Wsyscheck v1.68.33 - 系统检测维护工具
Wsyscheck 是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。
一般来说,对病毒体的判断主要可以采用检查路径、检查档名、检查档案建立日期、检查档案厂商、微软档案验证、检查启动项目等方法,Wsyschck 在这些方面均尽量简化作业,提供相关的资料供您分析。
最终判断并清理木马取决于您个人的分析,以及对 Wsyscheck 基本功能的熟悉程度。
Wsyscheck 基本功能简单介绍:
1. 软体设定中的模组、服务简洁显示
简洁显示会筛选所有的微软档案,但在使用了 [验证微软档案签署] 功能后,通不过的微软档案也会显示出来。
SSDt 右键 [全部显示] 是预设动作,当取消这个选项后,则仅显示 SSDT 表中已修改的项目。
2. 关于 Wsyscheck 的色彩显示
处理序管理:
红色表示非微软处理序;紫红色表示虽然是微软处理序,但其模组中带有非微软的档案。
服务管理:
红色表示该服务不是微软服务,且该服务非 .sys 驱动。 (最常见的是 .exe 与 .dll 的服务,木马大多使用这种方式)
使用 [检查机码保护] 后,蓝色显示的是有机码保护的随系统启动的驱动程式。它们有可能是防毒软体的自我保护,也有可能是木马的机码保护。
在取消了 [简洁显示模组和服务] 后,检视第三方服务可以按标题 [档案厂商] 排序,结合使用 [启动类型]、[修改日期] 排序更容易观察到新增的木马服务。
处理序管理中的检视模组,与服务管理中的检视服务描述,可以使用键盘的上下键控制。
在使用 [软体设定 → 验证微软档案签署] 后,紫红色显示未通过微软签署的档案。同时,在各显示列的 [微软档案验证] 会显示 Pass 与 no pass。(可以据此参考是否为假冒的微软档案,注意的是:如果紫红色显示过多,可能是您的系统是网上常见的 Ghost 精简版,这些版本可能精简掉了微软签署资料库所以结果并不可信)
SSDT 检查:
预设显示所有的 SSDT 表,红色表示核心被 HOOK 的函式。检视第三方模组,可以双按标签 [映像路径] 排序,则第三方 HOOK 的模组会排在一起列在最前面。也可以取消 [全部显示],则仅显示入口改变了的函式。
SSDT 检查的 [代码异常] 栏位如显示 [YES],表示该函式被 Inline Hook。如果一个函式同时存在代码 HOOK 与位址 HOOK,则对应的模组路径显示的是 Inline Hook 的路径,而使用 [还原目前函式代码] 功能只还原 Inline Hook,路径将显示为位址 HOOK 的模组路径,再使用 [还原目前函式位址] 功能就还原到预设的函式了。
使用 [还原所有函式] 功能则同时还原上述两种 HOOK。
发现木马修改了 SSDT 表时,请先还原 SSDT,再做登录档删除等动作。
活动档案:
红色显示的是一般启动项的内容。
3. 关于 Wsyscheck 启动后状态列的提示 [警告:程式的驱动载入失败,一些功能无法完成。]
多数情况下是安全软体阻止了 Wsyscheck 载入所需的驱动,这种情况下 Wsyscheck 的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动载入成功的情况下,对于木马档案可以直接使用 Wsyscheck 中各分页的删除档案功能,本功能带有 [直接删除] 执行中的档案的功能。
4. 关于卸载模组
对 HOOK 了系统关键处理序的模组卸载可能导致系统重启,这与该模组的写法有关系,所以卸载不了的模组不要强求卸载,可以先删除该模组的启动项或档案 (载入驱动情况下使用删除后重启档案即消失)。
5. 关于档案删除
驱动载入的情况下,Wsyscheck 的删除功能已经够用了,大多数档案都可以立即删除 (处理序模组可以直接使用右键下带删除的各项功能);载入的 DLL 档案删除后,虽然档案仍然可见,但事实上已删除,重启后该档案消失。
档案管理分页的 [删除] 操作是删除档案到资源回收筒,支援畸形目录下的档案删除。应注意的是如果档案本身在资源回收筒内,请使用直接删除功能。或者使用剪下功能将它复制到另一个地方。否则您可能看到资源回收筒内的档案删除了这个又添加了那个。
Wsyscheck 的或 [dos 删除功能] 需要单独下载 Wsyscheck 的附加模组档案 WDosDel.dat,将此档案与 Wsyscheck 放在一起会显示出相关页面,加入待删除档案并重启,启动功能表中将出现 [删除顽固档案] 字样,选择后转入 Dos 删除档案。在某些电脑上,若执行 [dos删除] 重启后,系统报告档案损坏要修复 (此时修复会造成档案系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。 (这种情况是 Dos 删除所带的 NTFS 支援软体本身的 BUG 造成的,并不需要真正的修复,只需关闭电源重新开机即可。)
[重启删除] 与 [Dos 删除] 可以同时使用。其清单都可以手动编辑,一行一个档案路径即可。关闭程式时,如果上述两者之一存在删除清单,会询问是否执行。
注意,为避免病毒程式守护,Wsyscheck 可以在删除某些档案时,可能会采取 0 位元组档案占位的方式来确保删除。这些 0 位元组档案在 Wsyscheck 结束后会被自动清理。是否采用此方式依赖于 [软体设定] 下的 [删除档案后锁定] 选项是否勾选。
如果需要对删除的档案备份,先启用软体设定下的 [删除档案前备份档案],它将在删除前将档案备份到 %SystemDrive%\VirusBackup 目录中,且会将档名加上 [.vir] 副档名以免误执行。
6. 关于处理序结束后的反覆建立
如果确定是木马档案,可选择结束处理序并删除档案,这样的话 Wsyscheck 会将其结束并删除档案。但有时因为木马有关联处理序未同时结束,会重新载入木马档案。这时我们可以选择 [软体设定] 下的 [删除档案后锁定]。这时当结束处理序并删除档案后,Wsyscheck 将建立 0 位元组的锁定档案防止木马再生。
也可以使用处理序管理分页的 [禁止程式执行],这个功能就是流行的 IFEO 拦截功能,我们可以使用它来封锁一些结束后又自动重新启动的程式。透过停用它的执行来清理档案。解除停用的程式用 [安全检查] 分页的 [停用程式管理] 功能,所以在木马使用 IFEO 拦截后,也可以 [停用程式管理] 中还原被拦截的程式。
软体设定下的 [禁止处理序与档案建立] 功能是针对木马的反覆启动,反覆建立档案,反覆写入登录档启动项进行监视或阻止,使用本功能后能更轻松地删除木马档案及登录档启动项。开启禁止 [禁止处理序与档案建立] 后会自动加入 [监视记录] 分页,取消后该分页消失。可以观察一下记录情况以便从所阻止的动作中找到比较隐藏的木马档案。注意的是,如果木马插入系统处理序,则反应的记录是阻止系统处理序的动作,您需要自我分辨该动作是否有害并分析该处理序的模组档案。
要保留记录请在取消前 Ctrl+A 全选后复制。注意,为防止记录过多,满 1000 条后会自动删除前 400 条记录。
对于反覆写入登录档启动项无法修复的情况,可以先用 [禁止处理序与档案建立] 找出覆写该登录机码的处理序,针对木马插入的绪程进行暂止,再修复登录档。
懒的查阅分析,不想太麻烦的话,可以先删除档案 (直接删除、重启删除),待重启之后再修复登录档。
8. 关于批次处理
各分页中可尝试用 Ctrl、Shift 多选再执行相关的功能。
档案搜寻中的 [储存档案清单] 汇出搜寻结果清单 1,在 PE 启动后再执行一次得到结果 2,将结果 1 与结果 2 相比对,可以用来对付某些 Wsyscheck 检测不出深度隐藏的 RootKit。
9. 关于如何清理木马的简单方法:
1). 勾选 [软体设定] 下的 [删除档案后锁定] 以阻止档案再生。
2). 批次选择病毒处理序,使用 [中止处理序并删除档案]。
3). 插入到处理序中的模组多不可怕,全域挂钩在各处理序中通常都是相同的,处理处理序的模组即可。建议采用 [直接删除模组档案],本功能执行后看不到变化,但档案其实已经删除。不建议使用 [卸载模组] 功能 (为保险也可以与 [重启删除] 联用),原因是卸载系统处理序中的模组时,有可能造成系统重启而前功尽弃。
4). 执行 [清理暂存档案]、[清除 Autorun.inf]。
5). 在安全检查中,可以修复的修复一下。不强求,重启后再执行二次清理。
6). 重新开机,大部份的病毒应该可以搞定了。此时再次检查,发现还有少数的顽固病毒才使用 [停用]、[绪程]、[卸载]、[重启删除]、[Dos 删除] 等方法。
7). 清理完后切换到档案搜寻分页,限制档案大小为 50K 左右,去除 [排除微软档案] 的勾选,搜寻最近一周的新增档案,从中选出病毒尸体档案删除。
10. Wsyscheck 可以使用的参数说明:
‧Wsyscheck 可以带参数执行以提高自身的优先权:
Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 即时。
例如需要即时启动 Wsyscheck,可以编辑一个批次档 RunWs.bat,内容为 Wsyscheck 3;
将 RunWs.bat 与 Wsyscheck 放在一起,双按 RunWs.bat 即可让 Wsyscheck 以即时优先权启动。
‧Wsyscheck -f // wsyscheck 将还原部份查询类的 SSdt 表中的函式,然后结束。
‧Wsyscheck -s // 在 -f 的基础上执行建立安全环境后结束。
如果将 Wsyscheck.exe 改名,则 Wsyscheck 启动后先还原执行部份查询类的 SSdt 表中的函式,其还原结果可以在 SSdt 显示分页下面的 Auto Restore 中看到。不改名则不带此功能。另外,改名后 Wsyscheck 将使用随机驱动名称来释放驱动。
11. 随手工具说明 (指功能表工具下的子功能表功能)
一般看其意即识其意,仅对部份子项目说明:
‧清除暂存档案:
删除 %TEMP%、%windir%\Temp 及 %windir%\Downloaded Program Files 下的所有档案。
‧停用硬碟自动播放:
本功能还包括磁碟无法双按开启的故障。注意:某些故障修复后可能需要登出或重启才能生效。
‧修复安全模式:
某些木马会破坏安全模式的机码导致无法进入安全模式;
本功能先备份当前安全模式机码再还原预设的安全模式机码。
如果 Wsyscheck 的视窗本身已采取随机字元,但仍然被木马关闭,请将 Wsyscheck 改名后执行。
档案下载:
http://www.badongo.c...8887534
