搜索
1新手无毒第十一课:Wsyscheck全解(上)Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。OK,打开程序主界面,如图关于Wsyscheck启动后最下面的状态栏有时会提示“警告!程序驱动未加载成功,一些功能无法完成。”多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。2使用之前我们先简单设置一下,单击”软件设置”菜单,有好几个选项熟悉它们很重要,我们来一一介绍:模块、服务简洁显示(默认打开)它会自动过滤掉微软自己的模块文件不显示,剩下的就是可疑模块或不是系统必须的文件模块了,这样方便查找病毒进程、文件和模块。我们打开该功能,这里选择系统进程,看看下面模块列表里,显示了一个DLL文件和它具体位置及厂商名字,并用红色表示,说明它不是系统自带必需的DLL文件3我们取消该功能,这样可以查看进程调用的所有模块,这里红色代表非系统文件,黑色代表系统正常的模块文件4不过现在的病毒很狡猾,他们会伪装或覆盖系统自带的模块文件,以此躲过安全工具的检查,所以我们还要通过下一个功能来配合,那就是:校验微软文件签名在使用“软件设置”-“校验微软文件签名”后,紫红色的显示为未通过微软签名的文件。同时,在各显示栏的微软文件校验会显示Pass与nopass,顾名思义就是通过微软签名检验和没通过的意思,可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库禁止进程与文件创建:针对木马的反复启动,反复创建文件,反复写注册表的行为进行监视或阻止5选择“禁止进程与文件创建”,即禁止了本机任何文件和进程的创建,这时还会自动添加“监控日志”选项页,取消后该页消失。“监控日志”选项页记录了机器里所有进程和文件试图创建的行为比如我们每次结束一个可疑进程后它总是又出现了,说明系统中还有个进程在监视它,只要这个可疑进程一消失就立刻创建,对此我们就可以先选中“禁止进程与文件创建”,然后再结束那可疑进程,这时进程就无法创建了.我们再去“监控日志”里查看进程和文件的创建记录,找出是哪个程序再不断监视创立可疑进程的,以便从中找到更隐藏的幕后黑手。如上图,记录了某些程序试图创建文件和进程注意的是,如果木马插入的是系统进程,则反映的日志是阻止系统进程的动作。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块。发现可以文件后清理文件及注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,在wsyscheck的监控下重启电脑。以确保我们的清理成功。“删除文件前备份文件”这个比较好理解,主要是怕用户误删除正常文件,选择此功能后在WSYSCHECK工具的”文件管理”项里删除某文件后还会在被删文件的同目录下(实际使用是在C盘下)建立一名为”VirusBackup”的文件夹,将文件的后缀名增加一个.vir再备份进去6如果你想恢复该文件,只要把后面的.vir删除即可最后一项”删除后锁定文件”比如C盘下有一个伪装成图片的病毒,选择”删除后锁定文件”后删除该文件,会发现目录下还有一个同名文件,只是大小发生了变化,变成了0KB,并且不能被覆盖和删除这样可以避免病毒文件反复删除不了的现象7再罗嗦下:删除病毒文件后应该直接使用工具下的“重启计算机”,在wsyscheck的监控下重启电脑。以确保我们的清理成功。好啦,看完了软件设置,再了解下旁边的”工具”菜单:这里都是些便捷操作,如”修复安全模式”,可以解决注册表被病毒破坏后无法进入安全模式的困惑“禁止自动播放”即为系统自动设置后避免从光盘或U盘的自动播放运行的文件其它操作也是顾名思义的,很好理解.就不一一解释了新手无毒第十一课:Wsyscheck全解(下)下面我们看看主要的窗口吧第一个,进程管理这里列举出了系统当前正在运行的所有进程及路径等,随便点击一个可以看到进程调用的所有文件右击进程还可以再弹出菜单里对其进行更详细的操作8我们来解释几个大家可以能不熟悉的功能,如第二个”定位文件”,选择后可以直接跳到改文件所在目录并自动选中它第五个”挂起选择的进程”,即暂停改进程和程序的运行,就像武侠小说里点了对方穴道使其定在那无法动弹一样,我这里选择挂起了QQ,这样它的进程显示就变灰了,也无法打开聊天窗口及其它功能了如果想恢复它就选择下一功能”恢复挂起的进程”即可9第七个”禁止选择的程序运行”,选择后会立即结束所选择的进程,并且再次打开该程序时会出现错误提示,如我选择的是一个TXT文件,因为TXT文本是被记事本NOTEPAD.EXE程序打开的,这样我要打开TXT文本文件或记事本程序NOTEPAD.EXE就会提示对付一些反复启动的病毒进程比较有效不不过要补充下,这里禁止程序运行的原理就是大家已经熟悉的映象劫持功能,它会在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\写入相应数据第九个”添加到DOS删除列表”,这对顽固不可删除的文件比较有效最后一个”线程信息”,打开后可以看到该进程调用的所有文件,可以对它们进行挂起恢复等操作不过我们也有更方便的操作方法,那就是选择某一进程后,会在下方模块列表显示出调用的所有文件,右击这些文件也有丰富的操作选项10我们看看其中的第四个”全局卸载模块”.有些病毒为了提高生存能力,会插入到不止一个进程中,比如同时插入到SCVHOST.EXE和EXPLORER.EXE及IE等等多个程序进程中,如果我们一个个找太麻烦,所以选择这项就可以把其它所有进程中调用的该文件一起卸载而下一个”卸载模块”就仅仅在被选中的进程里卸载看完了进程方面的功能,有些朋友还觉得奇怪,为什么显示的进程和模块名字是五颜六色的呢?挺漂亮啊,其实这也是个重点红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。如图11winlogon.exe和csrss.exe都是系统必需的正常进程,为什么颜色不同呢?就因为winlogon.exe进程里包含了一个非系统的文件,从图中可以看出是mp110031.dll,而它是微点的一个文件内核检查之SSDT检查:这里显示病毒的内核驱动保护。这个部门可能比较难理解,关于SSDT具体意思可以参考:如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。SSDT页的“代码异常”栏如显示“YES”,表明该函数被InlineHook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是InlineHook的路径,而使用“恢复当前函数代码”功能只恢复InlineHook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。12使用“恢复所有函数”功能则同时恢复上述两种HOOK。再看旁边的服务管理:红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。“检查键值保护”:使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。删除选中的服务与文件:在删除文件的同时删除注册表加载项。13常规检查:host查看:检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的正常网站。“禁用程序管理”:目前利用IFEO(映象劫持,详细见:)禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。重要键值改动检测:检查和修复文件关联(文件关联详见:)。七、安全检查-活动文件:红色显示的常规开机自动启动项的内容。即开机加载项。病毒木马一般在这里藏匿。黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。14对于检测出的启动项,如果不是十分肯定,可以右击选择”定位注册表项”,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。注意这里的修复所选项-这个操作是删除当前选定的启动或加载项。下一个:安全检查,它包含以下几个小项:15看安全检查-IE安全:这里是ie浏览器里加载的一些插件。怀疑的就删除,不会影响系统运行。端口状态:显示本机所有端口的连接状况,及这些端口对应这那些程序和进程16文件搜索:提供功能比较强大的搜索文件功能17好了,跳出安全检查的选项再看看文件管理:文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的病毒文件。注册表管理:这个注册表管理功能一般的时候根本用不到。但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。dos删除功能:对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料等等安全检查-重启删除文件:对于一些顽固文件或进程,可以右击选择“添加到重启并删除列表”,然后执行重启后删除,这时该项里就会显示需要重启删除的文件名