Wsyscheck (木马清除)

Wsyscheck是一款手动清理病毒木马的工具，其目的是简化病毒木马的识别与清理工作。

一般来说，对病毒体的判断主要可以采用查看路径，查看文件名，查看文件创建日期，查看文件厂商，微软文件校验，查看启动项等方法，Wsyschck在这些方面均尽量简化操作，提供相关的数据供您分析。

最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。

Wsyscheck基本功能简单介绍:

1:软件设置中的模块、服务简洁显示

简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。2:关于Wsyscheck的颜色显示

进程页：

红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页：

红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。

使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。

在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与nopass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信)

Tags:校验微软文件签名,非微软进程,文件厂商.