瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 致:“5656qq”---Ph_Server远程控制的解决办法
baohe - 2008-7-7 16:57:00
1、先从C:\windows\system32\dllcache\目录下拷贝一个explorer.exe到C盘根目录。
2、以下步骤用IceSword操作:
(1)禁止进程创建。
(2)删除下列文件:
c:\windows\explorer.exe
C:\windows\system32\drivers\beep.sys
C:\windows\system32\phusb.exe
C:\windows\system32\SysIdt.dll
C:\windows\system32\explorer.idx
C:\windows\system32\explorer.img
(3)删除病毒添加的注册表项(图) 
(4)取消IceSword的“禁止进程创建。
3、注销中毒的当前用户,再次登录。
4、三键调出任务管理器,运行C:\explorer.exe(即:第一步拷贝的那个系统explorer.exe)。
5、将C:\目录下的explorer.exe拷回C:\windows\目录。 
6、清空当前用户临时文件夹(可能有残余的病毒tmp文件)。



用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
lqqk7 - 2008-7-7 17:05:00
终于坐到猫叔的沙发了:kaka12:
baohe - 2008-7-7 17:06:00
你好啊!
lqqk7 - 2008-7-7 17:08:00
猫叔好:default6:
天月来了 - 2008-7-7 17:52:00
一起好:default6:
baohe - 2008-7-7 17:56:00


引用:
原帖由 天月来了 于 2008-7-7 17:52:00 发表
一起好:default6:  

QIQI好吗?:default5:
超级游戏迷 - 2008-7-7 18:06:00
怎么替换系统正常文件成时尚了,鄙视做病毒的一下……:default4:
vistalong - 2008-7-7 18:08:00
替换系统文件  看来比较的流行
5656qq - 2008-7-7 23:46:00
多谢版主,在这里我学到很多知识
闪电风暴 - 2008-7-8 16:32:00
他没有本事做RK,只能替换了。这样做的风险非常大。
freeflay - 2008-7-9 9:56:00
:default3: 替换这种对新手很难搞哦。。
鱼子鸟 - 2008-7-9 17:13:00
我超级鄙视制造病毒的人,更鄙视制造病毒还把病毒散发给他人的人!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1
查看完整版本: 致:“5656qq”---Ph_Server远程控制的解决办法
© 2000 - 2026 Rising Corp. Ltd.