alg.exe病毒的清除方法和专杀工具
<BR><FONT color=#000000 size=2>这是一个病毒样本eraseme_88446.exe(样本来自“剑盟”)释放到系统中的。瑞星今天的病毒库不报。 <BR><BR>C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。 <BR><BR>特点: <BR>1、C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>注册为系统服务,实现启动加载。 <BR>2、C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>控制winlogon.exe进程。因此,在<U>WINDOWS</U>下无法终止C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>进程。 <BR>3、在IceSword的“端口”列表中可见C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>打开5-6个端口访问<U>网络</U>。 <BR>4、C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:\<U>WINDOWS</U>\system32\Microsoft\目录下。 <BR><BR>手工杀毒流程: <BR>1、清理注册表: <BR>(1)展开:HKLM\System\CurrentControlSet\Services <BR>删除:Application Layer Gateway Services(指向 C:\<U>windows</U>\<STRONG><EM><U>alg.exe</U></EM></STRONG>) <BR><BR>(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<U>Windows</U> NT\CurrentVersion\Winlogon <BR>将SFCDisable的建值改为dword:00000000 <BR><BR>(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<U>Windows</U> NT\CurrentVersion\Winlogon <BR>删除:"SFCScan"=dword:00000000 <BR><BR>(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<U>Windows</U>\CurrentVersion\Shell Extensions <BR>删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM" <BR><BR>2、重启系统。显示隐藏文件。 <BR>3、删除C:\<U>windows</U>\<U><EM><STRONG>alg.exe</STRONG></EM></U>。 <BR>4、在C:\<U>WINDOWS</U>\system32\Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。 </FONT> <BR>
wenjian.cn上说:如果 alg.exe 位于在目录 C:\Windows下,那么威胁危险度是 72% 。文件大小是 15,872 字节。
页:
[1]