致:“5656qq”---Ph_Server远程控制的解决办法
1、先从C:\windows\system32\dllcache\目录下拷贝一个explorer.exe到C盘根目录。
2、以下步骤用IceSword操作:
(1)禁止进程创建。
(2)删除下列文件:
c:\windows\explorer.exe
C:\windows\system32\drivers\beep.sys
C:\windows\system32\phusb.exe
C:\windows\system32\SysIdt.dll
C:\windows\system32\explorer.idx
C:\windows\system32\explorer.img
(3)删除病毒添加的注册表项(图)
(4)取消IceSword的“禁止进程创建。
3、注销中毒的当前用户,再次登录。
4、三键调出任务管理器,运行C:\explorer.exe(即:第一步拷贝的那个系统explorer.exe)。
5、将C:\目录下的explorer.exe拷回C:\windows\目录。
6、清空当前用户临时文件夹(可能有残余的病毒tmp文件)。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
