首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

alg.exe病毒专杀方法


http://www.gipsky.com/
C:\windows\alg.exe偷偷潜入系统后,下次开机时会碰到1-2次蓝屏重启。



特点:

1、C:\windows\alg.exe注册为系统服务,实现启动加载。

2、C:\windows\alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:\windows\alg.exe进程。

3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。

4、C:\windows\alg.exe 修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为 09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为 backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目录下。



手工杀毒流程:

1、清理注册表:

(1)展开:HKLM\System\CurrentControlSet\Services

删除:Application Layer Gateway Services(指向 C:\windows\alg.exe)



(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

将SFCDisable的建值改为dword:00000000



(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

删除:"SFCScan"=dword:00000000



(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"



2、重启系统。显示隐藏文件。

3、删除C:\windows\alg.exe。

4、在C:\WINDOWS\system32 \Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将 ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。



from:网络
<< 832823.cn的加速器木马的专杀方法 绕过现代Anti-Rookit工具的内核模块扫描 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号