wsyscheck

wsyscheck是什么東西？干什么用的？

管理進(jìn)程的一個小工具，雖然在這領(lǐng)域有大名鼎鼎的ICESWORD，但正所謂樹大招風(fēng)，好多木馬，病毒都會在運行是禁止包括ICESWORD在內(nèi)的安全工具運行，而wsyscheck還沒這么有名，所以反而能逃過木馬，病毒的監(jiān)控。
在使用上也很方便，他對不同類型進(jìn)程用不同顏色表示，我們在查找可疑進(jìn)程時一目了然。
要詳細(xì)資料的百度或者GOOGLE一下吧。

為什么說殺毒時備份病毒文件到隔離區(qū)失敗

我不知道你用的什么殺毒軟件，我用avast！時出現(xiàn)過這種情況，原因是殺毒軟件的殺毒能力不強，對某些強悍的病毒只能查不能殺。這種情況下需要你手動刪除病毒文件才行。可以運用ARK工具幫忙，例如冰刃、
Wsyscheck
、XueTr，其中冰刃不推薦，很久沒有更新了不支持VISTA，容易被病毒劫持打不開，Wsyscheck
使用方便順手，打開它之后，點擊“文件管理”選項，按照殺毒軟件提示的病毒文件路徑找到這個頑固文件（殺毒軟件一般會顯示無法清除的文件的具體路徑的），右鍵選擇“直接刪除”，即可將這個殺毒軟件無法刪除的文件清除掉了。Wsyscheck的清除頑固文件的能力絕對是超強的，不論多頑固的文件都會被它刪除掉。

六招教你檢測是否中病毒木馬介紹

　　六招教你如何檢測病毒木馬，趕緊來學(xué)學(xué)哦!下面由我給你做出詳細(xì)的六招教你檢測病毒介紹!希望對你有幫助!

　　六招教你檢測病毒木馬介紹：

　　六招教你檢測病毒木馬一、進(jìn)程

　　首先排查的就是進(jìn)程了， 方法 簡單，開機后，什么都不要啟動!

　　第一步：直接打開任務(wù)管理器(計算機 愛好 者，學(xué)習(xí)計算機基礎(chǔ)， 電腦入門 ，請到本站http://www.woaidiannao.com，我站同時提供計算機基礎(chǔ)知識教程，計算機基礎(chǔ)知識試題供大家學(xué)習(xí)和使用)，，查看有沒有可疑的進(jìn)程，不認(rèn)識的進(jìn)程可以Google或者百度一下。

　　PS：如果任務(wù)管理器打開后一閃就消失了，可以判定已經(jīng)中毒;如果提示已經(jīng)被管理員禁用，則要引起警惕!

　　第二步：打開冰刃等軟件，先查看有沒有隱藏進(jìn)程(冰刃中以紅色標(biāo)出)，然后查看系統(tǒng)進(jìn)程的路徑是否正確。

　　PS：如果冰刃無法正常使用，可以判定已經(jīng)中毒;如果有紅色的進(jìn)程，基本可以判斷已經(jīng)中毒;如果有不在正常目錄的正常系統(tǒng)進(jìn)程名的進(jìn)程，也可以判斷已經(jīng)中毒。

　　第三步：如果進(jìn)程全部正常，則利用Wsyscheck等工具，查看是否有可疑的線程注入到正常進(jìn)程中。

　　PS：Wsyscheck會用不同顏色來標(biāo)注被注入的進(jìn)程和正常進(jìn)程，如果有進(jìn)程被注入，不要著急，先確定注入的模塊是不是病毒，因為有的殺軟也會注入進(jìn)程。

　　六招教你檢測病毒木馬二、自啟動項目

　　進(jìn)程排查完畢，如果沒有發(fā)現(xiàn)異常，則開始排查啟動項。

　　第一步：用msconfig察看是否有可疑的服務(wù)，開始，運行，輸入“msconfig”，確定，切換到服務(wù)選項卡，勾選“隱藏所有 Microsoft 服務(wù)”復(fù)選框，然后逐一確認(rèn)剩下的服務(wù)是否正常(可以憑 經(jīng)驗 識別，也可以利用搜索引擎)。

　　PS：如果發(fā)現(xiàn)異常，可以判定已經(jīng)中毒;如果msconfig無法啟動，或者啟動后自動關(guān)閉，也可以判定已經(jīng)中毒。

　　第二步：用msconfig察看是否有可疑的自啟動項，切換到“啟動”選項卡，逐一排查就可以了。

　　第三步，用Autoruns等，查看更詳細(xì)的啟動項信息(包括服務(wù)、驅(qū)動和自啟動項、IEBHO等信息)。

　　PS：這個需要有一定的經(jīng)驗。

　　六招教你檢測病毒木馬三、網(wǎng)絡(luò)連接

　　ADSL用戶，在這個時候可以進(jìn)行虛擬撥號，連接到Internet了。

　　然后直接用冰刃的網(wǎng)絡(luò)連接查看，是否有可疑的連接，對于IP地址，可以到相關(guān)網(wǎng)站查詢，對應(yīng)的進(jìn)程和端口等信息可以到Google或百度查詢。

　　如果發(fā)現(xiàn)異常，不要著急，關(guān)掉系統(tǒng)中可能使用網(wǎng)絡(luò)的程序(如迅雷等下載軟件、殺毒軟件的自動更新程序、IE瀏覽器等)，再次查看網(wǎng)絡(luò)連接信息。

　　六招教你檢測病毒木馬四、安全模式

　　重啟，直接進(jìn)入安全模式，如果無法進(jìn)入，并且出現(xiàn) 藍(lán)屏 等現(xiàn)象，則應(yīng)該引起警惕，可能是病毒入侵的后遺癥，也可能病毒還沒有清除!

　　六招教你檢測病毒木馬五、映像劫持

　　打開注冊表編輯器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，查看有沒有可疑的映像劫持項目，如果發(fā)現(xiàn)可疑項，很可能已經(jīng)中毒。

　　六招教你檢測病毒木馬六、CPU時間

　　如果開機以后，系統(tǒng)運行緩慢，還可以用CPU時間做參考，找到可疑進(jìn)程，方法如下：

　　打開任務(wù)管理器，切換到進(jìn)程選項卡，在菜單中點“查看”，“選擇列”，勾選“CPU時間”，然后確定，單擊CPU時間的標(biāo)題，進(jìn)行排序，尋找除了System Idle Process和SYSTEM以外，CPU時間較大的進(jìn)程，這個進(jìn)程需要一起一定的警惕。

冰刃狙劍是什么

殺毒的
稱 冰刃IceSword，狙劍Wsyscheck
冰刃、狙劍，是倆個作者取的個名稱而已

現(xiàn)在倆個作者都在360門下了。現(xiàn)在的360系統(tǒng)急救箱就是這伙人做的

冰刃IceSword
他是主要是查看計算機隱藏程序是計算機補助工具。它沒有智能判斷的功能，使用這個軟件全部要靠自己來判斷計算機的進(jìn)程和后臺程序。它只能算是補助軟件。
狙劍Wsyscheck
如果不是系統(tǒng)進(jìn)程,被插入的了線進(jìn)程的進(jìn)程，會有顏色顯示，，比冰刃簡單點

倆個稍微懂點電腦的就可以用,

因為我是搞電腦維護(hù)的 所以比較了解這些.我都經(jīng)常用360的急救箱,能解決很多電腦的小問題.

wsyscheck里面的FSD是什么

不是，如果要真正回答這個問題，估計不是三言兩語就可以說明白，但可以概括為：SSDT，是一個路標(biāo)，像5樓所說，就是一個把ring3的Win32 API和ring0的內(nèi)核API聯(lián)系起來的角色，那么，這里又涉及到兩個概念，一個是ring，一個是API。所謂的ring，實際按等級分為0-3，但通常只用兩個：系統(tǒng)核心層（0）和用戶程序?qū)樱?），顯然，前者有著至高無上的權(quán)限，后者只有著普通應(yīng)用權(quán)限，受系統(tǒng)限制。而API，是應(yīng)用編程接口，windows中的dll便是其API函數(shù)的重要組成部分之一，它是能用來操作組件、應(yīng)用程序或者操作系統(tǒng)的一組函數(shù)。API又分為兩級：用戶API和原生API。話說，我們在執(zhí)行程序操作時，首先會由用戶API導(dǎo)出相關(guān)函數(shù)，在用戶API和原生API交換之前，會先經(jīng)過ntdll.dll這個動態(tài)數(shù)據(jù)鏈接來實行真正意義上的交換，因為真正處理這個執(zhí)行請求還是原生API（native API），然后，系統(tǒng)會在SSDT里查找原生API的位置，最后由原生API執(zhí)行完成請求并返回。實際上，SSDT就是一個表，里面記錄的是原生API的位置以及其他一些相關(guān)信息。FSD：file system driver，就是文件系統(tǒng)驅(qū)動。通常，在系統(tǒng)中，負(fù)責(zé)管理磁盤數(shù)據(jù)和文件讀寫的部分被稱為“文件系統(tǒng)”，而在windows系統(tǒng)中，是叫做“輸入輸出管理程序”，簡稱為IOS（汗，全稱有一個單詞不記得怎么寫的……），而在IOS下面，就是“可安裝文件系統(tǒng)”，簡稱為IFS（繼續(xù)有單詞不記得如何拼寫……），再下面，也就是最底層，就是這個FSD了（呵呵，全稱已經(jīng)在有了……），很明顯，如果控制了這方面的權(quán)限，那么，你會出現(xiàn)刪除其相關(guān)文件出錯，或者是儲如此類的情況。這個也是Rookit在hook SSDT以及inline hook SSDT以后，用于反anti-Rookit工具的一種自我保護(hù)措施。總結(jié)一下，SSDT是程序執(zhí)行過程中的一組函數(shù)路標(biāo)，而FSD是對文件讀寫操作控制相關(guān)。前者被惡意HOOK后，典型表現(xiàn)為，你執(zhí)行程序明明做A事，結(jié)果卻做B事去了，而FSD如果對惡意HOOK的話，則表現(xiàn)為對其相關(guān)程序進(jìn)行保護(hù)，拒絕一些文件操作請求。最后回答一下樓主的問題：hal.dll是Windows硬件提取層模塊，用于解決硬件的復(fù)雜性（這個是百度知道里的）。 因為FSD直通ISO，而再下面就是向硬件化發(fā)展了。總覺得這問題真不好講清楚，好難纏，說不明，也很難說的感覺，有時間將在下一篇的Wsyscheck的教程中加以概括說明，有興趣的朋友到時候可以留意一下。由于自己的認(rèn)識有限，可能不甚準(zhǔn)確，僅供參考。[]

怎樣刪除這病毒

如果確定是病毒而且無法刪除的話你可以用Wsyscheck就可以刪除它了。Wsyscheck是免安裝的 運行它 里面有個文件管理 選中左邊會出現(xiàn)文件目錄 你找到病毒位置選中它 在右邊也會出現(xiàn)該文件 然后右鍵點右邊的文件有個直接刪除 選中即可刪除該病毒文件。最好把你的開機啟動項清理下 防止重啟后病毒再出現(xiàn)