wsyscheck win7是一款简单实用的系统安全辅助软件,通过该软件,用户可以对电脑系统进行扫描查杀病毒文件,有效的帮助用户对系统进行维护,wsyscheck可以无限的对系统进行扫描,对卸载残留文件进行实时跟踪,帮助您删除磁盘中的顽固文件,具有一键清除的功能,同时wsyscheck还具有进程管理功能,可以帮助用户强制关闭正在运行的软件,非常方便,当然了wsyscheck的功能并不止于此,它还具有进程和服务驱动检查,SSDT强化检测,注册表操作,文件查询,DOS删除等强大的功能,需要的朋友赶快下载试试吧!
功能介绍
1:软件设置中的模块、服务简洁显示
简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。
SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
2:关于Wsyscheck的颜色显示
进程页:
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
3、用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
4、复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
服务页:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
使用说明
1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。
2: 批量选择病毒进程,使用“结束进程并删除文件”。
3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。
4: 执行“清理临时文件”、“清除Autorun.inf”
5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。
6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。
7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。
使用方法
1、进程管理,可以查看系统正在运行的程序
2、内核检查,深入扫描系统文件
3、服务管理,可以查看后台的运行软件,并强制关闭
4、安全检查,进行系统病毒扫描模式
5、文件管理,可以对指定的文件进行安全管理
参数说明
Wsyscheck可以带参数运行以提高自身的优先级
Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时
例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。
Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。
Wsyscheck -s 在-f的基础上执行创建安全环境后退出。
如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。
更新说明
Wsyscheck20080223(V1.68.33)
修正内置注册表浏览器显示二进制数据错误的BUG。
调整使用-run启动脚本时显示脚本窗体。
Wsyscheck20080204(V1.68.32)
修正因为磁碟机变种导致本软件界面无法显示的BUG。
常见问题
1、关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。
2、关于卸载模块
对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。
3、关于文件删除
驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。
文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。
Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)
“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。
如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
4、于进程的结束后的反复创建
如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。
也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。
软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。
懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。
5、于批量处理
各页中可尝试用Ctrl,Shift多选再执行相关的功能。
文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。
∨ 展开