这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。

C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services           
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000   

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。

【回复“欢梦缘星星”的帖子】
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.7255.com/
O2 - BHO: MyLoader Class - {09BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38} - C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEMDATA\YLxmdBrnv2_2002.dll
O2 - BHO: browser Class - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\Office\USERDATA\aGp7I0W3Fd_2002.dll
O4 - HKLM\..\Run: [C:\DOCUME~1\new\LOCALS~1\Temp\Setup_623.exe] C:\DOCUME~1\new\LOCALS~1\Temp\Setup_623.exe
O4 - HKLM\..\Run: [C:\DOCUME~1\new\LOCALS~1\Temp\dodolook057.exe] C:\DOCUME~1\new\LOCALS~1\Temp\dodolook057.exe
O4 - HKLM\..\Run: [C:\DOCUME~1\new\LOCALS~1\Temp\bind_50103.exe] C:\DOCUME~1\new\LOCALS~1\Temp\bind_50103.exe
O23 - Service: Network IPSEC Connections (BARCASE) - - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\xefcn.dll,export 1087
关闭HIjackThis以外的所有应用程序。
断开网络。
用HijackThis修复上述项目。
重启。
显示隐藏文件。
删除下列文件：
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEMDATA\YLxmdBrnv2_2002.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\USERDATA\aGp7I0W3Fd_2002.dll
C:\DOCUME~1\new\LOCALS~1\Temp\Setup_623.exe
C:\DOCUME~1\new\LOCALS~1\Temp\dodolook057.exe
C:\DOCUME~1\new\LOCALS~1\Temp\bind_50103.exe
C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\xefcn.dll

引用:

【高歌猛进的贴子】注册表没有守护？ ………………

没有。
其实，不用这种常规办法也能搞掂它。
用写注册表的那个办法，简单，省事。而且，这种歪招，它监控注册表也没用。我不动它的注册表加载项。
只是这歪招不为多数人理解而已。

引用:

【燕赵剑客2006的贴子】alg.exe - alg - 进程管理信息 进程文件： alg or alg.exe 进程名称： Application Layer Gateway Service 进程类别：其他进程 英文描述： alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should 中文参考： alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。 出品者：Microsoft Corp. 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络相关：Yes 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 木马：No ………………

仅看名字（alg.exe ），不看路径？
系统程序alg.exe 在哪个目录？这个alg.exe 又在那个目录？
搞清楚没？

引用:

【Ahtiman的贴子】饿,我也问一句啊,楼主是不是WINDOWS 2000啊,我XP的注册表怎么没看见HKLM这项啊,然后在WINDOWS/SYSTEM32下的ALG是病毒不~~~~~~?? ………………

1、我的系统是XP。

2、HKLM是HKEY_LOCAL_MACHINE的简略形式。

3、system32下的alg.exe是系统程序（应用层网关），不是病毒。