進程文件: alg.exe
進程名稱: Application Layer Gateway Service
進程類別:其他進程
英文描述:
alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should
中文參考:
alg.exe是微軟Windows操作系統自帶的程序。它用於處理微軟Windows網絡連接共享和網絡連接防火牆。應用程序網關服務,為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持。該進程屬 Windows 系統服務。這個程序對你系統的正常運行是非常重要的。
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
如果此文件在C:\windows\alg.exe:
這是一個病毒樣本eraseme_88446.exe 釋放到系統中的。
C:\windows\alg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。
特點:
1、C:\windows\alg.exe注冊為系統服務,實現啟動加載。
2、C:\windows\alg.exe控制winLogon.exe進程。因此,在WINDOWS下無法終止C:\windows\alg.exe進程。
3、在IceSword的“端口”列表中可見C:\windows\alg.exe打開5-6個端口訪問網絡。
4、C:\windows\alg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較,病毒改動後的ftp.exe和tftp.exe文件大小不變,但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。
手工殺毒流程:
1、清理注冊表:
(1)展開:HKLM\System\CurrentControlSet\Services
刪除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
將SFCDisable的建值改為dword:00000000
(3)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
刪除:"SFCScan"=dword:00000000
(4)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重啟系統。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,將ftp.exe和tftp.exe拖拽到system32文件夾,覆蓋被病毒改寫過的ftp.exe和tftp.exe。
alg.exe是什麼病毒?
正常的alg.exe是windows自帶的程序,只是有可能被病毒感染或者被偽裝;
alg - alg.exe - 進程信息
進程文件: alg 或者 alg.exe
進程名稱: Application Layer Gateway Service
描述:
alg.exe是微軟Windows操作系統自帶的程序。它用於處理微軟Windows網絡連接共享和網絡連接防火牆。這個程序對你系統的正常運行是非常重要的。
C:\windows\alg.exe病毒:
這是一個病毒樣本eraseme_88446.exe(樣本來自“劍盟”)釋放到系統中的。瑞星今天的病毒庫不報。
C:\windows\alg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。
特點:
1、C:\windows\alg.exe注冊為系統服務,實現啟動加載。
2、C:\windows\alg.exe控制winLogon.exe進程。因此,在WINDOWS下無法終止C:\windows\alg.exe進程。
3、在IceSword的“端口”列表中可見C:\windows\alg.exe打開5-6個端口訪問網絡。
4、C:\windows\alg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較,病毒改動後的ftp.exe和tftp.exe文件大小不變,但MD5值均變為09d81f8dca0cbd5b110e53e6460b0d3b。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。
手工殺毒流程:
1、清理注冊表:
(1)展開:HKLM\System\CurrentControlSet\Services
刪除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
將SFCDisable的建值改為dword:00000000
(3)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
刪除:"SFCScan"=dword:00000000
(4)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重啟系統。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,將ftp.exe和tftp.exe拖拽到system32文件夾,覆蓋被病毒改寫過的ftp.exe和tftp.exe.
