Wsyscheck (木馬清除)

Wsyscheck是一款手動清理病毒木馬的工具，其目的是簡化病毒木馬的識別與清理工作。

一般來說，對病毒體的判斷主要可以采用查看路徑，查看文件名，查看文件創(chuàng)建日期，查看文件廠商，微軟文件校驗(yàn)，查看啟動項(xiàng)等方法，Wsyschck在這些方面均盡量簡化操作，提供相關(guān)的數(shù)據(jù)供您分析。

最終判斷并清理木馬取決際您個(gè)人的分析及對Wsyscheck基本功能的熟悉程度。

Wsyscheck基本功能簡單介紹:

1:軟件設(shè)置中的模塊、服務(wù)簡潔顯示

簡潔顯示會過濾所微軟文件，但在使用了“校驗(yàn)微軟文件簽名”功能后，通不過的微軟文件也會顯示出來。
SSDt右鍵“全部顯示”是默認(rèn)動作，當(dāng)取消這個(gè)選項(xiàng)后，則僅顯示SSDT表中已更改的項(xiàng)目。

2:關(guān)于Wsyscheck的顏色顯示

進(jìn)程頁：

紅色表示非微軟進(jìn)程,紫紅色表示雖然進(jìn)程是微軟進(jìn)程,但其模塊中有非微軟的文件。

服務(wù)頁：

紅色表示該服務(wù)不是微軟服務(wù),且該服務(wù)非.sys驅(qū)動。（最常見的是.exe與.dll的服務(wù)，木馬大多使用這種方式）。

使用“檢查鍵值”后，藍(lán)色顯示的是有鍵值保護(hù)的隨系統(tǒng)啟動的驅(qū)動程序。它們有可能是殺軟的自我保護(hù)，也有可能是木馬的鍵值保護(hù)。

在取消了“模塊、服務(wù)簡潔顯示”后，查看第三方服務(wù)可以點(diǎn)擊標(biāo)題條”文件廠商”排序，結(jié)合使用“啟動類型”、“修改日期”排序更容易觀察到新增的木馬服務(wù)。

進(jìn)程頁中查看模塊與服務(wù)頁中查看服務(wù)描述可以使用鍵盤的上下鍵控制。

在使用“軟件設(shè)置”-“校驗(yàn)微軟文件簽名”后，紫紅色顯示未通過微軟簽名的文件。同時(shí)，在各顯示欄的"微軟文件校驗(yàn)"會顯示Pass與no pass。(可以據(jù)此參考是否是假冒微軟文件，注意的是如果紫紅色顯示過多，可能是你的系統(tǒng)是網(wǎng)上常見的Ghost精簡版，這些版本可能精簡掉了微軟簽名數(shù)據(jù)庫所以結(jié)果并不可信)