西班牙华人网 西华论坛

 找回密码
 立即注册
搜索
查看: 408|回复: 10
收起左侧

计算机系统安全辅助工具帖

[复制链接]
发表于 2008-8-12 07:23:45 | 显示全部楼层 |阅读模式
值得您信赖的反病毒软件

与反(防)病毒软件相辅相成,可以加强您电脑的安全系数

    首先想说的是我最常回答的问题是什么,像什么如何进入安全模式,怎么打开注册表编辑器,怎么显示出隐藏文件,什么是hijackthis等等。这些问题的频繁出现说明了什么?有些新手不想多动一步手,其实这些东西只要搜索一下马上就知道了,在此说明我并不是不屑于回答这些问题,每一个问题只要是我会的我都会尽力去帮助大家解决,我只是想说,大家既然来论坛求助必是有好学知心,那为什么不自己再多动手动脑思考一下呢,其实答案就在你自己键盘下,多敲几下就明白了。想必大家喜欢这个板块,就一定喜欢电脑技术,下面我想说说自己提高电脑技术的方法。


特别推荐

360顽固木马专杀大全



     360顽固木马专杀大全为您提供“一站式”解决木马方法,最快最全解决系统诸多问题。如果360安全卫士无法安装、运行,系统中已感染木马、病毒,或者系统出现不正常状况,建议您下载360顽固木马专杀大全使用!

360顽固木马专杀大全包含如下工具:
360安全卫士修复工具
360安全卫士诊断工具
最新机器狗木马专杀工具
最新磁碟机病毒(Dummycom)专杀工具
最新各类流行木马专杀
无标题.jpg


专杀大全由360安全卫士出品,提供如下功能
1.顽固型木马查杀及部分感染型木马感染文件的修复
  <1>可查杀机器狗、U盘病毒、磁碟机等数十种顽固型木马
  <2>修复360安全卫士及360保险箱
  <3>建议您在断网或者安全模式下使用专杀大全,效果会更佳(开机后按F8可选择进入安全模式)
  
2.流行木马免疫:提供有host免疫、文件免疫、开机免疫三类免疫功能
  <1>host免疫:通过在host表中添加对挂马网站的屏蔽,切断木马入侵源头
  <2>文件免疫:通过免疫文件使木马病毒下载后无法成功创建
  <3>开机免疫:采用驱动级免疫方式,专门提供给网吧用户使用(不建议个人用户使用)
  免疫功能提供命令行调用方式,命令行参数为-anti  ,网吧用户可通过远程调用来维护
  查看免疫文件具体说明:http://baike.360.cn/3229787/2649304.html

  
3.修复:与360安全卫士IE修复功能一致,对被篡改和被破坏的IE相关设置进行修复
4.漏洞:调用360安全卫士最强主动防御类功能,对系统进行全面检测
5.求助:如果使用完专杀大全仍无法解决系统中木马问题,请使用专杀大全获取一份系统诊断报告,上传至360论坛或百科,将会有工作人员协助您解决问题
   360论坛求助地址:http://bbs.360safe.com/viewthread.php?tid=486390
   360百科求助地址:http://baike.360.cn/4005462.html
如果无法运行SuperKiller.exe或SuperKiller.exe扫描时出现崩溃情况,
请打开tools\目录,然后依次运行目录中每个专杀工具进行扫描,并清除木马/病毒。



这里说明一下,一般用户只需装360安全卫士即可,不必样样都装,高级点就是Hips了,比如国产的魔法盾 EQSecure ,安全是靠良好的操作习惯慢慢培养出来的,不仅仅依赖于软件,更在于你的操作!

[ 本帖最后由 sherley 于 2008-8-12 07:30 编辑 ]

评分

参与人数 1银子 +200 视频 +391 收起 理由
akaztec + 200 + 391 好文章!特此授予社区奖励

查看全部评分

 楼主| 发表于 2008-8-12 07:31:43 | 显示全部楼层

                               
登录/注册后可看大图
流氓软件清理


                               
登录/注册后可看大图
360安全卫士
  

                               
登录/注册后可看大图
Windows清理助手


                               
登录/注册后可看大图
木马防护


                               
登录/注册后可看大图
AVG Anti-Spyware  

                               
登录/注册后可看大图
Dr.Web  

                               
登录/注册后可看大图
超级巡警




                               
登录/注册后可看大图
实用安全工具推荐


                               
登录/注册后可看大图
System Repair Engineer  

                               
登录/注册后可看大图
IceSword 冰刃  

                               
登录/注册后可看大图
wSyscheck
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:33:15 | 显示全部楼层

流氓软件清理



360安全卫士在流氓软件、木马横行时应运而生并且红火,一是周鸿祎善于商业炒作,在360还不出名时跟卡巴合作,附赠半年免费卡巴斯基使用,跟老东家雅虎口水战,一手把自己开创的雅虎助手定性为流氓;二是广大网民确实深受流氓、恶意软件之害,民愤极大,可以说360安全卫士的推出是顺天时,合民意。





·什么是恶意软件?


     恶意软件是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。

·如何防止恶意软件入侵?


  1.养成良好健康的上网习惯,不访问不良网站,不随便点击小广告
  2.下载安装软件尽量到该软件的官方网站,或者信任度高的大下载站点进行下载
  3.安装软件的时候每个安装步骤最好能仔细看清楚,防止捆绑软件入侵
  4.安装如360安全卫士等安全类软件,定时对系统做诊断,查杀恶意软件。
     

    在互联网这轮空前的声讨大潮下,恶意软件已经面临过街老鼠人人喊打之境,超过95%的人对“恶意软件”深恶痛绝。
    顺应反恶意软件大潮催化,网络大扫除活动下一阶段将重点清理这些“恶意软件”的传播媒介,着力协同其他反恶意软件媒体、厂商、网站等团体和个人,斩断这条灰色产业链的生命线。
    因此我们呼吁各大下载网站和个人,都献出自己的力量。严格检查各自上传软件、摈弃不良推广习惯,为普通网民提供快捷、方便的查杀恶意软件渠道。我们呼吁各大厂商尽快规范行为,推动网络净化大业。


                                    
[网站:获取反恶意软件标示]
[个人:从我做起,共同宣传]



                               
登录/注册后可看大图

360安全卫士V4.18版
点此离线升级
主程序版本:V4.1.8.1006   安装包版本:V4.1.8.1018
大小:5.41 MB            系统要求:Win2000/XP/VISTA
最后更新:2008-06-30



到百科与网友讨论



推荐下载站点: 如果您到下列网站下载,可以获得较快的下载速度。
天空下载
华军下载
中关村在线下载
太平洋下载
新浪下载
霏凡下载
5down下载
pchome下载
IT世界下载
ZDNet下载



360安全卫士简介
360安全卫士V4.18版只有 5M 左右,适合快速安装(使用卡巴斯基杀毒功能时,需要手工下载卡巴斯基杀毒软件)。

360安全卫士是国内最受欢迎免费安全软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,卡巴斯基杀毒,系统实时保护,修复系统漏洞等数个强劲功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全保护。


                               
登录/注册后可看大图

  最近更新:


1. 智能忽略失败补丁,增强免打扰功能
  • 自动忽略安装失败的漏洞补丁,避免打扰,服务更贴心。
2. 下载补丁窗口可隐藏,安全娱乐两不误
  • 漏洞补丁下载时窗口可最小化,下载补丁的同时不耽误网络冲浪。
3. 新增定时检测功能,系统安全状况尽在掌握
  • 可自定义每日、每周检测功能,无需打开360主界面,系统安全状况也尽在掌握。
4. 新增游戏免打扰模式,安全服务更贴心
  • 游戏状态免打扰,仅针对盗号木马入侵报警,提高网游玩家体验。
5. 360文件知识库智能查询,未知程序一网打尽
  • 集成360文件知识库查询系统,凝聚 360 数千万网民的智慧,未知程序一网打尽。






评分

参与人数 1银子 +200 视频 +391 收起 理由
akaztec + 200 + 391 好文章!特此授予社区奖励

查看全部评分

回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:35:36 | 显示全部楼层
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:39:17 | 显示全部楼层

木马防护



绿色版实时防护方法运行目录下的install.bat安装、uninstall.bat卸载、加右键扫描方法运行目录下的!)右鍵设置.bat、!)右鍵解除.bat!

AVGAnti-Spyware--极致安全完美防护.针对因特网上传播的新一代安全威胁的有效解决方案.确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVGAnti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.

如果要启动AVG,请运行主程序_avgas.exe,不要运行avgas.exe了。为了您方便的使用AVG,你可以修改原来的快捷方式指向由原来的avgas.exe变为CRavgas.exe 破解不再反弹!

AVG Anti-Spyware 7.5.1.43-3339 免注册绿色版



                               
登录/注册后可看大图


AVG Anti-Spyware -- 极致安全 完美防护.
针对因特网上传播的新一代安全威胁的有效解决方案.
确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.
反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.

AVG Anti-Spyware 7.5含有相同的ewido技术,但是带有更为增强的特性:
高度改进的清除性能
更低的资源使用
支持附加的语言

AVG Anti-Spyware的特性
新 完全复新的用户界面
新 可以创建例外
新 安全删除文件的粉碎器
新 XP反间谍
新 浏览器帮助程序对象查看器
新 分层服务提供器查看器
启发式探测未知威胁
扫描和清除Windows注册表
支持扫描NTFS交换数据流
每日更新数据库
通过使用强特征码防止补丁
分析工具(启动,连接和进程)
智能联机更新
在压缩文档内扫描
安全探测和删除动态链接库木马
通过模拟探测通用加密器
探测通用捆绑程序
免费电子邮件支持
自动清除引擎
可疑文件隔离
多语言用户界面

加强版的附加特性
新 计划扫描
实时监视整个系统
内存扫描探测活动的威胁
核心层自我保护保证了无缝监视
自动联机更新

7.5.1更新简介:
- 支持Windows Vista
- 支持Windows的64位版本(Windows XP 64位和Windows Vista 64位)
- 更佳的可靠性和更新速度
- 付款用户在更新服务器上有更高的优先级
- 修正许多错误(包括高CPU使用和计划器错误)

2008.04.19  AVG Anti-Spyware 7.5.1.43-3339 简体中文语言文件 [20080419]
全新方式完美集成官方截至20080419最新特征文件[包含1111455条记录]


AVG Anti-Spyware,然后右键点击托盘中的AVG Anti-Spyware图标,取消随Windows启动(Start with Windows)选项并退出(Exit).
之后再把汉化文件夹内的文件复制到安装目录,运行_avgas.exe 即可.


AVG Anti-Spyware(原eWido) v7.5.1.43.3339 完美汉化破解安装版

回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:40:07 | 显示全部楼层



Dr.Web杀毒软件是一款来自俄罗斯军方反病毒软件,其系列产品不仅被俄罗斯国会、国防部、总统办公室所专用,更得到了全球电脑用户的亲睐及认可。   

1、近乎完美的反病毒引擎
2、出色的系统稳定性
3、更低的系统资源占用
4、最快的新病毒反应速度--病毒库平均1小时更新1-2次
5、出色的未知病毒防范能力
6、超级脱壳能力大大提高了对未知病毒的侦查能力,以提供行之有效的全方位安全解决方案来保障各类用户的利益,真正意义上为您的电脑提供安全、严谨的军方保护。

经过坚持不懈的努力 水星技术组 终于解决了蜘蛛更新反弹的问题····大家可以利用蜘蛛自带的更新程序来更新了···

本版说明:
*美化了蜘蛛扫描的主界面(可用官方更新程序更新,不再反弹为原版画面)
*支持添加中文右键扫描(可用官方更新程序更新,不再反弹为英文)
*基于Dr.Web4.44官方简体中文安装版制作
*实现任意位置注册
*全面支持xp/vista
*无服务加载 完全绿色 无监控
*利用到BETA KEY,可以扫描压缩包,到期后请自行寻找KEY

使用说明:
已经安装了Dr.Web的请卸载干净后使用本版本
请勿用软件自带的更新程序更新,请用开始菜单的更新,点击更新,谢谢
安装:解压到任意目录,运行“安装”即可
      第一次升级可能会文件很多和升级失败,请多升级几次即可
      
卸载:运行目录下的“卸载”或者开始菜单的“卸载”即可。


                               
登录/注册后可看大图





大蜘蛛 Dr.Web 4.44.2.11261 卡饭二周年 免安装注册版 不反弹
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:41:40 | 显示全部楼层

软件简介:1、杀毒能力再增强,完全媲美于商业软件

·中国第一款完全免费的杀毒引擎,670,000 木马与病毒库,保护您远离病毒侵害;
·完全兼容其它杀毒软件,系统资源占用小,让您可以自在地给电脑上个双保险;
·全面查杀熊猫烧香、维金、灰鸽子、我的照片、机器狗、AV终结者、ARP病毒、盗号木马等流行病毒。

2、实时保护与主动防御,保护您免除盗号、盗卡烦恼

·关键位置保护、程序行为和网络行为监控,让最新的病毒与木马无处藏身;
·每天 900,000 在线用户使用,实时保护功能稳定可靠;

3、补丁检查及自动修复,把您的QQ、暴风、迅雷、联众漏洞一起管起来

·国内首创应用程序补丁检查并修复,可以在官方正式补丁前直接关闭存在漏洞;
·全面检查操作系统漏洞,精确提供所需补丁,下载速度远超官方升级;

4、强大直观的分析工具让您具备分析病毒与木马的火眼金睛

·电脑高手最喜爱的病毒与木马分析工具,您也可以过把高手瘾;
·检查启动项、进程、服务、端口等,并有未知项目高亮显示,禁止进程创建等多种贴心设计;

5、免费赠送胜过商业软件的辅助功能

·ARP防火墙囊括其它同类收费软件全部功能,防护效果好,性能影响低;
·系统优化、系统修复、文件粉碎、一键修复IE、隐私清理等功能,只装一个软件,拥有全部功能;


2008-08-05_213302.jpg

下载地址:
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:43:08 | 显示全部楼层

实用安全工具推荐


                               
登录/注册后可看大图


什么是 System Repair Engineer?
         System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 该软件是由 KZTechs.COM 网站站长 Smallfrogs 开发的,能够运行在所有主流的 Windows 操作系统上。

在 System Repair Engineer (SREng) 的帮助下,您可以自己诊断您操作系统可能存在的普遍性问题,即使您是计算机的初学者,您也可以使用 System Repair Engineer (SREng)  的智能扫描功能将您系统的概况生成一份简要的日志,然后将该日志传送给对操作系统熟悉的朋友或网友,在他们的帮助下解决您系统可能存在的问题。 System Repair Engineer 的开发目的是:


  • 提供一个能够较快诊断出系统常见故障的工具。
  • 能够修复大多数常见的故障。
  • 能够生成一个扫描报告。
  • 能够运行于多种操作系统平台下,支持多语言界面。
  • 具备一定的自动检测修复能力。
  • 便于扩充并且能够以最小的代价进行扩充。
SREng 功能分类
    按照类别划分,SREng 的功能点可以划分为以下几类:

    系统配置/修复类:启动项允许/禁用/删除/编辑;启动配置文件配置;服务配置;驱动配置;常见文件关联自动修复;系统关键数据修复;浏览器加载项管理;HOSTS文件管理;Winsock Provider 修复/重置;安全模式重置等等。

    智能扫描/诊断类:基于数字签名认证的高级安全诊断组件;API HOOK警告提示/修复;隐藏进程检测;扫描报告提供;可疑文件自动提取等等。

    扩展类:第三方插件支持;自定义扩展批处理数据支持。

    其他类:多语言支持;新版本自动检测支持;操作立即生效支持等等。
   

                               
登录/注册后可看大图
软件下载

                               
登录/注册后可看大图


正式版本


                               
登录/注册后可看大图
2.6.11.992 版本
  发行说明  For Windows 98SE/ME/2000/XP/Server 2003/Vista/Server 2008
      
(请尽量使用外部下载地址以减轻主服务器的访问和下载压力)

                               
登录/注册后可看大图
System Repair Engineer 支持插件功能,你可以阅读在线帮助手册开发自己的插件,也可以点击这里察看官方插件列表并免费下载。



回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:44:29 | 显示全部楼层
IceSword1.22中文版

IceSword是一斩断黑手的利刃,它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
  在对软件做讲解之前,首先说明第一注意事项:此程序运行时不可激活内核调试器(如softice),否则系统即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。
  IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSwo rd使用大量新颖的内核技术,使得这些后门躲无所躲。


添加的小功能有: 1、进程栏里的模块搜索(Find Modules) 2、注册表栏里的搜索功能(Find、Find Next) 3、文件栏里的搜索功能,分别是ADS的枚举(包括或不包括子目录)、普通文件查找(Find Files) 上面是要求最多的,确实对查找恶意软件有帮助 4、BHO栏的删除、SSDT栏的恢复(Restore) 这项本来是“鸡肋”项,可加可不加。比如BHO删除用户可以手工作。 SSDT 恢复就更没用了:几年前最先发布的版本就给出了SSDT项当前值与原始值,所谓恢复就是用原始值的4字节写回去,当时未提供是考虑一方面SSDT hook这种早已“滥用”的表层技术对IS的操作没有影响,另一方面使用它的却往往是正常的杀毒软件而非恶意软件(恶意软件早没这么菜了,太容易被发 现),所以觉得提供给普通用户只会让他们破坏自己的杀软。不过有朋友老提,就加几句代码吧。 5、Advanced Scan:第三步的Scan Module提供给一些高级用户使用,一般用户不要随便restore,特别不要restore第一项显示为"-----"的条目,因为它们不是操作系统 自己修改的就是IceSword工作需要的,restore后会使系统崩溃或是IceSword不能正常工作。其实最早的IceSword也会自 行restore一些内核执行体、文件系统的恶意inline hook,不过并未提示用户,现在觉得像SVV那样让高级用户自行分析可能会有帮助。另外里面的一些项会有重复(IAT hook与Inline modified hook),偷懒不检查了,重复restore并没有太大关系。还有扫描时不要做其它事,耐心等待。如果你安装了卡巴之类的杀软,可能结果察看就比较麻烦:修改太多了...... 6、 隐藏签名项(View->Hide Signed Items)。在菜单中选中后对进程、模块列举、驱动、服务四栏有作用。要注意选中后刷新那四栏会很慢,要耐心等。运行过程中系统相关函数会主动连接外界 以获取一些信息(比如去crl.microsoft.com获取证书吊销列表),一般来说,可以用防火墙禁之,所以选中后发现IS有连接也不必奇怪,M$ 搞的,呵呵。 7、其他就是内部核心功能的加强了,零零碎碎有挺多,就不细说了。使用时请观察下View->Init State,有不是“OK”的说明初始化未完成,请report一下。
soqp5OyYJUYE.jpg



回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-8-12 07:45:34 | 显示全部楼层
wSyscheck中文版



                               
登录/注册后可看大图

   Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。
  一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。
  最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。
Wsyscheck基本功能简单介绍:
1:软件设置中的模块、服务简洁显示
  简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。
  SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
  
2:关于Wsyscheck的颜色显示
进程页:
  红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
服务页:
  红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
  使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
  在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
  进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。
  在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)
SSDT管理页:
  默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
  SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
  
  使用“恢复所有函数”功能则同时恢复上述两种HOOK。
  发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。
活动文件页:
  红色显示的常规启动项的内容。
3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”
  多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
  驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。
4:关于卸载模块
  对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。
5:关于文件删除
  驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。
  文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。
  Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)
  “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
   
    注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。

  如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。

6:关于进程的结束后的反复创建
  如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。
  也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。
  软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。
  要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
  对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。
  懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。
8:关于批量处理
  各页中可尝试用Ctrl,Shift多选再执行相关的功能。
  文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。
9:关于如何清理木马的简单方法:
  
  1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。
  2: 批量选择病毒进程,使用“结束进程并删除文件”。
  3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。
  4: 执行“清理临时文件”、“清除Autorun.inf”
  5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。
  6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。
  7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。

10:Wsyscheck可以使用的参数说明:
  Wsyscheck可以带参数运行以提高自身的优先级
  Wsyscheck 1 高于标准  Wsyscheck 2 高  Wsyscheck 3 实时
  例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
  将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。
  Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。
  Wsyscheck -s 在-f的基础上执行创建安全环境后退出。
  如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。

11:随手工具说明(指菜单工具下的子菜单功能)
  一般看其意即识其意,仅对部份子项说明:
  清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
  禁用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
  修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
  如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。

                                                               Wangsea 20071222
                                                               Wang6071@sina.com.cn
                                                               http://wangsea.ys168.com


回复 支持 反对

使用道具 举报

发表于 2008-8-12 16:00:16 | 显示全部楼层
hao 多啊

看的我晕
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|广告服务|免责声明|小黑屋|友情链接|Archiver|联系我们|手机版|西班牙华人网 西华论坛 ( 蜀ICP备05006459号 )

GMT+2, 2024-11-26 03:13 , Processed in 0.014388 second(s), 15 queries , Gzip On, Redis On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表
手机版