手工杀木马

病毒木马隐藏技术：
1.rar:创建自解压格式：
解压前：ma.exe
解压后：qq.exe
2.伪装成图片及记事本图标：.jpg .txt
实际扩展名：.exe
3.利用捆绑器：正常文件+木马
4.源分发：源代码：木马代码
5.hook:钩子：
ssdt-hook
inline-hook
fsd-hook
fsdinline-hook

6.文件资源区：图标
7.进程守护：a b c
8..dll注入进程
9.dll本地劫持：ntdll.dll
手工杀马：
vmxp:
installrite:快照
snap1 snap2
avafind:硬盘快速索引：ntdhcp.exe
进程管理工具;icesword:冰刃，snipeword:狙剑
启动项：msconfig
服务：
文件位置：
数字签名：
一。删除QQ大盗
icesword--异常进程：ntdhcp.exe c:windowssystem32

删除：
cd c:windowssystem32
attrib -s -r -h ntdhcp.exe
del ntdhcp.exe

二。手工杀病毒：
1.icesword:可疑进程
svchost.exe
c:windowssystem32
c:windowsinstall
结束进程，删除所有，重启
2.恢复：
svchost.exe加载到od--右键--查看字符串：
c:windows:ject.vbs
c:windowssystem32: softpro.dll ject.vbs
3.通过查看时间：
c:windowssystem32ootlog.dll
tasklist /m bootlog.dll
winlogon.exe
icesword--进程--winlogon.exe--右键--模块信息--强制解除
4.ie劫持：ifeo
regedit--编辑--查找：iexplore.exe
--恶意网址--》复制
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
删除主键
重新搜索：machine