首页 > 单独文章 > 正文

用Wsyscheck恢复杀毒软件

时间:2008-09-05 09:14:18 作者:officeba 【认证】

    现在的病毒木马一个比一个厉害,只要一运行成功,就会把一个个杀毒软件屏蔽掉,对于一些与杀毒有关的工具等也不放过。这时首先要解决的当然是如何恢复杀毒软件的安装和运行。通常这些病毒木马使用的都是镜像劫持技术,下面笔者通过使用Wsyscheck来说明如何恢复杀毒软件

下载地址:Wsyscheck 中文版 Build 0122 下载

     第一步:认清真伪

     在Wsyscheck主窗口的“进程管理”选项卡中,红色表示非微软进程,紫红色表示包含有非微软的文件的微软进程,黑色的表示系统的核心进程。在“服务管理”选项卡中,红色表示非微软服务(最常见的是.exe与.dll的服务,木马大多使用这种方式)。使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。通过这两项可以对系统存在的病毒、木马有一个大概的了解。



图 1  所有进程

     第二步:构建安全环境

     启动Wsyscheck,,单击“工具”→“构建安全环境”,并选择“禁止进程与文件创建”项,这时发现系统中已被打开的进程都被结束,重新将注册表中屏蔽的项目删除,如图2。



图 2  危险进程已被全部结束

     第三步:反映像劫持

     在主界面中选中“注册表管理”选项卡,依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,看看被劫持的对象,可能包括瑞星等流行的杀毒软件,还可能包括Icesword、360等辅助杀毒软件。将Image File Execution Options下的所有项都删除后(如图3),重新安装这些软件,并将杀毒软件升级后进行杀毒,很容易就将这个病毒剿杀了。



图 3  删除所有项,并重装被劫持的杀软


相关文章

同类最新