手工清理C:\windows\alg.exe病毒

这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。 

C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。 

特点： 
1、C:\windows\alg.exe注册为系统服务，实现启动加载。 
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。 
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。 
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。 

手工杀毒流程： 
1、清理注册表： 
（1）展开：HKLM\System\CurrentControlSet\Services 
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe） 

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
将SFCDisable的建值改为dword:00000000 

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
删除："SFCScan"=dword:00000000 

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions 
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM" 

2、重启系统。显示隐藏文件。 
3、删除C:\windows\alg.exe。 
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。 

本篇内容为网络转载，内容真实性和准确性未经核实，请新客网的网友仅供参考！

最新相关文章

• ·还我清净 三招两式抵制IE顽固病毒
• ·手工清理C:\windows\alg.exe病毒
• ·alg.exe的作用
• ·alg.exe是什么进程文件？如何删除alg病毒？
• ·orz.exe病毒的清理办法
• ·orz.exe病毒文件简单见解
• ·U盘病毒MS-DOS.com替换系统文件修改注册表
• ·亲身体验Flash Player漏洞导致系统中木马
• ·删除U盘顽固病毒 还Linux一个清静的空间
• ·infostealer病毒清除方法
• ·清除autorun病毒的批处理文件代码
• ·略施小计 彻底清除系统中的顽固病毒程序
• ·修改进程PEB结构的后门病毒分析
• ·堵住系统自动运行 销毁病毒木马运行动力