扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 2008年5月7日
C:windowsalg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。
特点:
1、C:windowsalg.exe注册为系统服务,实现启动加载。
2、C:windowsalg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:windowsalg.exe进程。
3、在IceSword的“端口”列表中可见C:windowsalg.exe打开5-6个端口访问网络。
4、C:windowsalg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:WINDOWSsystem32Microsoft目录下。
手工杀毒流程:
1、清理注册表:
(1)展开:HKLMSystemCurrentControlSetServices
删除:Application Layer Gateway Services(指向 C:windowsalg.exe)
(2)展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
将SFCDisable的建值改为dword:00000000
(3)展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
删除:"SFCScan"=dword:00000000
(4)展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重启系统。显示隐藏文件。
3、删除C:windowsalg.exe。
4、在C:WINDOWSsystem32Microsoft目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。