幾個常用的小工具

[psac]

AutoRuns :
Sysinternals公司的作品，可以檢視並移除註冊表及Win.ini文件等自啟動的項目。如果懷疑有術馬或病毒的話，可用本工具看看自啟動項。


KillBox :
KillBox 是國外反病毒論壇很受歡迎的工具軟體，與 HijackThis 是最佳配合。
KillBox 實質是一個移除任意文件的利器，它不管這個文件是EXE還是DLL等其它文件，也不管這個文件是正在執行中，還是被系統使用了，KillBox 都可以簡單幾步就將文件移除。正因如此，KillBox 在反病毒方面使用非常之棒。現時流行類病毒（蠕蟲、木馬）很多均為單獨的病毒文件，與系統無關，可以安全移除此類病毒文件。但在移除程序，由於病毒的狡滑，總是很難移除，這連國際知名安全軟體產商也推薦在安全模式殺毒。有了 KillBox ，一切變得簡單多了，只要先通過 HijackThis 等系統分析工具的 Log ,驗證了病毒的文件，再填上病毒文件的完整路徑，或通過遊覽選此病毒文件，一 K 就行了（某些病毒可能需要重啟電腦）。


Checkrun :
是一個察看註冊表啟動項目和一些文件關聯的東西，在各個Windows操作系統上都能用（16位的除外）。
他的結果可以複製貼上，一些朋友的機器中木馬或者中毒，讓他們執行這個程序把結果貼上來就能根據結果判斷出那些文件是不正常的。



IceSword :
IceSword是一斬斷黑手的利刃，它適用於Windows 2000/XP/2003操作系統，用於查探系統中的幕後黑手(木馬後門)並作出處理，當然使用它需要用戶有一些操作系統的知識。
　　在對軟體做講解之前，首先說明第一注意事項：此程序執行時不可啟動內核偵錯器(如softice)，否則系統即刻崩潰。另外使用前請儲存好您的資料，以防萬一未知的Bug帶來損失。
　　IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟體，比如一些工作工具、連接阜工具，但是現在的系統級後門功能越來越強，一般都可輕而易舉地隱藏工作、連接阜、註冊表、文件訊息，一般的工具根本無法發現這些「幕後黑手」。IceSwo rd使用大量新穎的內核技術，使得這些後門躲無所躲。



a-squared HiJackFree :
同Hijack This一樣，a-squared HiJackFree是一款優秀的系統分析軟體，可以說明 你發現系統內的黑客工具，間諜軟體，木馬和蠕蟲病毒。
管理所有檔案類型的系統啟動程序
控制所有的瀏覽器插件
管理全部執行程序和他們關聯的程序
控制所有服務，即便是隱藏的
檢查開放的連接阜和關聯程序
檢查所有DNS寫入的Hosts文件
管理安裝的LSPS程序
可以利用在線分析你的系統設定




System Repair Engineer ：

提供一個能夠較快診斷出系統一般故障的工具。
能夠修復大多數一般的故障。
能夠產生一個掃瞄報告。
能夠執行於多種操作系統平台下，支持多語言界面。
具備一定的自動檢測修復能力。
便於擴充並且能夠以最小的代價進行擴充。



RegFix ：
·修復 .EXE .TXT .REG .BAT .COM .SCR .PIF 檔案類型系統預設的文件關聯
·解除和 Internet Explorer 有關的一系列限制內容（如：無法使用 Internet Explorer 選項、無法使用 Internet Explorer 下載、無法自訂 Internet Explorer 工作列 ……）
·解除和 Windows Shell 有關的一系列限制內容（如：無法使用註冊表編輯器、無法使用右鍵表單、無法使用資料夾選項、無法關閉檔案總管視窗……）
·匯出和註冊表有關的全部啟動項內容到文本文件
·檢查系統是否安裝了 Microsoft 提供的關鍵修正檔程序
·關閉NT架構系統預設的共享（V1.2 New!）
·禁止某些證書的安裝彈出視窗出現（V1.2 New!）
·根據檢測到的訊息自動對註冊表關鍵鍵值進行修復（V1.2 New!）



TroyanFindInfo 3.0 :
一個搜尋系統木馬的小工具。由有名的俄國AntiVirus --- 卡巴斯基出品的工具.此工具帶工作管理，並且可以記錄系統自啟動訊息和網路連接阜使用訊息，提供的LOG非常詳細，方便網路管理員分析機器的詳細情況，以找出系統隱藏的木馬程序。

[psac]

組別——O13

1. 項目說明

O13提示對瀏覽器預設的URL前綴的修改。當在瀏覽器的位址欄輸入一個網址而沒有輸入其前綴（比如http://或ftp://）時，瀏覽器會試圖使用預設的前綴（預設為http://）。相關註冊表項目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
當此項被修改，比如改為http://www.AA.BB/?那麼當輸入一個網址如www.rising.com.cn時，實際開啟的網址變成了——http://www.AA.BB/?www.rising.com.cn

2. 舉例

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/）
O13 - WWW Prefix: http://%6E%6B%76%64%2E%75%73/ （翻譯過來就是http://nkvd.us/））
O13 - DefaultPrefix: c:\searchpage.html?page=
O13 - WWW Prefix: c:\searchpage.html?page=
O13 - Home Prefix: c:\searchpage.html?page=
O13 - Mosaic Prefix: c:\searchpage.html?page=

3. 一般建議

著名惡意網站家族CoolWebSearch可能造成此現象。建議使用CoolWebSearch的專殺——CoolWebSearch Shredder （CWShredder.exe）來修復，本帖前部已提到過此軟體，並指出了相關小教學的連接。

如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。

如果使用CWShredder.exe後仍然無法修復或者根本未發現異常，再使用HijackThis來掃瞄修復。

4. 疑難解析

簡單說，就是——「對於searchpage.html這個問題，上面提到的CWShredder.exe可以修復（Fix），普通模式不能修復的話，請在安全模式使用CWShredder.exe修復（Fix），修復後清空IE臨時文件(開啟IE瀏覽器——工具——internet選項——移除文件，可以把「移除所有離線內容」選上)，重新啟動。」



組別——O14

1. 項目說明

O14提示IERESET.INF文件中的改變，也就是對internet選項中「程序」選擇項內的「重置WEB設定」的修改。該IERESET.INF文件儲存著IE的預設設定訊息，如果其內容被惡意程序改變，那麼一旦您使用「重置WEB設定」功能，就會再次啟動那些惡意修改。

2. 舉例

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

3. 一般建議

如果這裡列出的URL不是指向你的電腦提供者或Internet服務提供者（ISP），可以使用HijackThis修復。

4. 疑難解析

（暫無）

[psac]

組別——O15

1. 項目說明

O15項目提示「受信任的站點」中的不速之客，也就是那些未經您同意自動增加到「受信任的站點」中的網址。「受信任的站點」中的網址享有最低的安全限制，可以使得該網址上的惡意指令碼、小程序等更容易躲過用戶自動執行。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

2. 舉例

O15 - Trusted Zone: http://free.aol.com

3. 一般建議

如果不認得該網站，建議使用HijackThis來修復。

4. 疑難解析

（暫無）

組別——O16

1. 項目說明

O16 - 下載的程式文件，就是Downloaded Program Files目錄下的那些ActiveX對象。這些ActiveX對像來自網路，存放在Downloaded Program Files目錄下，其CLSID記錄在註冊表中。

2. 舉例

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
用來看flash的東東，相信很多朋友都安裝了。
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在線查毒。

3. 一般建議

如果不認得這些ActiveX對象的名字，或者不知道其相關的下載URL，建議使用搜尋引擎查詢一下，然後決定是否使用HijackThis來修復該項。如果名字或者下載URL中帶有「sex」、「adult」、「dialer」、「casino」、「free_plugin」字樣， 一般應該修復。HijackThis修復O16項時，會移除相關文件。但對於某些O16項，雖然選項了讓HijackThis修復，卻沒能夠移除相關文件。若遇到此情況，建議啟動到安全模式來修復、移除該檔案。

4. 疑難解析

（暫無）

[psac]

組別——O17

1. 項目說明

O17提示「域劫持」，這是一些與DNS解析相關的改變。已知會造成此現象的惡意網站為Lop.com。上面在解釋O1項時提到過，當在瀏覽器中輸入網址時，如果hosts文件中沒有相關的網址映射，將請求DNS域名解析以把網址轉換為IP位址。如果惡意網站改變了您的DNS設定，把其指向惡意網站，那麼當然是它們指哪兒您去哪兒啦！

2. 舉例

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建議

如果這個DNS伺服器不是您的ISP或您所在的區域網路提供的，請查詢一下以決定是否使用HijackThis來修復。已知Lop.com應該修復，似乎已知的需要修復的O17項也就此一個。

4. 疑難解析

（暫無）


組別——O18

1. 項目說明

O18項列舉現有的傳輸協定（protocols）用以發現額外的傳輸協定和傳輸協定「劫持」。相關註冊表項目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。

通過將您的電腦的預設傳輸協定取代為自己的傳輸協定，惡意網站可以通過多種方式控制您的電腦、監控您的訊息。

HijackThis會列舉出預設傳輸協定以外的額外增加的傳輸協定，並列出其在電腦上的儲存位置。

2. 舉例

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

3. 一般建議

已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修復的。其它情況複雜，可能（只是可能）有一些間諜軟體存在，需要進一步查詢資料、綜合分析。

4. 疑難解析

（暫無）

[psac]

組別——O19

1. 項目說明

O19提示用戶樣式表（stylesheet）「劫持」，樣式表是一個副檔名為.CSS的文件，它是關於網頁格式、顏色、字體、外觀等的一個範本。相關註冊表項目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

此外，此項中也可能出現.ini、.bmp文件等。

2. 舉例

O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp

3. 一般建議

已知，datanotary.com會修改樣式表。該樣式表名為my.css或者system.css，具體訊息可參考
http://www.pestpatrol.com/pestinfo/d/datanotary.asp
http://www.spywareinfo.com/articles/datanotary/
該「瀏覽器劫持」也屬於CoolWebSearch家族，別忘了上面多次提到的專殺。

當瀏覽器瀏覽速度變慢、經常出現來歷不明的彈出視窗，而HijackThis又報告此項時，建議使用HijackThis修復。如果您根本沒使用過樣式表而HijackThis又報告此項，建議使用HijackThis修復。



組別——O20

1. 項目說明

O20項提示註冊表鍵值AppInit_DLLs處的自啟動項(前一陣子鬧得挺厲害的「about:blank」劫持就是利用這一項)。

相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows

鍵值為AppInit_DLLs

此處用來在用戶登入時載入.dll文件。用戶註銷時，這個.dll也被註銷。

2. 舉例

O20 - AppInit_DLLs: msconfd.dll

3. 一般建議

僅有極少的合法軟體使用此項，已知諾頓的CleanSweep用到這一項，它的相關文件為APITRAP.DLL。其它大多數時候，當HijackThis報告此項時，您就需要提防木馬或者其它惡意程序。

4. 疑難解析

有時，HijackThis不報告這一項，但如果您在註冊表編輯器中使用「修改二進位資料」功能，則可能看到該「隱形」dll文件。這是因為該「隱形」dll文件在檔案名的開頭增加了一個`|`來使自己難被發覺。

[psac]

組別——O21

1. 項目說明

O21項提示註冊表鍵ShellServiceObjectDelayLoad處的自啟動項。這是一個未正式公佈的自啟動方式，通常只有少數Windows系統元件用到它。Windows啟動時，該處註冊的元件會由Explorer載入。
相關註冊表鍵為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

2. 舉例

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

3. 一般建議

HijackThis會自動識別在該處啟動的一般Windows系統元件，不會報告它們。所以如果HijackThis報告這一項，則有可能存在惡意程序，需要仔細分析。

4. 疑難解析

（暫無）

組別——O22

1. 項目說明

O22項提示註冊表鍵SharedTaskScheduler處的自啟動項。這是WindowsNT/2000/XP中一個未正式公佈的自啟動方式，極少用到。


2. 舉例

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

3. 一般建議

已知，CoolWebSearch變種Smartfinder用到這一項，請小心處理。建議使用CoolWebSearch專殺——CoolWeb Shredder（CoolWeb粉碎機），簡介見http://community.rising.com.cn/Forum...3926810&page=1


4. 疑難解析

（暫無）

[psac]

組別——O23

1. 項目說明

O23項提示註冊為系統服務的程序(可以通過執行->Services.msc,察看所有的系統服務)

2. 舉例

O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

3. 一般建議

很多正常軟體都會註冊到系統服務,一般的比如各種殺毒軟體和防火牆的服務以及Apache，MySQL等軟體,一般來說這些正常的服務的描述都很容易識別他們的身份(如"NOD32 Kernel Service"很明顯是NOD32的服務),如果出現了名稱和系統服務很像的服務,但是面說後面的廠商卻不是MS的項目就很可能是病毒了.

4. 疑難解析

只有1.99以上版本的Hijackthis才有O23,以前的版本不具備這一功能.Hijack並不列出所有的系統服務,系統預設的服務已經被Hijackthis忽略.

[psac]

1.99.1版新加入的O20

O20除了能檢測AppInit_DLLs之外，在1.99.1版還新加入了WINLOGON NOTIFY註冊表鍵值的檢測。

1. 項目說明：
此註冊表鍵能在系統啟始時將DLL文件載入到記憶體中，並且讓該DLL載入於記憶體中直到關機。除了WINDOWS系統自身的幾個元件外，一些如VX2，ABETTERINTERNET和LOOK2ME等惡意程序也會使用此鍵值。

2. 舉例：O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此為STARDOCK公司出品的WINDOWBLINDS系統主旨取代軟體的正常載入DLL

3. 一般建議：已知如VX2，ABETTERINTERNET和LOOK2ME等惡意程序會修改此註冊表值使用自身的DLL，一般用戶如果見到不熟悉的DLL，請小心處理。已知WINDOWBLINDS和新版的INTEL板載顯示卡驅動會使用此鍵值(文件為IGFXSRVC.DLL），INTEL無線網路卡程序（LgNotify.dll）。

[sff]

呵呵!!
又學了很多東西
大大真是個寶庫阿

[chienjy]

非常實用且說明很詳細！
Thanks!

[psac]

1.99.1版新加入的O20 此回復內容原創

O20除了能檢測AppInit_DLLs之外，在1.99.1版還新加入了WINLOGON NOTIFY註冊表鍵值的檢測。

1. 專案說明：
此註冊表鍵能在系統啟始時將DLL文件載入到記憶體中，並且讓該DLL載入於記憶體中直到關機。除了WINDOWS系統自身的幾個元件外，一些如VX2，ABETTERINTERNET和LOOK2ME等惡意程式也會使用此鍵值。

2. 舉例：O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此為STARDOCK公司出品的WINDOWBLINDS系統主題替換軟件的正常載入DLL

3. 一般建議：已知如VX2，ABETTERINTERNET和LOOK2ME等惡意程式會修改此註冊表值調用自身的DLL，一般用戶如果見到不熟悉的DLL，請小心處理。已知WINDOWBLINDS和新版的INTEL板載顯示卡驅動會調用此鍵值(文件為IGFXSRVC.DLL），INTEL無線網卡程式（LgNotify.dll）。


國外下載：http://www.merijn.org/files/hijackthis.zip

Windows 98/ME用戶執行HijackThis後如提示沒有MSVBVM60.DLL文件，請下載這個VB包，其中有需要的文件：
http://download.microsoft.com/downlo...vbrun60sp5.exe

[psac]

掃瞄修復工具：


Hijackthis （常用推薦）
國外下載：http://www.merijn.org/files/hijackthis.zip

Windows 98/ME用戶執行HijackThis後如提示沒有MSVBVM60.DLL文件，請下載這個VB包，其中有需要的文件：
http://download.microsoft.com/downlo...vbrun60sp5.exe




System Repair Engineer （常用推薦）
說明：
System Repair Engineer(SREng) 是一款全新的、強有力的、可擴充的用於調整和修復你系統的免費工具，在這個工具的幫助下，你可以察覺你的系統故障並能夠很容易的修復他們。本工具的前身是 RegFix 註冊表關鍵值修復工具，由於 RegFix 註冊表關鍵值修復工具的局限性和當前系統環境的複雜性，我重新設計了一個新的軟件，即 System Repair Engineer (SREng) 。
下載：
SREng.exe
http://www.kztechs.com/sreng/sreng2.zip




SysInfoCollect.EXE
說明：System Information Collect Tool 是一個用於搜集系統訊息的小工具。收集的訊息可以用於對系統進行檢查。察看是否有非正常的工作行程或服務正在執行、重要的文件關聯是否正確、啟動組是否有不正常的內容等。SysInfoCollect 是 System Information Collect Tool 的縮寫。其開發目的是通過此軟件的簡單操作，實現對系統工作行程、註冊表啟動組、服務、BHO、文件關聯的檢測功能。
執行環境：Microsoft Windows 98 以上
鏈接：http://www.kztechs.com/sysinfocollec...nfoCollect.zip



註冊表修復工具



Regfix （常用）
說明：為了解決惡意代碼或電腦病毒給註冊表帶來的非正常修改，造成用戶無法正常操作操作系統的問題。本程式採用VC++開發，能夠穩定的執行於 Windows 98/98SE/2000/ME/XP/Server 2003，而且本程式採用單EXE結構，不需要安裝，是一個綠色軟件。
基本功能：
* 修復 .EXE .TXT .REG .BAT .COM .SCR .PIF 文件類型系統預定的文件關聯。
* 解決 IE 表菜單和選項無法使用、IE無法下載或無法指定儲存位置和 IE 搜索頁被篡改、IE工具欄不能正常使用的問題。
* 解除如同：無法顯示「文件」表菜單、禁止使用「網上的芳鄰」、禁止使用系統內容、無法使用「執行」、無法關機等46種 Windows 限制。
* 解決無法使用註冊表編輯器的問題。
* 還原 IE 標題為預定的 "Microsoft Internet Explorer" ，設置 IE 首頁為空白頁。
* 輸出註冊表中啟動項的內容到文本文件。
* 檢測系統是否安裝了KB824146修正檔程式
鏈接：http://kv2005.spymac.net/download/software/RegFix.com
http://dlb.pchome.net/system/treak/RegFix1210.rar
ftp://202.109.72.67/system/treak/RegFix1210.rar
附：下載後改為.com或者.scr或者.bat執行。




瑞星註冊表修復工具 3.0 http://download.rising.com.cn/zsgj/RegClean.com





Fixassec.bat
說明：海色月寫的一個小批處理，可恢復.bat、.cmd、.com、.exe、.pif、.scr、.txt和 .ini文件關聯。





McAfee公司的幾個小工具
包含VBS/VBE修復工具 Stinger等
下載網頁面（英文）

http://vil.nai.com/vil/averttools.asp
工作行程察看工具：



process explorer 10.6 （推薦）
英文版：
Win9x/Me http://www.sysinternals.com/Files/ProcessExplorer9x.zip
32-bit NT/2K/XP/Server 2003 http://www.sysinternals.com/Files/ProcessExplorerNt.zip
64-bit XP/Server 2003 http://www.sysinternals.com/Files/Pr...lorerAmd64.zip
漢化版10.06下載頁：http://www.crsky.com/soft/1074.html




ProcX （推薦）
說明：GhostSecurity公司推出的免費工作行程管理軟件，只有55kb，但是功能強大。
下載：http://www.ghostsecurity.com/index.p...ownload&id=123

a-squared HiJackFree （推薦）
說明： 安全的掃瞄工具，列表非常詳盡，提供了修改啟動項等專案和線上輔助分析功能。
鏈接 http://tmp.emsisoft.com/a2hijackfree/a2hijackfree.exe
引用頁 http://www.emsisoft.com/en/software/download/




StartDreck.exe
說明： 國外比較常用的掃瞄工具，可以自己選擇要掃瞄的專案，掃瞄很詳細，可以產生列表，但是不像HJT一樣可以修復，而是提供了手動編輯註冊表功能。
鏈接 http://www.spyware911.net/downloads/startdreck.zip
引用頁 http://www.niksoft.at/download/startdreck.htm




Silent Runners.vbs
說明：國外極其流行的掃瞄工具，掃瞄系統需要的時間長一點，一兩分鐘吧，掃瞄的非常詳盡，產生txt文件。
下載：http://www.silentrunners.org/Silent%20Runners.vbs
官方：http://www.silentrunners.org/




TroyanFindInfo V3.0 漢化版
說明： 一個查找系統木馬的小工具。由有名的俄國AntiVirus --- 卡巴斯基出品的工具，並不是公開版本，要FTP找到，順手漢化，方便大家使用。此工具帶工作行程管理，並且可以記錄系統自啟動訊息和網路連接阜使用訊息，提供的LOG非常詳細，方便網路管理員分析機器的詳細情況，以找出系統隱藏的木馬程式。
下載網頁面：http://www.skycn.com/soft/21108.html




瑞星聽診器 4.0
說明：瑞星客服提供給大家使用的木馬檢測工具。可掃瞄檢測木馬如灰鴿子等等的木馬
下載：http://download.rising.com.cn/for_down/rsdetect.exe




工作行程察看工具：



process explorer 10.6 （推薦）
英文版：
Win9x/Me http://www.sysinternals.com/Files/ProcessExplorer9x.zip
32-bit NT/2K/XP/Server 2003 http://www.sysinternals.com/Files/ProcessExplorerNt.zip
64-bit XP/Server 2003 http://www.sysinternals.com/Files/Pr...lorerAmd64.zip
漢化版10.06下載頁：http://www.crsky.com/soft/1074.html




ProcX （推薦）
說明：GhostSecurity公司推出的免費工作行程管理軟件，只有55kb，但是功能強大。
下載：http://www.ghostsecurity.com/index.p...ownload&id=123




強力工作行程結束工具：



Icesword v1.18 （非常強力，不推薦新手使用）
說明：IceSword v1.18，這是一斬斷黑手的利刃，它適用於Windows 2000/XP/2003 操作系統，其內部功能是十分強大，用於查探系統中的幕後黑手-木馬後門，並作出處理。可能您也用過很多類似功能的軟件，比如一些工作行程工具、連接阜工具，但是現在的系統級後門功能越來越強，一般都可輕而易舉地隱藏工作行程、連接阜、註冊表、文件訊息，一般的工具根本無法發現這些「幕後黑手」。IceSword 使用了大量新穎的內核技術，使得這些後門躲無所躲。當然使用它需要用戶有一些操作系統的知識。使用前請詳細閱讀說明。
在對軟件做講解之前，首先說明第一注意事項：此程式執行時不要啟動內核除錯器(如softice)，否則系統可能即刻崩潰。另外使用前請儲存好您的資料，以防萬一未知的Bug帶來損失。
IceSword目前只為使用32位的x86相容CPU的系統設計，另外執行IceSword需要管理員權限。
中文版下載：ftp://202.38.76.151/pub2/Kernel/Wind...eSword1.18.rar
MD5: 3FC619D8447939EEB80F4E5F6B29CBA4
下載頁：http://www.orsoon.com/Software/catalog180/4539.html





windows殺毒助手 3.0 （推薦）
說明：無需安裝即可完全實現系統工作行程的關閉，實現一次關閉多個工作行程，能夠檢視工作行程文件的版本、語言、廠商等訊息，動態檢視關聯Dll，PE文件分析及備註報告；實現系統服務的刪除及啟動選項的刪除，動態檢視工作行程性能資料，動態捕捉網路包，關聯連接阜與工作行程。
下載：http://down.tech.sina.com.cn/04ware/WinproV3.rar




ECQ-PS 4.1
說明：功能強大的工作行程管理軟件，免費而且無需安裝[不支持98]，能夠卸載嵌入工作行程的DLL文件，關閉系統工作行程，檢視工作行程版本、語言、廠商等訊息，檢視工作行程匯入函數，靜態/動態檢視關聯Dll，PE文件分析及備註報告；刪除系統服務，刪除啟動選項，動態檢視工作行程性能，關聯連接阜與工作行程[類似FPort，但是支持XP/2003]，檢視DLL被哪些工作行程鎖定,Ctrl_Alt啟動等。
下載：http://211.147.6.148/40/forums/uploa...100890s,00.htm
感謝會員放浪形骸提示




Wininterougate 0.1.7
說明：文件列表備份，在系統出現異常時可以用此列表進行對比，查殺木馬。
下載：http://www.cniti.com/soft/cse/2005-0...gate-0.1.7.zip




工作行程執法官
說明：工作行程執法官是一款強大的工作行程管理工具，它通過對普通工作行程、網路工作行程、隱藏工作行程的實時監視與查殺，確保系統的安全，讓各類非法工作行程無所遁形。「工作行程執法官」將幫你簡單的解決所有的工作行程問題，無論你是新手還是老手，都可以通過執法官提供的大量工作行程資料，準確定位非法工作行程。
主要功能 1、可以關閉任何工作行程，包括系統核心工作行程、殺毒不需要進入安全模式。 2、可以檢視普通工作行程（與任務管理器類似）、網路工作行程（TCP-UDP連接阜關聯工作行程）、隱藏工作行程（通過各種HOOK技術隱藏的工作行程）的詳細訊息，並能對工作行程進行各種操作。 3、提供工作行程的豐富資料。可以檢視工作行程的基本訊息、版本訊息、工作行程關聯服務、可能的啟動項、線程、工作行程連接阜關聯、工作行程描述、模塊訊息、Handle訊息、IP訊息以及工作行程安全性判斷。不論是新手還是老手均可以輕鬆檢視判斷。 4、提供強大的監視功能，能夠監視工作行程的創建、TCP連接的接入與外出、指定連接阜的監視以及隱藏工作行程的監視。 5、提供強大的查殺功能，能夠查殺指定工作行程名、指定超過記憶體使用閥值的工作行程、指定只准執行微軟公司的程式以及查殺隱藏工作行程。 6、提供各種有效的工作行程操作、如關閉、刪除、除錯工作行程、支持卸載模塊、結束線程、刪除啟動項、提供對連接IP的反掃瞄等功能。 7、提供DLL工具箱、驅動工具、KuKu啟動管理等實用工具。 8、提供針對工作行程模快、線程、啟動項等的直接操作，提供電腦性能監控和流量監控，對你的機器進行全方面的保護。
下載頁：http://3800cc.com/Soft/aqfh/10408.html



啟動項察看工具：



Autoruns V8.43 （推薦）
說明：Sysinternals公司出品，可檢視、刪除註冊表及Win.ini文件等處的自啟動專案。如果懷疑有木馬或病毒或者系統啟動太慢，用本工具看看自啟動項吧。
第一次執行時，顯示的字體看的非常不舒服，請到表菜單「選項」--「字體」中設置字體為「細明體」9號，以後就沒問題了。
鏈接： http://www.sysinternals.com/Files/Autoruns.zip
V8.43 漢化版下載網頁面：http://www.skycn.com/soft/17567.html




Startuplist 1.52.1
說明：國外比較常見的啟動項掃瞄工具，產生txt報告。
國外下載：http://www.bleepingcomputer.com/file...tartuplist.zip
國內下載網頁面：http://soft.2118.com.cn/soft/32784.htm


強力刪除工具：



killbox v2.0.0.175 漢化版 （推薦）
說明：國外反病毒論壇很受歡迎的工具軟件，與 HijackThis 是最佳配合，實質是一個刪除任意文件的利器，它不管這個文件是EXE還是DLL等其它文件，也不管這個文件是正在執行中，還是被系統調用了，KillBox 都可以簡單幾步就將文件刪除
具體用法：http://www.47522999.com/news/data/20...article_34.htm
下載：http://www.crsky.com/soft/4640.html




Copylock 1.09 Build 47.1 （推薦）
說明：Copylock能讓你替換系統正在使用的文件。
國外下載：http://noeld.com/download/copylock.zip
國內下載（漢化修正版）：http://www.skycn.com/soft/8642.html

專用修復工具：



Winsockfix （新手慎用）
說明：Winsock修復工具，作者是Option^Explicit Software。可修復Layered Service Provider（LSP），同時恢復hosts到預定狀態。
下載網頁面：http://www.spychecker.com/download/d...sockxpfix.html




Lspfix （新手慎用）
說明：Winsock2修復工具，修復Layered Service Provider（LSP）。
下載：http://www.cexx.org/lspfix.exe
下載網頁面：http://www.cexx.org/lspfix.htm





CWShredder
說明：清除CoolWebSearch（CWS）的小工具。
下載：http://www.trendmicro.com/ftp/produc...cwshredder.exe
如果使用CWShredder.exe發現了問題但卻無法修復（Fix），請在安全模式使用CWShredder.exe再次修復（Fix）。



免疫工具：



Upiea （推薦）
介紹：IE插件屏蔽突破了傳統的插件屏蔽軟件思維模式，插件屏蔽軟件不僅僅能屏蔽插件！還可以識別當前已安裝的插件！並可卸載插件！
IE插件屏蔽在除了屏蔽插件的基本功能之外，更有令人側目的創新！99.99%模擬Windows XP SP2的IE載入項功能，使2000以上Windows系統也可以具有Windows XP SP2的IE載入項功能,顯示當前已安裝的插件並可卸載插件。
這是目前任何一款插件屏蔽軟件所不具備的，作者希望通過自己不懈的努力，讓大家在上網的同時搶先享受無憂的樂趣!本軟件更新比較快。
下載網頁面：www.lumix.cn/upiea

感謝會員放浪形骸友情提示



Ad-Aware SE Professional V1.06 （推薦）
Ad-aware 是一款小巧易用的系統安全工具。它可以掃瞄你的記憶體，註冊表，硬碟和外部存儲器，並且快速的找出廣告跟蹤文件和相關成分，然後按照你的選擇安全的把它們刪除。有了它，你就可以很方便的清理你的系統，讓你在網上衝浪的同時可以高度的保護自己的隱私。此外Ad-aware還是免費的，有著漂亮的界面，並且支持線上升級。個人認為它是防護牆和殺毒軟件的最佳補充。 Ad-aware SE Personal Edition (標準個人版本) 在功能上有了很大的提升。擴展的記憶體掃瞄現在可以掃瞄一個工作行程所裝載的所有模塊；新版本採用了最新的CSI(代碼次序鑒定)技術來識別已知目標的新變體；擴展的註冊表掃瞄現在可以掃瞄多用戶的註冊表分支；掃瞄的速度也有顯著的提高，等等。
下載網頁面：http://www1.skycn.com/soft/3573.html




Spybot - Search & Destroy （推薦）
Spybot - Search & Destroy 能夠檢測並清除多種間諜程式。間諜程式是近年來新出現的一種威脅，許多殺毒軟件目前還沒有涉足這一領域。如果你發現你的 Internet Explorer 上出現了新的工具條，而你並有安裝；如果你的瀏覽器經常崩潰；如果你的瀏覽器主頁突然被更改，那麼你的電腦上很有可能存在間諜程式。甚至在你沒有發現任何現象的情況下，你的電腦仍然有可能已經被感染，因為越來越多的間諜程式在不斷出現，它們悄悄地跟蹤你的上網行為，並據此建立你的個人檔案，這些檔案則有可能會被賣給廣告公司。 Spybot-S&D 是免費的，因此用它來檢測一下你的電腦至少沒什麼壞處

此外Spybot-S&D還可以免疫大量的有害插件。
要檢視 Spybot-S&D 能夠清除的威脅列表，請點擊左邊導航條上的支持，然後在出現的網頁面上點擊威脅。如果你想瞭解 Spybot-S&D 如何工作，請閱讀教程。

下載網頁面：http://www.safer-networking.org/cs/download/index.html
國內下載：http://www1.skycn.com/soft/15694.html


註冊表輔助工具：



Reghance V2.12 漢化版 （推薦）
說明：這樣把它copy到system32里面，以後遇到關鍵問題就不用怕註冊表被禁用了，直接在開始——執行——輸入「reghance」就行了。
下載：http://dlb.pchome.net/system/treak/H...ance_setup.exe




Registry.Crawler 4.5.0.4 （推薦）
說明：Registry Crawler是一個Windows註冊表的增強工具，通過該工具可以在很大程度上增強系統的註冊表編輯器的查找功能。該工具提供了一個非常強大的搜索引擎，並以關鍵字方式查找，這似乎並沒有什麼特殊之處。該工具的突出特點是可以一次將所有掃瞄到的符合掃瞄條件的全部註冊表設置在界面視窗中給出，你也可以非常方便、直觀地找到自己需要的設置選項，這一點與Windows提供的注
冊表編輯器的逐個查找功能相比要強大許多倍，也是我們推薦它的一個主要原因。
　　Registry Crawler的使用方法是非常簡單的，直接在程式界面中的「Search」文本框中輸入需要查找的關鍵字，然後在「Where to search」項中設置可以掃瞄的註冊表範圍，在「How to search」項中設置掃瞄方式，之後單擊「Go」按鈕即可。掃瞄完成後程式會在界面視窗中給出符合條件的結果列表，現在你可以選擇自己需要的東西了。對於掃瞄結果列表，程式提供了直接調用Windows註冊表編輯器打開當前鍵值或主鍵所在位置（單擊「Goto Key」按鈕），或者是複製到系統剪貼板（單擊「Copy」按鈕）、設置當前位置書籤（單擊「Bookmark」按鈕）等功能，如果需要除錯註冊表設置或者是進行反覆編輯修改，使用這些功能是非常合適的。此外，Registry Crawler也提供了將當前的掃瞄結果輸出為HTML格式文件和TXT格式文件功能，這樣你可以印表出來慢慢研究。如果需要使用創建的書籤項，可切換到「Bookmarks」標籤項，程式會在界面視窗中給出所有設置的書籤列表，你可以快速選擇需要使用的主鍵或鍵值。
Registry Crawler是共享軟件，程式提供全功能試用版本，該工具的官方站點是http:∥www.4developers.com，在此你可以得到程式的最新版本以及升級訊息。
下載：http://www.4dev.com/software/regc.exe

漢化註冊版：Registry Crawler 是一個快速搜索 Windows 註冊表的小巧而實用工具。內置強大的搜索引擎；支持書籤；支持搜索局域網中的電腦（一次可選多個）；支持網路查找；可以將書籤匯出為 .REG 文件；支持批量替換；支持資料編輯。
如果你有較多的美金，請註冊以獲得更新的版本。如果你沒有也不用著急，該軟件已經註冊，如果在使用過程中發現軟件註冊失效了，請用安裝目錄下的Reg.exe進行註冊。
下載網頁面：http://soft.2118.com.cn/soft/4937.htm




Regseeker 1.45 （推薦）
說明：RegSeeker 1.45 RegSeeker 能讓您管理您的註冊表，它可以尋找物件、反軟件安裝、清除歷史紀錄、清理註冊表錯誤項等。在國外論壇比較流行，可以選擇中文語言。
下載：http://down1.softsea.net/system/treak/RegSeeker145.zip


文件使用察看和解鎖工具：



WhoLockMe Explorer Extension 1.04
說明：當你在刪除硬碟中許多無用文件時，經常會碰到這樣的尷尬，「你的文件正在被另一個程式使用而無法刪除」的提示往往令你丈二和尚摸不著頭腦，哪裡有程式在執行或使用該文件，又是這可惡的「瘟都司」搞得鬼把戲。有什麼方法來解決這類尷尬事呢？不忙，有款名叫「WhoLockMe」小軟件就可以徹底解決該難題。
使用方法：下載完該軟件，點擊壓縮包裝中的「install.bat」進行軟件安裝，選中你無法刪除的文件單擊滑鼠右鍵，有一個「Who Lock Me?」表菜單項。選中此項後，出現瀏覽視窗，可以很清楚地知道是哪個軟件在調用此文件，選中文件，點擊「Kill Process」按鈕將該軟件關閉。退出後，再刪除該文件。是不是很方便！
下載：http://www.dr-hoiby.com/WhoLockMe/WhoLockMe104.zip
漢化版下載網頁面：http://www.sdada.edu.cn/down/soft.php?id=35426





Unlocker 1.8.3
簡介：當你重命名或刪除一個文件/資料夾時，Windows 彈出交談視窗提示你「無法刪除 xxx：它正在被其它用戶/程式使用！」，怎麼辦？使用 Unlocker ，使用 Unlocker 你就可以輕鬆、方便、有效地解決這個雖小但很煩人的問題！Unlocker 是一個免費的右鍵擴充工具，使用者在安裝後，它便能整合於滑鼠右鍵的操作當中，當使用者發現有某個檔案或目錄無法刪除時，只要按下滑鼠右鍵中的「Unlocker」，那麼程式馬上就會顯示出是哪一些程式佔用了該目錄或檔案，接著只要按下彈出的視窗中的「Unlock」就能夠為你的檔案解套。
Unlocker 不同於其它解鎖軟件的部分在於它並非強制關閉那些佔用檔案的程式，而是以解除檔案與程式關連性的方式來解鎖，因此不會像其它解鎖程式一樣因為強制關閉程式而造成使用者可能的資料遺失。
Unlocker 的安裝非常簡單，使用者於下載後，只需雙擊檔案就能進行安裝，在安裝的過程中，程式會讓使用者選擇要將 Unlocker 直接整合進滑鼠右鍵選單或是「傳送到...」專案中，讓使用者能夠更有彈性地呼叫它。
鏈接：http://ccollomb.free.fr/unlocker/unlocker1.8.3.exe
Unlocker v1.8.1 中文便攜版
鏈接：http://www.crsky.com/soft/5890.html

查殺rootkit專用工具：



GMER 1.0.10 (不推薦新手使用)
說明：GMER，通過檢測隱藏工作行程，隱藏檔案，隱藏服務，隱藏註冊表，隱藏驅動，Hook SSDT(System Service Descriptor Table),IDT(Interrupt Descriptor Table)和IRP (IO Request Packet) calls，找出系統是否隱藏著Rootkit。
鏈接 http://www.gmer.net/gmer.zip
下載網頁面： http://www.gmer.net/files.php




RootkitRevealer 1.56
說明：RootkitRevealer v1.01，用來檢測系統裡邊是否執行著Rootkit，通過分析註冊表和系統API文件差異，它能檢測出來www.rootkit.com 發佈的所有rootkit，包括AFX、Vanquish、HackerDefender 等。內包含GUI和命令行兩個版本，其中命令行版本配合PsExec 可以執行遠端掃瞄。
鏈接 http://www.sysinternals.com/Files/RootkitRevealer.zip
下載網頁面： http://www.sysinternals.com/utilitie...trevealer.html




BlackLight Beta 2.2.1007
說明：F-Secure 的 Rootkit 免費查殺工具。
下載：http://www.europe.f-secure.com/exclu...ght/blbeta.exe




Unhackme version 3.3
說明：Greatis公司出品的一款查殺rootkit和木馬的工具，共享版。
下載：http://www.greatis.com/unhackme.zip


UnHackMe v3.0.3 Cracked.part1.rar
UnHackMe v3.0.3 Cracked.part2.rar


註：Rootkit 一般認為是一種系統間諜病毒木馬軟件集合，具有隱藏性非常好等特點，黑客可用來獲取電腦的未經授權的遠端訪問權限，並發動其它攻擊，能給用戶帶來嚴重安全威脅。


線上病毒掃瞄/線上檔案掃瞄：


Kaspersky Online Scanner
說明：由卡巴斯基實驗室提供的免費線上病毒掃瞄。此線上掃瞄可以檢測病毒，木馬，危險軟件等，只提供掃瞄功能，不提供殺毒功能，無法清除已經感染的病毒。特別適合於已經裝了其他殺毒軟件，但懷疑自己系統有問題的人來輔助掃瞄。因其只具備基本掃瞄功能，因此基本不會和已經安裝的殺毒軟件發生衝突

中文：http://www.kaspersky.com.cn/webscanner/kavwebscan.html
英文：http://www.kaspersky.com/kos/english/kavwebscan.html





VirusTotal/Jotti/Virus.Org多引擎線上檔案掃瞄:
說明：VirusTotal/Jotti/Virus.Org多引擎線上檔案掃瞄,使用了多家病毒掃瞄引擎,每次只可以掃瞄一個檔案。如果要掃瞄多個檔案,你可以先用zip壓縮一下

網址(VirusTotal)：http://www.virustotal.com/
網址(Jotti)：http://virusscan.jotti.org/
網址(Virus.Org)：http://scanner.virus.org/