恢复?
  • 软件说明
    * 为了达到最快的下载速度,推荐使用迅雷下载
    * 请一定升级到最新版WinRAR解压缩软件才能正常解压本站提供的软件!
    * 站内提供的所有软件由网上搜集,若侵犯了你的版权利益,敬请来信通知我们!
    相关评论
    下载排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图