您所在的位置:首页 > 系统工具 > 系统设置 > Wsyscheck(进程和服务驱动的系统检测维护工具) 20080201简体中文绿色免费版

Wsyscheck(进程和服务驱动的系统检测维护工具) 20080201简体中文绿色免费版 (暂未上线)

强大的系统检测维护工具

相关合集:

检测电脑性能的软件

安装不了?查看安装教程

手机扫一扫快捷方便下载

相关版本

本类应用推荐

系统工具排行榜

应用介绍

wsyscheck中、英文版 一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全。该作品为wangsea近期的主打作品,深山红叶系出自他。其他比较好的作品还有系统安全盾、syscheck,大家应该不会陌生。

   Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。

  一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。

  最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。

Wsyscheck基本功能简单介绍:

1:软件设置中的模块、服务简洁显示

  简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。
  SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
 
2:关于Wsyscheck的颜色显示

进程页:

  红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页:

  红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。

  使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。

  在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

  进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

  在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)

SSDT管理页:

  默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。

  SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
 
  使用“恢复所有函数”功能则同时恢复上述两种HOOK。

  发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。

活动文件页:

  红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”

  多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。

  驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

4:关于卸载模块

  对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。

5:关于文件删除

  驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。

  文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。

  Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)

  “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
  
    注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。


  如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。


6:关于进程的结束后的反复创建

  如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。

  也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。

  软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。

  要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。

  对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。

  懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。

8:关于批量处理

  各页中可尝试用Ctrl,Shift多选再执行相关的功能。

  文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。

9:关于如何清理木马的简单方法:
 
  1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。

  2: 批量选择病毒进程,使用“结束进程并删除文件”。

  3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。

  4: 执行“清理临时文件”、“清除Autorun.inf”

  5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。

  6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。

  7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。


10:Wsyscheck可以使用的参数说明:

  Wsyscheck可以带参数运行以提高自身的优先级
  Wsyscheck 1 高于标准  Wsyscheck 2 高  Wsyscheck 3

应用截图

下载地址

点击反馈,软件下载失败?软件下载后无法使用?飞翔小编十二分诚意等待着您的投诉与建议

APK文件怎么打开,下载APK文件如何安装到手机?推荐使用豌豆荚

猜你喜欢

连击契约V1.0 变态版
连击契约V1.0 变态版
连击契约安卓变态版是一款超级好玩的战斗魔幻题材角色扮演手游。游戏有着非常棒的魔幻背景,超多人物让你目不暇接,你可以选择不同的角色分别进行游戏,有着非常棒的觉醒转职系统,让你在这款游戏中不停的解锁...

你可能还喜欢

  • 检测电脑性能的软件 2017-05-09
    检测电脑性能的软件
    检测电脑性能的软件是专门用来检测电脑配置是否有问题的一种软件,通过检测电脑性能的软件让我们更加清楚我们的电脑配置问题,从而让我们更加清楚自身电脑全面的电脑硬件信息,有效预防硬件故障,让您的电脑免受困扰。
  • 油画风格游戏合集 2020-11-25
    油画风格游戏合集
    52z飞翔网小编整理了【油画风格游戏合集】,提供手机油画风格游戏下载、好玩的油画风格游戏。其中包括油画风格数字填色书、海市蜃楼之馆、AVA埃娃的塔罗牌、权力与纷争、弗兰克冒险等等,感兴趣的朋友快来下载体验吧!
  • 美梦视频APP合集 2020-11-25
    美梦视频APP合集
    52z飞翔网小编整理了【美梦视频APP合集】,提供美梦视频app安卓下载安装包、美梦视频永久免费软件下载、美梦视频激活码破解版下载。这是一款备受广大宅男们喜爱的影视播放软件,用户可以在软件中在线观看很多的影视剧,还可以在软件中看到很多的影视剧的简介,可以选择自己感兴趣的观看。
  • 我要当校长·游戏合集 2020-11-25
    我要当校长·游戏合集
    52z飞翔网小编整理了【我要当校长·游戏合集】,提供我要当校长兑换码、我要当校长破解版/无限金币版/无限钻石版下载。游戏采用精美细腻的画面设计,在游戏中玩家将体验到最有趣的经营模拟乐趣,超有意思的剧情设计,让玩家爱不释手,在游戏里面我们需要经过不断的努力加油,当上一名校长,玩法内容非常有趣。
  • 魔法RPG手游合集 2020-11-25
    魔法RPG手游合集
    52z飞翔网小编整理了【魔法RPG手游合集】,提供手机魔法RPG游戏下载、好玩的魔法RPG手游推荐。其中包括英雄与魔法、魔法英雄大战、萌骑无双、哈利波特巫师联盟、魔法指环魔法决斗等等,感兴趣的朋友快来下载体验吧!
  • 半岛影院APP合集 2020-11-25
    半岛影院APP合集
    52z飞翔网小编整理了【半岛影院APP合集】,提供半岛影院app二维码下载、半岛影院高清视频免费播放下载、半岛影院会员破解版下载。这是一款特别火爆且有大量劲爆宅男视频的手机视频播放器,这里有着强大的播放功能以及时时刻刻更新的视频资讯,让我们不错过任何一个喜欢看的视频,而且这里都是高清免费的。
  • 恐怖领域·游戏合集 2020-11-25
    恐怖领域·游戏合集
    52z飞翔网小编整理了【恐怖领域·游戏合集】,提供恐怖领域最新版、怖领域中文版/破解版/无限金币版/无限技能点下载。这是一款非常好玩的恐怖题材的生存手游,你将在惶恐之中开始这款游戏,在惶恐之中结束这款游戏!游戏换面十分真实,剧情经凑的同时又惊心动魄,慢慢的揭开谜底,活下去还有希望?
  • 物理射击游戏合集 2020-11-25
    物理射击游戏合集
    52z飞翔网小编整理了【物理射击游戏合集】,提供手机物理射击游戏、好玩的物理射击游戏。其中包括铁轨射手、让子弹飞飞、火柴人物理射击、持枪射箭大师、跳弹先生、天天射瓶子等等,感兴趣的朋友快来下载体验吧!
  • 青柠资源网APP合集 2020-11-25
    青柠资源网APP合集
    52z飞翔网小编整理了【青柠资源网APP合集】,提供青柠资源网app在线下载、青柠资源网网页版/破解版、青柠资源网福利视频无线观看下载。这是一款非常优质的影视播放器,拥有着非常丰富的内容,功能性齐全,随时随地都能看到当下做最热门的电影,支持全屏观看,更换线路等功能,支持所有的视频格式。

下载声明 | 法律声明 | 版权声明 | 友情链接 | 智能电视应用| 发布软件 | 网站地图

本站为非盈利网站,不接受任何广告。本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件给 admin@52z.com 湘ICP备13012539号-1