手工清理C:\windows\alg.exe病毒

　　这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。　

　　C:windowsalg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。　

　　特点：　

　　1、C:windowsalg.exe注册为系统服务，实现启动加载。　

　　2、C:windowsalg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:windowsalg.exe进程。　

　　3、在IceSword的“端口”列表中可见C:windowsalg.exe打开5－6个端口访问网络。　

　　4、C:windowsalg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:WINDOWSsystem32Microsoft目录下。　

　　手工杀毒流程：　

　　1、清理注册表：　

　　（1）展开：HKLMSystemCurrentControlSetServices　

　　删除：ApplicationLayerGatewayServices（指向C:windowsalg.exe）　

　　（2）展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon　

　　将SFCDisable的建值改为dword:00000000　

　　（3）展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon　

　　删除："SFCScan"=dword:00000000　

　　（4）展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellExtensions　

　　删除："v7b5x2s1i4h3"="12/15/2006,01:26PM"　

　　2、重启系统。显示隐藏文件。　

　　3、删除C:windowsalg.exe。　

　　4、在C:WINDOWSsystem32Microsoft目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。