系统检测工具WsysCheck中文版 v1.68.33

安全无毒小编亲测

WsysCheck是一款强大的系统检测维护工具，能够让我们的用户轻松的对系统的进程和服务驱动进行检查，还有SSDT强化监测，文件查询，注册表操作等功能，让我们的用户轻松的对系统进行管理和维护。一般来说，对病毒体的判断主要可以采用查看路径，查看文件名等方式，WsysCheck在这些方面进行了简化操作，使得一些用户能够尽可能简单的对系统数据进行查看，而且WsysCheck还十分贴心的为用户提供相关数据，能够更好的查看分析。

WsysCheck使用教程

一、WsysCheck卸载模块
1.对HOOK系统关键进程的模块卸载可能导致系统重启，这与该模块HOOK的函数有关系，所以卸载不了的可以先删除该模块的启动项（或直接使用Wsyscheck的Dos删除功能），重启后再删除文件。某些有内核HOOK保护的木马请恢复SSDT后再作注册表删除操作。
二、WsysCheck文件删除
1.先禁止程序运行，再手动删除文件（可以使用Wsyscheck内置文件管理中的直接删除功能）
附带说一下，解除禁用的程序用“安全检查”页的“禁用程序管理”功能即可，这个功能就是流行的IFEO劫持功能,所以在木马使用IFEO劫持后可以用“禁用程序管理”来恢复被劫持的程序
2.使用"结束进程并删除文件”，Wsyscheck会尝试先更名再删除，目的就是即使删除失败也让程序下次不能启动
3.其它的服务管理、文件搜索、及文件管理都有相关的删除操作。文件管理页的删除操作支持畸形目录下的文件删除，注意的是如果文件本身在回收站内，请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个（因为右键“删除”是删除到回收站）
4.对于用以上功能删除不了的文件，可以使用Wsyscheck的“重启删除”或“dos删除功能”，使用“dos删除功能”功能后会在启动菜单中添加一项“删除顽固文件”，执行后自动清理文件并去掉它所添加的启动项
5.“重启删除”与“Dos删除”可以同时使用
三、WsysCheck批量处理
1.各页中可尝试用Ctrl,Shift多选再执行相关的功能
2.文件搜索中的“保存文件列表”导出搜索结果列表1，在PE启动后再执行一次得到结果2,将结果1与结果2相比较，可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit

WsysCheck颜色说明

一、进程页
红色表示非微软进程,紫红色表示虽然进程是微软进程,但模块中有非微软的模块
二、服务页
1.红色表示该服务一不是微软服务,而且该服务是非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）
2.在使用WsysCheck“校验微软文件的签名”后，紫红色显示未通过微软签名的微软驱动。(可以参考是否是假冒微软驱动，注意的是如果紫红色如果显示过多，可能是你使用的系统是网上通常见的Ghost精简版，这些版本可能精简掉了微软签名数据库。)
3.使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护
4.关于如何将第三方服务排列在一起可以点击标题条”文件厂商”排一下序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务
三、SSDT管理页
红色表示内核被HOOK的函数

WsysCheck参数说明

一、Wsyscheck可以带参数运行以提高自身的优先级
二、Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时
1.例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
2.将RunWs.bat与Wsyscheck放在一起，双击RunWs.bat即可让Wsyscheck以实时优先级启动
三、Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出
四、Wsyscheck -s 在-f的基础上执行创建安全环境后退出
五、如将Wsyscheck.exe更名，则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数，其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外，更名后Wsyscheck将使用随机驱动名来释放驱动

WsysCheck清理木马方法

1、如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件
2、如果结束木马进程后反复发现木马启动，可以使用“禁止进程与文件创建”让其不再启动后删除。如果这个方法失效，可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”
3、有些木马利用服务启动，请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP，而类型是Auto，则它已运行过一次，所以有可能启动了别的木马程序
4、强烈建议注意一下“禁用程序管理”，利用IFEO禁用杀软或启动木马程序的木马是比较流行的。
5、活动文件页列出了可能的启动途径，所以耐心一点检查一下是否有木马的启动项目。
6、文件搜索中利用“限制时间”条件来搜索产生的文件可能有助于您的清理工作。
7、对于检测出的启动项，如果不是十分肯定，可以定位到注册表，将这个启动程序的路径前加上“；”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
8、对于以Autorun.inf方式启动的木马，操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。这类木马清理时注意查看一下各盘根目录以保证完全清理了Autorun.inf文件
9、对于已确定的木马文件，能直接删除就删除，不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好，上述方式失效,可以用DOS删除功能先删文件再清理启动项

WsysCheck功能

1、清除临时文件
删除%TEMP%,%windir%Temp及%windir%Downloaded Program Files下的所有文件
2、禁用硬盘自动播放
WsysCheck包括磁盘无法双击打开故障。注意，某些故障修复后可能需要注销或重启才能生效
3、修复安全模式
某些木马会破坏安全模式的键值导致无法进入安全模式，本功能先备份当前安全模式键值再恢复默认的安全模式键值

WsysCheck问题解答

1、关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成”
多数情况下是你的杀软阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复
2、关于禁止其它程序运行的功能
Wsyscheck采用的原理是映像劫持，如禁止记事本打开，注册表中如下：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe]
"Debugger"="DisabledRun"
以后运行记事本时就会提示无法找到。该软件缺少恢复被禁用程序的功能，只能手动来清除，即找到注册表Image File Execution Options下的相应项直接删除就行