syscheck2 反黑辅助说明:
本软件适用于 Win2000,winxp 及 Win2003。以下为功能的简要说明。
1:进程管理
红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程,但不推荐你去中止第一个 svchost.exe 前的进程 (包括第一个 svchost.exe)。这样做的
后果可能是导致系统重启或无法关机。
syscheck 的进程管理页可列出 win32 级的隐藏进程,但不会特别标注它。
通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到 Explorer 等系统进程中 (注意模
块中的红色 dll), 所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以勾选
< 限制线程的创建 > 来禁止新的线程。
在进程管理页的模块显示栏中右键选项有属性, 删除到回收站, 加入到重启删除列表三项,可以方便在
进程显示页就分析、清理恶软或木马。
< 删除到回收站 > 会结束该模块的主进程后删除模块列表中选定的文件,支持多选。
< 卸载模块并删除文件 > 在删除全局 HOOK 的 DLL 时可能会用到。
< 加入到重启删除列表 > 直接将选定的文件重启后删除。(注意不要把系统 DLL 删了)建议只对红色显
示的非系统模块进行删除处理。
< 永久禁止此文件的执行 > 即软件限制策略, 仅对 exe 文件有效。注意,过多地限制软件的执行可能会
影响系统运行效率。
2:服务管理
红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以 svchost.exe 启
动的服务,文件路径显示的是该服务文件而非 svchost.exe 的路径。这一点区别于 sc 命令显示出来的文件
路径。
中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值 (
不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。
值得注意的是,某些服务是无法中止或删除的 (比如划词搜索的驱动服务)。这是因为它可能采用了注
册表键值的保护。对付这类服务,要使用内核 Hook 检查中的 ssdt 恢复功能后,
才能在本页中删除其键值。(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,
需要重启才真正停止)
在服务页使用右键可获得更多的服务控制。
3: 活动文件
活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck 仅关注于改写了的键值
,所以不同的机器上显示内容并不一样。
在做恢复前,可以核对一下讯息栏显示的内容, 以确定是否要恢复。对于没有讯息显示的项目可以定位
文件查看文件的属性。
要注意的是,syschek 在本页中的恢复不仅仅是改回系统默认值(或删除不需要的键值),如果需要恢
复的是一个 DLL 文件工作的键值,syschek 还会做反注册该 DLL 的工作。
Winsock 检测用于检测 Lsp 被劫持的情况, 不管是否检测到第三方的 DLL 是否加载, 也允许用户强制恢
复 Winsock。所以,也可以用来作其它检测修复工具破坏掉了 Winsock 引起网页不能浏览的恢复处理。
4: 敏感键值
本页显示的内容是没有对应文件的系统键值。这些是系统允许的,但有改写后可能造成你使用不便的
键值(如 NoRun 等, 文件关联改写)等。
5: 内核 Hook 检测
内核 Hook 检测只关注于被 Hook 了的内核函数,一般来说对应的模块提供者是一个.sys 文件。
以划词搜索为例, 它的驱动交叉保护 (注册表 HOOK 及文件 HOOK),自身的卸载与其它的卸载工具都不能删
除 hcalway.sys 及 abhcop.sys.sys 文件 (且卸载后这两个驱动还在运行中, 所以,你无法直接删除这两个文
件。
对付这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是,大部
份的杀软也注册有底层 HOOK, 如果你选择了它们,还原后至重启前这些杀软的实时监视将可能失效。
恢复系统底层原始函数地址后,就可以在服务管理页删除划词搜索的注册表服务项了(恢复前由于受
其驱动 abhcop.sys 的保护,是无法删除其注册的服务项)。然后重启机器 (系统无法删除一个运行中的文
件, 而划词的驱动又不停供停止功能,所以只能重启),就可以手动删除这两个文件了 (当然也可以用内置
的资源管理器中的 < 加入重启删除列表 > 功能,来代替手动删除的操作)。
由于底层 Hook 的优先级很高,所以恢复了 SSDT 后,可能会有一些隐藏的进程或文件会显示出来,故可
以在恢复 SSDT 后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程,注册表项等。
6: 文件搜索
通过限制一定条件搜索,以便清除系统中的病毒备份或找到未知病毒。
7: 文件浏览
由于 syscheck 采用了一些反 HOOK 手段,所以内置的资源管理器可以看到隐藏的文件或文件夹(例如灰
鸽子、hackdef100 隐藏的文件)。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文
件(如 Downloaded Program Files),内置资源管理器也可一览无遗。
内置资源管理器用法与 Explorer 基本相同,右键菜单除了普通的删除操作外,还有延时删除(重启后
生效),可用于删除顽固文件。(注意这个选项没有后悔药,删除前多看一眼文件属性,修改日期等讯息
,不要把受保护的系统文件也删了!)。
———————————————————————–
顽固病毒清除步骤:
1. 先试试病毒是否自带所谓的 “ 卸载 ” 功能,如果有就先执行,以便快速清除外围普通病毒文件(此时
病毒保护机制仍然可能在生效)。
2. 进入 “ 内核 Hook 检测 ”,还原所有被 Hook 的系统函数(如果无显示内容,则跳过本步骤)。
3. 结束所有非系统进程 (红色显示的进程)。如果是删除 IE 插件类的病毒, 请同时结束 Explorer 及浏览器进
程。如果明确知道是病毒进程,可以先单击它,然后在其模块列表中直接用右键删除该文件。
4. 进入 “ 服务管理 ”,找到并删除病毒对应的注册表服务项;
5:进入 “ 活动文件 ”,删除其启动加载项及 BHO、IE 工具栏等加载项。
6. 进入本工具的 “ 资源管理器 ”(不是Windows
的资源管理器!),找到病毒对应的文件,右击,选择 “
删除所选(含文件夹)”;如果不成功,则选择 “ 加入重启删除列表 ”。
7. 重启,重复上述步骤检查,直到系统干净为止!
——————————-
关于快速净化功能键的说明:
1: 快速净化后会在你的桌面上生成 [Syscheck 修复前备份] 文件夹, 本文件中包含文件如下:
a.WinSock 备份.reg
b.hosts 还原.bat 及 hosts 文件
c. 如是有启动组中的快捷方式或程序, 也会移入本文件夹中.
d. 原来的注册表启动备份到 “ 启动备份.reg” 备份文件中。
多次执行快速净化请将第一个 [Syscheck 修复前备份] 文件夹改名保存, 因为程序会覆盖原有文件. 仅第一
个备份是您的最初系统备份.
2: 快速净化的功能:
a: 禁用了一切启动文件。
b: 删除了一切插件, 一切对正常系统不该存在的键值。
c: 还原了默认 winsock。
d: 将 hosts 文件改为了默认的 127.0.0.1 localhost 一行。
e: 删除各盘根目录下的 Autorun.inf。
f: 删除windows
及 Program Files 目录下的 *.com 文件。
删除 system32 下与 *.exe 同名的 *.com 文件。
3: 使用快速净化的处理方法:
快速净化处理完毕,有一个倒计时对话框提示是否重启。手动能力较强的用户可以选择不重启。此时系
统关闭了许多进程,可以执行一些先前无法执行的一些操作,当然此时用清它清理工具来清理的效果也更
好。同时也可以手动编辑快速净化中生成的.reg 及.bat 文件并立即执行, 重启后会有更好的兼容性。
a: 净化后你的系统的一些功能可能不能使用, 不必担心, 备份中都有,都可以还原。
b: 建议先直接双击 " 启动备份.reg" 还原启动项,再打开 syscheck 中将不再使用的启动项目删除。
快捷方式如果想保持启动也可拖回到启动组中。
c: 打开 hosts 文件, 查看有无您不想要的项目, 修改后可用 "host 还原.bat" 持贝它到原有的位置。(根据需
要,本操作可以不必执行)
4: 做完清理工作再重启一次。上网打开网页试一试, 如果不行, 则用备份的 winsock.reg 还原 (还原后可能
需要重启一次才能生效)。
通过以上步骤, 我们就可以在一个干净的环境下清除木马, 快速处理文件删除了.