【平民系列教程】强悍的杀毒辅助软件Wsyscheck—没用过包你肠子都悔青了


===============================================我是传说中的分割线===============================================

前言

         杀毒,如果你光会靠杀毒软件,那么,就算你在用McAfee企业版8.5,那还离高手远着呢。杀毒软件所起的作用有限,除了限制病毒的运行和清除之外,对于病毒修改掉的系统文件、插入的非正常注册表键值、对IE所做的劫持等等都无法进行修复。所以我们需要额外的系统软件来辅助我们进行病毒的清除工作。

        杀毒用辅助工具,在我一直使用的系统软件中,从功能、界面、方便程度来综合考虑的话,桂冠非属Wsyscheck和Autoruns不可。而且这两款软件同时使用刚好就可以满足中毒系统的清理工作,加起来不到还1M,绿色环保,学会使用后copy进U盘你随时就可以冒充高手,忽悠别人。谁说天下无双的,他们就是传说中的双剑合璧。

        Autoruns的功能简单,上手容易,而且在本站小熊的杀毒教学视频里也早有介绍,在这里就不多说了。

        好!今天的主角隆重登场!欢迎我们的Wsyscheck!

        Wsyscheck的更新很频繁,教程中使用wsyscheck1224中文版作为示范。

        其实软件自带的“Wsyscheck简要说明”文本文档已经大体将Wsyscheck的中高级使用技巧说出来了,但是为了更方便菜鸟们上手,我会图文并茂并结合杀毒实例来说的。这篇教程的意义也旨在传播安全意识,提高大家的系统保护水平,所以没有太难的概念,我们McAfee粉丝网的宗旨就是让全中国的人都能杀毒,保护好自己的爱机。

===============================================我是传说中的分割线 ===============================================

GOGOGO

        开始前请下载好这个软件对照着学习,这样会更加直观。下载地址请见文章尾部。
        双击Wsyscheck.exe打开软件(双击打不开?请更改exe的名字,有可能你中毒的机器已经被病毒把这个强悍的系统软件禁用了。更名运行之后就不怕病毒自动关闭窗口了,因为标题栏的进程名是随机字符的,等于屏蔽了有些病毒靠窗口标题来关闭应用程序的功能。)

       图1  软件界面
      

       这是软件的初始界面,也是我们会花最多的时间的地方。
       这里显示了系统正在运行的进程信息。上面是exe进程列表,而下面则是根据你选择的进程,显示它加载/调用的模块信息。
       回到上图,以QQ.exe为例,大家可以看到我高亮选择的部分,有个fineplus.dll,而如果你们使用的是官方版安装版的QQ,在这里是找不到这个dll的。这是fineplus出品的显IP信息的QQ外挂,是采用挂钩注入QQ进程的方式来达到目的的。下面还有一个fphelper.dll也是它的文件之一。这样就清楚Wsyscheck当家功夫吧?没错,就是分析当前的所有进程中注入的模块。

       当然fineplus只是一个工具,并没有恶意行为。但是***呢?病毒呢?对你可就没这么好了。好,那么如果在这里看到了很多你不懂的乱七八糟的程序,文件,怎么办呢?接下来就开始我们的清除病毒实操过程。

       在开始之前,说两点基础:
       1、软件中,红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
       2、关于防毒意识,这么多的进程,文件我怎么知道哪个是不好,那个是好的?当然,这需要一定的经验,但是最基本的,如图1,没有“文件厂商”的文件是需要特别留意的,因为一般的病毒文件都不会有这些厂商或者版权信息。在下面的图2中就看得更清楚了。当然也不是全是这样,像上图的QQ中就有一部分是没有的。

       我们查看进程的时候只需要看红色和紫色的就可以了,黑色的是正常的进程,并不需要去研究。

        图2  中毒机器截图


        这是一个刚装完系统的机器,运行了一些病毒样本。可以看到,有很多非正常的exe在运行,而且,明明没有打开IE窗口却有几个IE的进程,属于极度不正常的状态,清理这样的系统势在必行。

        Wsyscheck清理病毒的方法有千千万万种,但是无非也就是以下的操作步骤:
        1、先禁止程序运行,防止结束了病毒程序后,又被其他互相保护的病毒进程带起的现象;
        2、先查看进程,查找里面非正常的dll模块,删除。然后结束该进程;
        
        好,深的就免提了,我传授给大家最最简单最最常用最最实际的那招,先来看看软件菜单有什么好东西吧。

        图3  软件设置


        “校验微软签名” —在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)。
        如图2,选择了校验之后会在最右边的“微软文件签名”里面显示pass还是no pass,no pass是必须检查的,pass的也不可以不看。因为里面可能有挂钩的dll文件。这是操作是给你参考用的,并不完全准确。
       "禁止进程与文件创建” —这就是传说中的武林秘籍,清除病毒的基础中的基础。选择了这个之后,任何进程和文件都不能被创建。效果如图4

        图4  禁止进程与文件创建


        可以看到,在选择这个选项之后,每个进程下面都挂载上了一个c:\document\....\temp\NoRun.dll的文件,厂商是wangsea(作者),这个文件的作用就是防止进程创建,可别误以为多了个病毒喔。
        从图上可以看到,我在桌面右击,选择“新建”—“新建文本文档“的时候,被阻止了。

        这下爽了吧?以前病毒删了又来,来了又删的时代一去不复返了吧?哈哈,但是,我偏不喜欢在windows里面删你,因为有些病毒进程结束后可能会导致系统崩溃,蓝屏,重启等现象,那怎么办?呵呵,来,看图5

        图5  进程管理—病毒清理


        在发现不正常的dll下面右击,看到出来的菜单了吧?里面找到宝物没有?没错,就是”添加到dos删除列表“,点击把它添加到dos删除列表中去。可以通过shift、ctrl组合选择多个文件。注意操作顺序,先在每个exe下面挑选不正常的dll文件添加到dos删除,然后再把不正常的exe添加到dos删除,比如那个恶心的60e41.exe。但是一定要看清楚,有些exe仅仅是因为病毒运行了才会调用的,比如图中的iexplore.exe,它的确是正常文件,也在正常的系统目录下,所以,可别一不小心把它删了。。。大家可以看到我选择的基本上是一些没有文件厂商,或者文件厂商伪装成微软,却没有通过微软文件签名校验的文件(但是图5的winrar\rarext.dll是截图的时候误选,到时可别搞错了)。
        问题是,有些人不知道什么文件可删,什么文件不可删,那么,请留意软件界面中的“监控日志”选项页,如图4、图5,这个选项页只会在你启用“禁止进程和文件创建后才会打开。效果如图6:

       图6  监控日志


        瞧,开启“禁止进程和文件创建”后,所有试图创建进程和文件的信息都在这里显示出来了,包括我刚刚示范的新建文本文件在内。强悍吧!这样就可以帮助你挑选有问题的进程了,但是有些病毒文件不一定会创建进程和文件,这样就看不到了。所以,还是要靠经验和对系统文件的理解,慢慢积累吧。

        图7  ”dos删除列表“显示


        在软件的显示界面有一项”dos删除文件“,点击进去如图7。汗...最后清出来的病毒文件还真多...在这里可以点击”添加删除文件“手动增加。点击”执行dos删除“会马上重启系统,切记,有什么重要文件记得保存好了。

       图8  执行dos删除后增加的启动菜单
      

        执行后会在启动菜单中生成一项“删除顽固文件”的启动列表,不会自动选择的喔,重启完记得准备选择了。进去之后会自动开始删除文件,然后自动重启。

        注:Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)

        所以有些人可能没有这个选项,因为没有那个附加模块。放心,你添加到“重启删除文件”也是可以的,就是在dos可以更加方便和完全。重启删除文件的管理菜单在“安全检查”—“重启删除文件”里面,内容跟dos的一样。

        图9  删除文件后的系统  

        我倒,整个世界都清净了。红色,粉色的进程没剩下几个了,余下挂载的进程也都是些正常的文件比如VMware虚拟机的和我新装的迅雷。。。

        至此,最最简单也最最方便的病毒初步清除就已经做完了。当然,wsyscheck的功能不止这么点。

===============================================我是传说中的分割线 ===============================================

GOGOGO2

        头疼病毒让你不能显示隐藏文件吧?头疼病毒让你进入安全模式蓝屏吧?头疼病毒让你双击硬盘盘符又马上启动了病毒进程吧?Wsyscheck还有一项“工具”的菜单可以帮助你解决所有这些问题!你所需要做的,就是点击一下而已。。。

         图10  “工具”菜单
      
      
       ”修复隐藏文件显示“—顾名思义
       ”禁用硬盘自动播放“—可以修复磁盘无法双击打开的故障,有可能需要注销或者重启
       ”修复安全模式“—顾名思义
       ”清除临时文件“—删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件
       ”清除Autorun.inf“—顾名思义,可以一键搞掂所有盘符下的Autorun,让你可以放心双击盘符,不再感染病毒
       ”构建安全环境“—注销系统后重启启动一个干净的进程,相当于进入了安全模式
       ”重启计算机“—顾名思义,是快速重启,忽略保存设置,注销系统等步骤,一按马上黑屏了,呵呵

       这么强大?是不是还有点意犹未尽,那么,去把病毒的尸体都干掉吧。

       图11  服务管理


        服务管理页面,最有特色的是可以显示文件的创建时间,这样可以通过时间来挑选病毒服务了。其他的功能和类似的软件差不多。把病毒生成的服务文件都干掉吧!当然还有其他很多选项,这些可以自己慢慢挖掘。

        其他功能:
        还记得小熊视频里面提到的映像劫持吧?就是那个p_w_picpath file execution option的注册表键值。在Wsyscheck里,也能很方便的看到,只要去到“安全检查”—"常规检查“里面就可以了。如图12:

        图12  禁用IE      

        这里可以看到Host文件,看看病毒有没有给你修改;还有右上方的p_w_picpath file execution option,在框框内点击右键选择”添加新的禁用“,输入进程名,比如图12中的iexplore.exe,然后你点击ie图标,就提示打开不了了。同样,遇到不爽的病毒文件可以在这里给他来个陷阱,嘿嘿,是不是觉得很有McAfee的感觉?(注:有使用我站迎冬版规则的朋友在做这个操作示范的时候有可能触发自定义规则报警,就是禁止病毒修改“ p_w_picpath file execution options”注册表主键的那条规则,请注意。别误以为是中毒了。)

===============================================我是传说中的分割线 ===============================================

总结


        先抛砖引玉到这里吧,其实这个软件的用途多得是,说几千字都说不完。希望大家能在平时使用中仔细发掘里面的内容,用熟了,很多地方都可以有新的做法。
        比如,我不用整个“禁止创建进程和文件”,我有经验的话直接右击可疑进程,选择”禁止选择的程序运行“就可以了;
        再比如,我也不用重启删除文件,我只要在”软件设置“菜单里面勾选上”删除文件后锁定“,Wsyscheck会自动删除完那个文件后,再生成一个同名0字节文件,这样病毒想创建这个文件也没用了。
        还有比较深奥的”内核检查“菜单,这个可以在网上搜一下资料,比如SSDT,FSD的作用,这个就不是随随便便就能说得清楚的。

        好吧,最后的礼物,附上软件。天啊,在我写教程的时候新版有出来了,是1225版,此版本集成了dos删除功能,下载地址,记得迅雷喔。
[url]http://count.greendown.cn/view_down.asp?downd_id=15&downd=0&ID=16025&down=yes[/url]
年底了,发些好东西让大家一起欢度新年~不再为电脑问题烦恼。觉得有用记得顶起来让更多的人看到喔~~~