反毒利器syscheck详细使用说明

ooo-ppp

syscheck2 反黑辅助说明:
   本软件适用于Win2000、Winxp及Win2003。以下为功能的简要说明。
1：进程管理
   红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程，但不推荐你去中止第一个svchost.exe前的进程（包括第一个svchost.exe），这样做
的后果可能是导致系统重启或无法关机。
   syscheck的进程管理页可列出win32级的隐藏进程，但不会特别标注它。
   通常在手动杀毒中会结束那些红色显示的进程，很多全局钩子会插入到Explorer等系统进程中（注意
模块中的红色dll），所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载，可以
勾选<限制线程的创建>来禁止新的线程。
   推存对可疑的模块进行全局卸载再进行注册表的修复工作。
   在进程管理页的模块显示栏中右键选项有属性，删除到回收站，加入到重启删除列表三项，可以方便
在进程显示页就分析、清理恶软或木马。
   <删除到回收站>会结束该模块的主进程后删除模块列表中选定的文件，支持多选。
   <卸载模块并删除文件>在删除全局HOOK的DLL时可能会用到。
   <加入到重启删除列表>直接将选定的文件重启后删除。（注意不要把系统DLL删了）建议只对红色显
示的非系统模块进行删除处理。
   <永久禁止此文件的执行>即软件限制策略，仅对exe文件有效。注意，过多地限制软件的执行可能会
影响系统运行效率。
   使用微软验证耗时较长，但对某些仿冒签名的进程、模块及服务有一定的分辨作用。
2：服务管理
   红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启
动的服务，文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件
路径。
   中止服务功能是仅在系统重启前中止服务，并不是永久性的中止服务。而删除服务则是删除服务键值
（不提供删除前的保存。所以，要删除你得自已去确定是否真要这么做）。
   值得注意的是，某些服务是无法中止或删除的（比如划词搜索的驱动服务）。这是因为它可能采用了
注册表键值的保护。对付这类服务，要使用内核Hook检查中的ssdt恢复功能后，才能在本页中删除其键值
（要注意的是，某些服务不提供终止服务，所以删除服务后它可能仍在运行，需要重启才真正停止）。
  右键的禁用服务功能要强大一些，有些服务虽然无法停止，但禁用服务仍然可以成功。重启后再删除相
关文件要容易得多。
  在服务页使用右键可获得更多的服务控制。
3:检测修复
  a:活动文件
  
   活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck仅关注于改写了的键值
，所以不同的机器上显示内容并不一样。
   在做恢复前，可以核对一下讯息栏显示的内容，以确定是否要恢复。对于没有讯息显示的项目可以定
位文件查看文件的属性。
  
   要注意的是，syschek在本页中的恢复不仅仅是改回系统默认值（或删除不需要的键值），如果需要恢
复的是一个DLL文件工作的键值，syschek还会做反注册该DLL的工作。
   Winsock检测用于检测Lsp被劫持的情况，不管是否检测到第三方的DLL是否加载，也允许用户强制恢
复Winsock。所以，也可以用来作其它检测修复工具破坏掉了Winsock引起网页不能浏览的恢复处理。
   b: 敏感键值

   本页显示的内容是没有对应文件的系统键值。这些是系统允许的，但有改写后可能造成你使用不便的
键值（如NoRun等文件关联改写）等。
   c: 内核Hook检测
   
   内核Hook检测只关注于被Hook了的内核函数，一般来说对应的模块提供者是一个.sys文件。
   以划词搜索为例，它的驱动交叉保护（注册表HOOK及文件HOOK），自身的卸载与其它的卸载工具都不
能删除hcalway.sys及abhcop.sys文件（且卸载后这两个驱动还在运行中，所以，你无法直接删除这两个
文
件。
  
   对付这样的系统底层驱动，可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是，大部
份的杀软也注册有底层HOOK，如果你选择了它们，还原后至重启前这些杀软的实时监视将可能失效。
   恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了（恢复前由于受
其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器（系统无法删除一个运行中的文
件，而划词的驱动又不停供停止功能，所以只能重启），就可以手动删除这两个文件了（当然也可以用内
置的资源管理器中的<加入重启删除列表>功能，来代替手动删除的操作）。
   由于底层Hook的优先级很高，所以恢复了SSDT后，可能会有一些隐藏的进程或文件会显示出来，故可
以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程，注册表项等。
   d:疑难修复
   提供了一些快捷方便的修复按钮，在相关按钮上悬停可获得相关简要使用说明。
   e:端口查看
  
   主要是用来观察一下本机是否有不正常的连接。
4: 文件搜索
   通过限制一定条件搜索，以便清除系统中的病毒备份或找到未知病毒。
5: 文件浏览

   由于syscheck采用了一些反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹（例如灰
鸽子、hackdef100隐藏的文件）。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文件（如
Downloaded Program Files），内置资源管理器也可一览无遗。
   内置资源管理器用法与Explorer基本相同，右键菜单除了普通的删除操作外，还有延时删除（重启后
生效），可用于删除顽固文件。（注意这个选项没有后悔药，删除前多看一眼文件属性，修改日期等讯息
，不要把受保护的系统文件也删了！）。
--------------------------------------------------------------------------------------------
顽固病毒清除步骤：
1: 先试试病毒是否自带所谓的“卸载”功能，如果有就先执行，以便快速清除外围普通病毒文件（此时
病毒保护机制仍然可能在生效）。对于模块DLL文件，可以试用全局卸载，一般执行1-2次可以使全局DLL
退出。
2: 进入“内核Hook检测”，还原所有被Hook的系统函数（如果无显示内容，则跳过本步骤）。
3: 结束所有非系统进程（红色显示的进程）。如果是删除IE插件类的病毒，请同时结束Explorer及浏览
器进程。如果明确知道是病毒进程，可以先单击它，然后在其模块列表中直接用右键删除该文件。
4: 进入“服务管理”，找到并删除病毒对应的注册表服务项。
5: 进入“活动文件”，删除其启动加载项及BHO、IE工具栏等加载项。
6: 进入本工具的“资源管理器”（不是Windows的资源管理器！），找到病毒对应的文件，右击，选择“
删除所选（含文件夹）”；如果不成功，则选择“加入重启删除列表”。
7: 重启，重复上述步骤检查，直到系统干净为止！
--------------------------------------------------------------------------------------------
关于快速净化功能键的说明:
1: 快速净化后会在你的桌面上生成[Syscheck修复前备份]文件夹，本文件中包含文件如下:
   a.WinSock备份.reg；
   b.hosts还原.bat 及hosts文件；
   c.如是有启动组中的快捷方式或程序，也会移入本文件夹中；
   d.原来的注册表启动备份到“启动备份.reg”备份文件中。
   多次执行快速净化请将第一个[Syscheck修复前备份]文件夹改名保存，因为程序会覆盖原有文件，仅
第一个备份是您的最初系统备份。
2: 快速净化的功能:
   a.禁用了一切启动文件；
   b.删除了一切插件，一切对正常系统不该存在的键值；
   c.还原了默认winsock；
   d.将hosts文件改为了默认的127.0.0.1       localhost 一行；
   e.删除各盘根目录下的Autorun.inf；
   f.删除windows及Program Files目录下的*.com文件；
     删除system32下与*.exe同名的*.com文件。
3: 使用快速净化的处理方法:
   快速净化处理完毕，有一个倒计时对话框提示是否重启。手动能力较强的用户可以选择不重启。此时
系统关闭了许多进程，可以执行一些先前无法执行的一些操作，当然此时用清它清理工具来清理的效果也
更好。同时也可以手动编辑快速净化中生成的.reg及.bat文件并立即执行，重启后会有更好的兼容性。
   a.净化后你的系统的一些功能可能不能使用，不必担心，备份中都有，都可以还原；
   b.建议先直接双击"启动备份.reg"还原启动项，再打开syscheck中将不再使用的启动项目删除；
     快捷方式如果想保持启动也可拖回到启动组中；
   c.打开hosts文件，查看有无您不想要的项目，修改后可用"host还原.bat"持贝它到原有的位置（根据
需要，本操作可以不必执行）；
4: 做完清理工作再重启一次。上网打开网页试一试，如果不行，则用备份的winsock.reg还原（还原后可
能需要重启一次才能生效）。
  
   通过以上步骤，我们就可以在一个干净的环境下清除木马，快速处理文件删除了。
   
                                                             wangsea
                                                             Email:wang6071@sina.com

EMIKOK

无敌敏敏

收藏了~

samsonov

有图片说明吗?

ooo-ppp

发几个图片看看工具如何

dianshixs

了解了!

ggmj

不错，收了，谢谢啊

sxingbai

又是一个国人的好东东