1 新手无毒第十一课:Wsyscheck 全解(上) Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。 如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。 OK,打开程序主界面,如图 关于 Wsyscheck启动后最下面的状态栏有时会提示“警告!程序驱动未加载成功,一些功能无法完成。” 多数情况下是安全软件阻止了 Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。 2 使用之前我们先简单设置一下,单击”软件设置”菜单,有好几个选项 熟悉它们很重要,我们来一一介绍: 模块、服务简洁显示(默认打开) 它会自动过滤掉微软自己的模块文件不显示,剩下的就是可疑模块或不是系统必须的文件模块了,这样方便查找病毒进程、文件和模块。 我们打开该功能,这里选择系统进程,看看下面模块列表里,显示了一个 DLL文件和它具体位置及厂商名字,并用红色表示,说明它不是系统自带必需的 DLL文件 3 我们取消该功能,这样可以查看进程调用的所有模块,这里红色代表非系统文件,黑色代表系统正常的模块文件 4 不过现在的病毒很狡猾,他们会伪装或覆盖系统自带的模块文件,以此躲过安全工具的检查,所以我们还要通过下一个功能来配合,那就是: 校验微软文件签名 在使用“软件设置”-“校验微软文件签名”后,紫红色的显示为未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示 Pass与 no pass,顾名思义就是通过微软签名检验和没通过的意思,可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库 禁止进程与文件创建: 针对木马的反复启动,反复创建文件,反复写注册表的行为进行监视或阻止 5 选择“禁止进程与文件创建”,即禁止了本机任何文件和进程的创建,这时还会自动添加“监控日志”选项页,取消后该页消失。 “监控日志”选项页记录了机器里所有进程和文件试图创建的行为 比如我们每次结束一个可疑进程后它总是又出现了,说明系统...
