xuetr
xuetr安装教程
xuetr是一个强大的手工杀毒工具,通过获取系统最高权限,更方便精准的检测出电脑病毒并进行高效查杀,支持对模块进行修复和检测,具备注册表管理、杀进程、杀线程、卸载模块等功能。
xuetr功能
- 进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
- 内核驱动模块查看,支持内核驱动模块的内存拷贝
- SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
- CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
- 端口信息查看,目前不支持2000系统
- 查看消息钩子
- 内核模块的iat、eat、inline hook、patches检测和恢复
- 磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
- 注册表编辑
- 进程iat、eat、inline hook、patches检测和恢复
- 文件系统查看,支持基本的文件操作
- 查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
- ObjectType Hook检测和恢复
- DPC定时器检测和删除
- MBR Rootkit检测和修复
- 内核对象劫持检测
- WorkerThread枚举
XueTr使用方法
1、打开XueTr,如果存在病毒的话,会自动检测出病毒生成的文件,我们用鼠标右键点击这些文件,并全部删除。(此处以鬼影病毒为例)
2、之后在内核模块下,会发现有一个可疑PE映像,还不能确定一定是鬼影病毒造成的,先继续往下。
3、切换到“内核钩子”模块下,如图所示的三行中就是鬼影病毒造成的,我们同样把它们删除掉。
4、最后再检测MBR,会发现MBR已被篡改,并提示用户是否要修复(建议修复之前先备份,以免造成系统故障),之后我们点击“是”修复MBR并重启电脑,这样就将病毒成功清除掉了。
