alg.exe查杀技巧：alg.exe病毒的清除

　　正常alg.exe的信息：

　　进程文件： alg.exe

　　进程名称： Application Layer Gateway Service

　　进程类别：其他进程

　　文件路径：windwos\system32

　　英文描述：

　　alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should

　　中文参考：

　　alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。

　　出品者：Microsoft Corp.

　　其实就是windows自带的病毒防火墙，没什么用处，可以强行结束进程，也可以禁止这个服务的运行，禁止此项服务的方法：

　　1.在“我的电脑”上单击右键，选择“管理”;

　　2.左键单击左侧最下边的“服务和应用程序”;

　　3.在右侧左键双击“服务”;

　　4.名为“Application Layer Gateway Service”的服务就是你要找的alg.exe的服务，你可以右键单击它，选择“属性”，并在“属性”中的“启动类型”中选择是否禁用或启用它。

　　若alg.exe的路径不是windows\system32目录，则肯定是病毒或木马，以下为一例，供大家参考：

　　C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1-2次蓝屏重启。

　　特点：

　　1、C:\windows\alg.exe注册为系统服务，实现启动加载。

　　2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。

　　3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。

　　4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

　　手工杀毒流程：

　　1、清理注册表：

　　(1)展开：HKLM\System\CurrentControlSet\Services

　　删除：Application Layer Gateway Services(指向 C:\windows\alg.exe)

　　(2)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

　　将SFCDisable的建值改为dword:00000000

　　(3)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

　　删除："SFCScan"=dword:00000000

　　(4)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

　　删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

　　2、重启系统。显示隐藏文件。

　　3、删除C:\windows\alg.exe。

　　4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe;找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。

　　若对系统操作不熟练，无法实施手工清除，可以下载方舟广谱病毒疫苗，运行arksafe1.bat后，按1键即可清除。若此病毒变种，可以按9在线升级病毒库，若病毒库也不没有此病毒名，可以参考方舟广谱病毒疫苗中的说明readme.txt，自定义加入病毒名。并给本站留言，我们将及时升级病毒包。