多數(shù)情況下是安全軟件阻止了Wsyscheck加載所需的驅(qū)動(dòng)，這種情況下Wsyscheck的功能有一定減弱，但它仍能用不需要驅(qū)動(dòng)的方法來(lái)完成對(duì)系統(tǒng)的修復(fù)。

驅(qū)動(dòng)加載成功的情況下，對(duì)于木馬文件可以直接使用Wsyscheck中各頁(yè)中的刪除文件功能，本功能帶有“直接刪除”運(yùn)行中的文件的功能。

4、關(guān)于卸載模塊

對(duì)HOOK了系統(tǒng)關(guān)鍵進(jìn)程的模塊卸載可能導(dǎo)致系統(tǒng)重啟，這與該模塊的寫法有關(guān)系，所以卸載不了的模塊不要強(qiáng)求卸載，可以先刪除該模塊的啟動(dòng)項(xiàng)或文件（驅(qū)動(dòng)加載情況下使用刪除后重啟文件即消失）。

5、關(guān)于文件刪除

驅(qū)動(dòng)加載的情況下，Wsyscheck的刪除功能已經(jīng)夠用了，大多數(shù)文件都可以立即刪除（進(jìn)程模塊可以直接使用右鍵下帶刪除的各項(xiàng)功能），加載的DLL文件刪除后雖然文件仍然可見(jiàn)，但事實(shí)上已刪除，重啟后該文件消失。

文件管理頁(yè)的“刪除”操作是刪除文件到回收站，支持畸形目錄下的文件刪除。應(yīng)注意的是如果文件本身在回收站內(nèi)，請(qǐng)使用直接刪除功能?；蛘呤褂眉羟泄δ軐⑺鼜?fù)制到另一個(gè)地方。否則你可能看到回收站內(nèi)的文件刪除了這個(gè)又添加了那個(gè)。

Wsyscheck的或“dos刪除功能”需要單獨(dú)下載Wsyscheck的附加模塊文件WDosDel.dat，將此文件與Wsyscheck放在一起會(huì)顯示出相關(guān)頁(yè)面，添加待刪除文件并重啟，啟動(dòng)菜單中將出現(xiàn)“刪除頑固文件”字樣，選擇后轉(zhuǎn)入Dos刪除文件。在某些機(jī)器上，若執(zhí)行“dos刪除”重啟后系統(tǒng)報(bào)告文件損壞要修復(fù)（此時(shí)修復(fù)會(huì)造成文件系統(tǒng)的真正損壞），此時(shí)請(qǐng)不要修復(fù)而是立即關(guān)閉主機(jī)電源，重新開(kāi)機(jī)。（這種情況是Dos刪除所帶的NTFS支持軟件本身的BUG造成的，并不需要真正的修復(fù)，只需關(guān)閉電源重新開(kāi)機(jī)即可。）

“重啟刪除”與“Dos刪除”可以同時(shí)使用。其列表都可以手動(dòng)編輯，一行一個(gè)文件路徑即可。關(guān)閉程序時(shí)如果上述兩者之一存在刪除列表，會(huì)問(wèn)詢是否執(zhí)行。

注意，為避免病毒程序守護(hù)，Wsyscheck可以在刪除某些文件時(shí)可能會(huì)采取0字節(jié)文件占位的方式來(lái)確保刪除。這些0字節(jié)文件在Wsyscheck退出后會(huì)被自動(dòng)清理。是否采用此方式依賴于“軟件設(shè)置”下的“刪除文件后鎖定”選項(xiàng)是否勾選。

如果需要對(duì)刪除的文件備份，先啟用軟件設(shè)置下的“刪除文件前備份文件”，它將在刪除前將文件備份到%SystemDrive%VirusBackup目錄中，且將文件名添加.vir后綴以免誤執(zhí)行。

6、關(guān)于進(jìn)程的結(jié)束后的反復(fù)創(chuàng)建

如果確系木馬文件，可選擇結(jié)束進(jìn)程并刪除文件，這樣的話Wsyscheck會(huì)將其結(jié)束并刪除文件。但有時(shí)因?yàn)槟抉R有關(guān)聯(lián)進(jìn)程未同時(shí)結(jié)束，會(huì)重新加載木馬文件。這時(shí)我們可以選擇“軟件設(shè)置”下的“刪除文件后鎖定”。這時(shí)當(dāng)結(jié)束進(jìn)程并刪除文件后Wsyscheck將創(chuàng)建0字節(jié)的鎖定文件防止木馬再生。

也可以使用進(jìn)程頁(yè)的“禁止程序運(yùn)行”，這個(gè)功能就是流行的IFEO劫持功能，我們可以使用它來(lái)屏蔽一些結(jié)束后又自動(dòng)重新啟動(dòng)的程序。通過(guò)禁用它的執(zhí)行來(lái)清理文件。解除禁用的程序用“安全檢查”頁(yè)的“禁用程序管理”功能，所以在木馬使用IFEO劫持后也可以“禁用程序管理”中恢復(fù)被劫持的程序。

軟件設(shè)置下的“禁止進(jìn)程與文件創(chuàng)建”功能是針對(duì)木馬的反復(fù)啟動(dòng)，反復(fù)創(chuàng)建文件，反復(fù)寫注冊(cè)表啟動(dòng)項(xiàng)進(jìn)行監(jiān)視或阻止，使用本功能后能更清松地刪除木馬文件及注冊(cè)表啟動(dòng)項(xiàng)。開(kāi)啟禁止“禁止進(jìn)程與文件創(chuàng)建”后會(huì)自動(dòng)添加“監(jiān)控日志”頁(yè)，取消后該頁(yè)消失?？梢杂^察一下日志情況以便從所阻止的動(dòng)作中找到比較隱藏的木馬文件。注意的是，如果木馬插入系統(tǒng)進(jìn)程，則反映的日志是阻止系統(tǒng)進(jìn)程的動(dòng)作，你需要自我分辨該動(dòng)作是否有害并分析該進(jìn)程的模塊文件。

要保留日志請(qǐng)?jiān)谌∠癈trl+A全選后復(fù)制。注意，為防止日志過(guò)多，滿1000條后自動(dòng)刪除前400條日志。

對(duì)于反復(fù)寫注冊(cè)表啟動(dòng)項(xiàng)無(wú)法修復(fù)的情況，可以先用“禁止進(jìn)程與文件創(chuàng)建”找出覆寫該注冊(cè)表項(xiàng)的進(jìn)程，針對(duì)木馬插入的線程進(jìn)行掛起，再修復(fù)注冊(cè)表。

懶于查看分析，不想太麻煩的話，可以先刪除文件（直接刪除、重啟刪除），待重啟之后再修復(fù)注冊(cè)表。