用Wsyscheck恢复杀毒软件

    现在的病毒木马一个比一个厉害，只要一运行成功，就会把一个个杀毒软件屏蔽掉，对于一些与杀毒有关的工具等也不放过。这时首先要解决的当然是如何恢复杀毒软件的安装和运行。通常这些病毒木马使用的都是镜像劫持技术，下面笔者通过使用Wsyscheck来说明如何恢复杀毒软件。

下载地址：Wsyscheck 中文版 Build 0122 下载

     第一步：认清真伪

     在Wsyscheck主窗口的“进程管理”选项卡中，红色表示非微软进程，紫红色表示包含有非微软的文件的微软进程，黑色的表示系统的核心进程。在“服务管理”选项卡中，红色表示非微软服务（最常见的是.exe与.dll的服务，木马大多使用这种方式）。使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条“文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。通过这两项可以对系统存在的病毒、木马有一个大概的了解。

图 1  所有进程

     第二步：构建安全环境

     启动Wsyscheck，，单击“工具”→“构建安全环境”，并选择“禁止进程与文件创建”项，这时发现系统中已被打开的进程都被结束，重新将注册表中屏蔽的项目删除，如图2。

图 2  危险进程已被全部结束

     第三步：反映像劫持

     在主界面中选中“注册表管理”选项卡，依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，看看被劫持的对象，可能包括瑞星等流行的杀毒软件，还可能包括Icesword、360等辅助杀毒软件。将Image File Execution Options下的所有项都删除后（如图3），重新安装这些软件，并将杀毒软件升级后进行杀毒，很容易就将这个病毒剿杀了。

图 3  删除所有项，并重装被劫持的杀软

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-09-05 09:14:18,点击:65824