進程掃描判斷工具

1:手機軟件設(shè)定中的模塊，服務(wù)項目簡約表明

簡約表明會過慮所微軟公司文件，但在應用了“校檢微軟公司文件簽字”功能后，不過關(guān)的微軟公司文件也會展示出去。

SSDt鼠標右鍵“所有表明”是默認設(shè)置姿勢，當撤銷這一頁面后，則僅表明SSDT表格中已變更的新項目。

2:有關(guān)Wsyscheck的彩色表明

進程頁：

鮮紅色表明非微軟公司進程,暗紫色表明盡管進程是微軟公司進程,但其模塊含有非微軟公司的文件。

服務(wù)項目頁：

鮮紅色表明該服務(wù)項目并不是微軟公司服務(wù)項目,且該服務(wù)項目非.sys推動。（最多見的是.exe與.dll的服務(wù)項目，木馬大多數(shù)應用這類方法）。

應用“查驗鍵值”后，深藍色表明的是有鍵值維護的隨開機啟動的驅(qū)動軟件。他們有可能是殺毒軟件的防范意識，也是有可能是木馬的鍵值維護。

在取消了“模塊，服務(wù)項目簡約表明”后，查詢第三方服務(wù)能夠點一下文章標題條”文件生產(chǎn)商”排列，融合應用“運行種類”，“改動日期”排列更非常容易觀查到增加的木馬服務(wù)項目。

進程頁中查詢模塊與服務(wù)項目頁中查詢服務(wù)項目敘述能夠應用電腦鍵盤的左右鍵操縱。

在應用“手機軟件設(shè)定”-“校檢微軟公司文件簽字”后，暗紫色表明未根據(jù)微軟公司簽字的文件。與此同時，在各表明欄的微軟公司文件校檢會表明Pass與no pass。(能夠由此參照是不是仿冒微軟公司文件，留意的是假如暗紫色表明太多，很有可能你的操作系統(tǒng)是在網(wǎng)上普遍的Ghost精簡，這種版本號很有可能精減掉了微軟公司簽字數(shù)據(jù)庫查詢因此效果并不能信)

SSDT管理頁：

默認設(shè)置表明所有的SSDT表，鮮紅色表明核心被HOOK的涵數(shù)。查詢第三方模塊，能夠點一下2次標識“印象途徑”排列，則第三方HOOK的模塊會排在一起列在最前邊。還可以撤銷“所有表明”,則僅表明通道變了的涵數(shù)。

SSDT頁的“編碼出現(xiàn)異?！睓谌绫砻鳌癥ES”,說明該涵數(shù)被Inline Hook。假如一個涵數(shù)與此同時存有編碼HOOK與詳細地址HOOK,則相應的模塊途徑表明的是Inline Hook的途徑，而應用“修復當今涵數(shù)編碼”功能只修復Inline Hook，途徑將表明為詳細地址HOOK的模塊途徑，再應用“修復當今涵數(shù)詳細地址”功能就修復到默認設(shè)置的涵數(shù)了。

應用“修復全部涵數(shù)”功能則與此同時修復以上二種HOOK。

發(fā)覺木馬改動了SSDT表時請先修復SSDT，再作注冊表文件刪除等實際操作。

主題活動文件頁：

鮮紅色表明的基本開機啟動項的內(nèi)容。

3:有關(guān)Wsyscheck運行后通知欄的提醒“警示！程序流程推動未載入取得成功，一些功能沒法進行。”

大部分狀況下是防護軟件阻攔了Wsyscheck載入需要的推動，這類情形下Wsyscheck的功能有一定變?nèi)酰钥捎貌挥猛苿拥霓k法來進行系統(tǒng)的修補。

推動載入取得成功的情形下,針對木馬文件能夠立即應用Wsyscheck中各頁中的刪除文件功能,本功能含有“立即刪除”運作中的文件的功能。

4:有關(guān)卸載掉模塊

對HOOK了系統(tǒng)軟件重要進程的模塊卸載掉很有可能可能會導致重新啟動，這與該模塊的書寫有關(guān)系，因此卸載掉不上的模塊不必奢求卸載掉，能夠先刪除該模塊的開機啟動項或文件(推動載入狀況下應用刪除后重新啟動文件即消退)。

5:有關(guān)文件刪除

推動載入的情形下,Wsyscheck的刪除功能早已能用了,大部分文件都能夠馬上刪除(進程模塊能夠立即應用鼠標右鍵下帶刪除的各類功能),載入的DLL文件刪除后盡管文件依然由此可見，但實際上已刪除，重新啟動可觀測到文件已消退。

文件管理方法頁的“刪除”實際操作是刪除文件到垃圾回收站，適用畸型文件目錄下的文件刪除。應特別注意的是假如文件自身在垃圾回收站內(nèi)，請應用立即刪除功能?；蚴菓貌们泄δ軐⑺截惖搅硪粋€地區(qū)。不然你很有可能見到垃圾回收站內(nèi)的文件刪除了一個又加上了那一個（由于鼠標右鍵“刪除”是刪除到垃圾回收站）。

針對用之上功能仍刪除不上的文件，能夠應用Wsyscheck的或“dos刪除功能”，應用“dos刪除”功能之后在運行菜單欄中加上一項“刪除難除文件”，實行后自動清理文件并除掉它所加上的開機啟動項?！癲os刪除”在多系統(tǒng)軟件狀況下很有可能存有一些難題，請謹慎使用。本功能必須將輔助件Wdosdel.dat與Wsyscheck放到一起才會表明有關(guān)網(wǎng)頁頁面。

“重新啟動刪除”僅做為推動沒法載入狀況下采用的一種輔助方式，“重新啟動刪除”與“Dos刪除”能夠一起應用。其目錄都能夠手動式編寫,一行一個文件途徑就可以。結(jié)束進程時假如以上二者之一存有刪除目錄，會詢問是不是實行。

假如必須對刪除的文件備份數(shù)據(jù),先開啟手機軟件設(shè)定下的“刪除文件前備份數(shù)據(jù)文件”，它將在刪除前將文件備份數(shù)據(jù)到%SystemDrive%\VirusBackup文件目錄中，且將文件名加上.vir后綴名以防誤實行。

6:有關(guān)進程的之后的不斷建立

能夠應用進程頁的“嚴禁程序執(zhí)行”，這一功能便是時興的IFEO挾持功能，我們可以應用它來屏蔽掉一些完畢后又全自動重啟的程序流程。根據(jù)禁止使用它的實施來清除文件。消除禁止使用的過程用“安全大檢查”頁的“禁止使用程序管理”功能，,因此在木馬應用IFEO挾持后還可以“禁止使用程序管理”中修復遭劫持的程序流程。

此外，手機軟件設(shè)定下的“嚴禁進程與文件建立”功能是對于木馬的頻繁運行，不斷建立文件，不斷寫注冊表文件開機啟動項開展監(jiān)控或阻攔,應用本功能后能更清松地刪除木馬文件及注冊表文件開機啟動項。

打開嚴禁“嚴禁進程與文件建立”后會全自動加上“監(jiān)管日志”頁，撤銷后此頁消退。能夠考察一下日志狀況便于從所阻攔的姿勢中遇到較為潛藏的木馬文件。留意的是，假如木馬插進系統(tǒng)軟件進程，則體現(xiàn)的日志是阻攔系統(tǒng)軟件進程的姿勢，你需要自身辨別該姿勢是不是有危害并剖析該進程的模塊文件。

要保存日志請在撤銷前Ctrl A都選后拷貝。留意,為避免日志太多,滿1000條后全自動刪除前400條日志。

對于上邊的狀況,你還是能夠應用進程中的“進程信息內(nèi)容”功能，從進程與模塊對應關(guān)系中掛起來相對應的進程，隨后完畢守衛(wèi)程序流程或掛起來守衛(wèi)程序流程，再實行立即刪除文件功能。

7:有關(guān)如何清理木馬的通俗方式：

非常簡單的辦法是：推動載入取得成功的情形下,針對木馬文件能夠立即應用Wsyscheck中各頁中的刪除文件功能（即先用環(huán)刪除功能解決木馬文件）,實行完后重新啟動系統(tǒng)軟件，，再消除它的開機啟動項，注冊表項等載入方式。

假如出現(xiàn)較難解決的木馬，下列流程能夠當作一個參照：

a.假如SSDT管理中有木馬模塊在工作中,請先修復SSDT,再在管理與服務(wù)頁清除木馬的服務(wù)項目及文件。

b.假如完畢木馬進程后不斷發(fā)覺木馬運行，能夠試著應用“完畢進程并刪除文件”或“嚴禁這一程序執(zhí)行”,讓其不會再運行后刪除。

還能夠相互配合應用“嚴禁進程與文件建立”讓其不會再建立新進程，建立文件失效而清除它。

c.有一些木馬運用服務(wù)項目運行，一定要注意一下并分辨一下服務(wù)項目頁中的鮮紅色表明程序流程。假如情況是STOP，而種類是Auto，則它已運作過一次，因此有可能運行了其他木馬程序流程。

d.強烈要求留意一下“禁止使用程序管理”，現(xiàn)階段運用IFEO禁止使用殺毒軟件或運行木馬程序流程的木馬是非常盛行的。

e.主題活動文件頁列舉了很有可能的運行方式，因此細心一點檢查一下是不是有木馬的運行新項目。

f.文件檢索中運用“限定時間”標準來檢索最近造成的文件很有可能有利于您的清洗工作中。

g.針對檢查出的開機啟動項，要不是十分毫無疑問，能夠精準定位到注冊表文件，將這一運行程序流程的途徑前再加上“；”等標識符讓其下一次不運行再觀查系統(tǒng)軟件能否一切正常以分辨它是不是一個木馬程序流程。

h.針對以Autorun.inf方法運行的木馬，可以用專用工具下的“消除Autorun.inf”功能（可相互配合“嚴禁進程與文件建立”應用以獲取最好是的實際效果）。假如手動式清除，實際操作中盡可能應用Wsyscheck內(nèi)嵌的文件管理方法實際操作防止雙擊鼠標本地磁盤再度激話木馬。在手動式刪除Autorun.inf文件前要Wsyscheck的文件管理方法中開啟這一文件查詢木馬運行的具體地址有益于您迅速尋找木馬文件。清除時完后檢查一下各盤網(wǎng)站根目錄以確保徹底清除了Autorun.inf文件。

i.應用“嚴禁進程與文件建立”留意一下增加的日志頁，便于尋找木馬的根本原因。假如在日志頁觀查到不斷寫建立文件，不斷寫注冊表文件，不斷建立的進程。當此進程是是非非系統(tǒng)軟件進程時還可以立即關(guān)掉并刪除它。如果是系統(tǒng)軟件進程，必須手動式剖析一下該進程的模塊（相互配合查詢一下主題活動頁的載入項有利于迅速尋找木馬插進系統(tǒng)軟件進程的模塊）。清除文件注冊表文件進行后不必撤出“嚴禁進程與文件建立”，而應立即應用專用工具下的“重新啟動電子計算機”，以保證大家的清除取得成功。

j.針對已明確的木馬文件，能立即刪除就刪除，不可以立即刪除就尋找它的開機啟動項刪除啟并重新啟動系統(tǒng)軟件讓系統(tǒng)軟件不會再載入此程序流程后再做文件刪除。假如木馬維護的比較好，以上方法無效,可以用DOS刪除功能先刪文件再清除開機啟動項。

8:Wsyscheck能夠帶主要參數(shù)運作以提升自己的優(yōu)先

Wsyscheck 1 高過規(guī)范 Wsyscheck 2 高 Wsyscheck 3 即時

比如必須即時運行Wsyscheck,能夠編寫一個批處理命令 RunWs.bat ,內(nèi)容為 Wsyscheck 3

將RunWs.bat與Wsyscheck放到一起，雙擊鼠標RunWs.bat就可以讓Wsyscheck以即時優(yōu)先運行。

9:順手專用工具表明(指菜單欄專用工具下的子菜單欄功能)

消除臨時性文件:刪除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的全部文件。

消除Autorun.inf:程序流程剖析各盤根目錄下的Autorun.inf偏向的文件，刪除各盤的Autorun.inf以及偏向的文件。

修補掩藏文件表明及禁止使用電腦硬盤全屏播放:工具欄過長寫不完,本功能還包含硬盤沒法雙擊鼠標開啟常見故障。留意，一些常見故障修補后可能必須銷戶或重新啟動才可以起效。

修補安全中心：一些木馬會毀壞安全中心的鍵值造成沒法進到安全中心，本功能先備份數(shù)據(jù)當今安全中心鍵值再修復默認設(shè)置的安全中心鍵值。

搭建安全性自然環(huán)境：復原SSDT(一些殺毒軟件復原SSDT會造成卡死,本功能僅檢測在Kv系列產(chǎn)品,Kav6.0下應用沒有問題,其他版本號請自主檢測。如不確定性,應用本功能前最好是撤出殺毒軟件進程),只保存系統(tǒng)軟件務(wù)必的好多個進程，隨后實行以上三個子菜單欄功能。

假如Wsyscheck的對話框自身已采用任意標識符,假如依然被木馬禁止使用,請將Wsyscheck更名后運作。