wsyscheck

wsyscheck是什么东西？干什么用的？

管理进程的一个小工具，虽然在这领域有大名鼎鼎的ICESWORD，但正所谓树大招风，好多木马，病毒都会在运行是禁止包括ICESWORD在内的安全工具运行，而wsyscheck还没这么有名，所以反而能逃过木马，病毒的监控。
在使用上也很方便，他对不同类型进程用不同颜色表示，我们在查找可疑进程时一目了然。
要详细资料的百度或者GOOGLE一下吧。

为什么说杀毒时备份病毒文件到隔离区失败

我不知道你用的什么杀毒软件，我用avast！时出现过这种情况，原因是杀毒软件的杀毒能力不强，对某些强悍的病毒只能查不能杀。这种情况下需要你手动删除病毒文件才行。可以运用ARK工具帮忙，例如冰刃、
Wsyscheck
、XueTr，其中冰刃不推荐，很久没有更新了不支持VISTA，容易被病毒劫持打不开，Wsyscheck
使用方便顺手，打开它之后，点击“文件管理”选项，按照杀毒软件提示的病毒文件路径找到这个顽固文件（杀毒软件一般会显示无法清除的文件的具体路径的），右键选择“直接删除”，即可将这个杀毒软件无法删除的文件清除掉了。Wsyscheck的清除顽固文件的能力绝对是超强的，不论多顽固的文件都会被它删除掉。

六招教你检测是否中病毒木马介绍

　　六招教你如何检测病毒木马，赶紧来学学哦!下面由我给你做出详细的六招教你检测病毒介绍!希望对你有帮助!

　　六招教你检测病毒木马介绍：

　　六招教你检测病毒木马一、进程

　　首先排查的就是进程了， 方法 简单，开机后，什么都不要启动!

　　第一步：直接打开任务管理器(计算机 爱好 者，学习计算机基础， 电脑入门 ，请到本站http://www.woaidiannao.com，我站同时提供计算机基础知识教程，计算机基础知识试题供大家学习和使用)，，查看有没有可疑的进程，不认识的进程可以Google或者百度一下。

　　PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒;如果提示已经被管理员禁用，则要引起警惕!

　　第二步：打开冰刃等软件，先查看有没有隐藏进程(冰刃中以红色标出)，然后查看系统进程的路径是否正确。

　　PS：如果冰刃无法正常使用，可以判定已经中毒;如果有红色的进程，基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。

　　第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。

　　PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。

　　六招教你检测病毒木马二、自启动项目

　　进程排查完毕，如果没有发现异常，则开始排查启动项。

　　第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有 Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常(可以凭 经验 识别，也可以利用搜索引擎)。

　　PS：如果发现异常，可以判定已经中毒;如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。

　　第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

　　第三步，用Autoruns等，查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。

　　PS：这个需要有一定的经验。

　　六招教你检测病毒木马三、网络连接

　　ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。

　　然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到相关网站查询，对应的进程和端口等信息可以到Google或百度查询。

　　如果发现异常，不要着急，关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等)，再次查看网络连接信息。

　　六招教你检测病毒木马四、安全模式

　　重启，直接进入安全模式，如果无法进入，并且出现 蓝屏 等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除!

　　六招教你检测病毒木马五、映像劫持

　　打开注册表编辑器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。

　　六招教你检测病毒木马六、CPU时间

　　如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程，方法如下：

　　打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了System Idle Process和SYSTEM以外，CPU时间较大的进程，这个进程需要一起一定的警惕。

冰刃狙剑是什么

杀毒的
称 冰刃IceSword，狙剑Wsyscheck
冰刃、狙剑，是俩个作者取的个名称而已

现在俩个作者都在360门下了。现在的360系统急救箱就是这伙人做的

冰刃IceSword
他是主要是查看计算机隐藏程序是计算机补助工具。它没有智能判断的功能，使用这个软件全部要靠自己来判断计算机的进程和后台程序。它只能算是补助软件。
狙剑Wsyscheck
如果不是系统进程,被插入的了线进程的进程，会有颜色显示，，比冰刃简单点

俩个稍微懂点电脑的就可以用,

因为我是搞电脑维护的 所以比较了解这些.我都经常用360的急救箱,能解决很多电脑的小问题.

wsyscheck里面的FSD是什么

不是，如果要真正回答这个问题，估计不是三言两语就可以说明白，但可以概括为：SSDT，是一个路标，像5楼所说，就是一个把ring3的Win32 API和ring0的内核API联系起来的角色，那么，这里又涉及到两个概念，一个是ring，一个是API。所谓的ring，实际按等级分为0-3，但通常只用两个：系统核心层（0）和用户程序层（3），显然，前者有着至高无上的权限，后者只有着普通应用权限，受系统限制。而API，是应用编程接口，windows中的dll便是其API函数的重要组成部分之一，它是能用来操作组件、应用程序或者操作系统的一组函数。API又分为两级：用户API和原生API。话说，我们在执行程序操作时，首先会由用户API导出相关函数，在用户API和原生API交换之前，会先经过ntdll.dll这个动态数据链接来实行真正意义上的交换，因为真正处理这个执行请求还是原生API（native API），然后，系统会在SSDT里查找原生API的位置，最后由原生API执行完成请求并返回。实际上，SSDT就是一个表，里面记录的是原生API的位置以及其他一些相关信息。FSD：file system driver，就是文件系统驱动。通常，在系统中，负责管理磁盘数据和文件读写的部分被称为“文件系统”，而在windows系统中，是叫做“输入输出管理程序”，简称为IOS（汗，全称有一个单词不记得怎么写的……），而在IOS下面，就是“可安装文件系统”，简称为IFS（继续有单词不记得如何拼写……），再下面，也就是最底层，就是这个FSD了（呵呵，全称已经在有了……），很明显，如果控制了这方面的权限，那么，你会出现删除其相关文件出错，或者是储如此类的情况。这个也是Rookit在hook SSDT以及inline hook SSDT以后，用于反anti-Rookit工具的一种自我保护措施。总结一下，SSDT是程序执行过程中的一组函数路标，而FSD是对文件读写操作控制相关。前者被恶意HOOK后，典型表现为，你执行程序明明做A事，结果却做B事去了，而FSD如果对恶意HOOK的话，则表现为对其相关程序进行保护，拒绝一些文件操作请求。最后回答一下楼主的问题：hal.dll是Windows硬件提取层模块，用于解决硬件的复杂性（这个是百度知道里的）。 因为FSD直通ISO，而再下面就是向硬件化发展了。总觉得这问题真不好讲清楚，好难缠，说不明，也很难说的感觉，有时间将在下一篇的Wsyscheck的教程中加以概括说明，有兴趣的朋友到时候可以留意一下。由于自己的认识有限，可能不甚准确，仅供参考。[]

怎样删除这病毒

如果确定是病毒而且无法删除的话你可以用Wsyscheck就可以删除它了。Wsyscheck是免安装的 运行它 里面有个文件管理 选中左边会出现文件目录 你找到病毒位置选中它 在右边也会出现该文件 然后右键点右边的文件有个直接删除 选中即可删除该病毒文件。最好把你的开机启动项清理下 防止重启后病毒再出现