黑白徽章

多的就不重复了，具体详看http://bbs.duba.net/thread-21917661-1-1.html



第一天关键字one：http://bbs.duba.net/thread-21920486-1-1.html


举例：
Explorer.exe
Windows资源管理器，或是Windows图形界面外壳程序，它是一个重要的系统进程。注意它的正常路径是C:\Windows目录，否则可能是病毒。


第二天关键字：China （n在之前出现过，故有效关键字为：C、H、I、A）

注：如果进程信息量大，可以直接存为附件形式上传。
只有在本贴跟帖回复有效，并且确实是以C、H、I、A进程信息，其他地方发帖或不是此3字母的均视为无效并一律删除！！！
本帖在5.6进程关键字出现后即锁帖，请及时参加。

切忌每人限回复1次，请将所有进程信息汇到一起，帖子允许编辑，重复回复视为无效。谢谢合作。

[ 本帖最后由 黑白徽章 于 2008-5-5 23:37 编辑 ]

13941304871

进程文件： CTDetect or CTDetect.exe
进程名称： Creative Soundblaster Removable Media Alerter
进程类别：应用进程
英文描述：
CTDetect.exe is a process belonging to the Creative Labs Soundblaster CD/DVD Alerter. This program is a non-essential process, and is installed for ease of use and can be safely removed.
中文参考：
对不起，暂时没有中文参考！
出品者：Creative Labs
属于：Creative Labs Audio
系统进程：No
后台程序：No
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No
进程文件： cz or cz.exe
进程名称： Bropia Worm
进程类别：存在安全风险的进程
英文描述：
cz.exe is a process associated with the Bropia Worm. It is spread using images through the MSN Messenger network. This program is a registered security risk and should be removed immediately. If found on your system make sure that you have downloaded th
中文参考：
cz.exe是Bropia蠕虫相关程序。该蠕虫通过MSN Messenger进行传播。
出品者：N/A
属于：Bropia Worm
系统进程：No
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 4
间谍软件：No
广告软件：No
病毒：No
木马：Yes
进程文件： ctfmon32 or ctfmon32.exe
进程名称： CoolWebSearch Spyware
进程类别：存在安全风险的进程
英文描述：
ctfmon32.exe is an advertising program by CoolWebSearch. This process monitors your browsing habits and distributes the data back to the authors servers for analysis. This also prompts advertising popups. This program is a registered security risk and s
中文参考：
ctfmon32.exe是CoolWebSearch广告程序。该进程监视用户浏览行为，并回传到其服务器进行分析。
出品者：CoolWebSearch
属于：CoolWebSearch Spyware
系统进程：No
后台程序：Yes
网络相关：Yes
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 2
间谍软件：Yes
广告软件：Yes
病毒：No
木马：No
进程文件： ctfmon or ctfmon.exe
进程名称： Alternative User Input Services
进程类别：其他进程
英文描述：
ctfmon.exe is a part of the Microsoft Office suite. It activates the Alternative User Input Text Input Processor (TIP) and the Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspec
中文参考：
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
出品者：Microsoft Corp.
属于：Microsoft Office Suite
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No
进程文件： cvpnd or cvpnd.exe
进程名称： Cisco Systems, Inc. VPN Service
进程类别：应用进程
英文描述：
cvpnd.exe is a part of Cisco VPN and allows you to make a encrypted or non-encrypted VPN connection to a remote server. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.
中文参考：
cvpnd.exe是Cisco VPN虚拟专用网络相关软件的一部分，它用于你使用加密或非密码VPN连接到远程服务器。
出品者：Cisco Systems, Inc.
属于：Cisco VPN Service
系统进程：No
后台程序：Yes
网络相关：Yes
进程文件： ATKOSD or ATKOSD.exe
进程名称： ASUS ACPI Control Driver
进程类别：存在安全风险的进程
英文描述：
ATKOSD.exe is a process associated with the ACPI Control Driver from ASUS.
中文参考：
对不起，暂时没有中文参考！
出品者：ASUS
属于：ASUS ACPI Control
系统进程：No
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

[ 本帖最后由 13941304871 于 2008-5-4 15:41 编辑 ]

大聖

1.进程文件: calc.exe
进程名称: Microsoft Calculator
英文描述: calc.exe is a Microsoft Windows accessory which allows the user take make basic and scientific calculations. This is a non-essential process. Disabling or enabling it is down to user preference.
进程分析: Windows计算器程序。

2.进程文件: hkcmd.exe
进程名称: Intel Hotkey
英文描述: hkcmd.exe is installed alongside Intel multimedia devices and allows configuration and diagnostic options for these devices. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.
进程分析: Intel热键命令模块，常和igfxtray.exe一起出现。但该命令常会被黑客或木马利用，需要注意。

3.进程文件: iconfig.exe
进程名称: SCM iconfig
英文描述: iconfig.exe provides a system tray icon which allows access to USB device diagnostics. This task typical monitors USB connections on the local computer. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.
进程分析: iconfig.exe是USB设备诊断相关程序，在系统托盘驻留。

4.进程文件: acrobat.exe
进程名称: Adobe Acrobat
英文描述: acrobat.exe is a process belonging to the Adobe Acrobat Writer. It is used to create and print PDF documents. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.
进程分析: AdobeAcrobatWriter是一个用于创建PDF文档的软件。

[ 本帖最后由 大聖 于 2008-5-4 23:44 编辑 ]

weilinhome

进程文件:	componentlauncher.exe
进程名称:	Adobe Photoshop Album Starter Edition 3.0 (Viewer)
英文描述:	componentlauncher.exe is a process associated with Adobe Photoshop Album Starter Edition from Adobe Systems Incorporated.
进程分析:	AdobePhotoshopAlbumStarterEdition相关程序。AdobePhotoshopAlbumStarterEdition是一款图像管理软件。用于探索数码影像基本知识，查看、查找、修复和共享图片。
进程位置:	unknown
程序用途:	unknown
作者:	Adobe Systems Incorporated
属于:	Adobe Photoshop Album Starter Edition
安全等级 (0-5):	0 (N/A无危险 5最危险)
间碟软件:	否
广告软件:	否
病毒:	否
木马:	否
解决方案:	点此查看“componentlauncher.exe”解决方案
系统进程:	否
应用程序:	是
后台程序:	否
使用访问:	否
访问互联网:	否

进程文件:	comrepl.exe
进程名称:	MTXREPL.EXE
英文描述:	comrepl.exe is a process associated with COM Services from Microsoft Corporation.
进程分析:	unknown
进程位置:	unknown
程序用途:	unknown
作者:	Microsoft Corporation
属于:	COM Services
安全等级 (0-5):	0 (N/A无危险 5最危险)
间碟软件:	否
广告软件:	否
病毒:	否
木马:	否
解决方案:	点此查看“comrepl.exe”解决方案
系统进程:	否
应用程序:	否
后台程序:	否
使用访问:	否
访问互联网:	否

进程文件:	HideDragon.exe
进程名称:	HideDragon.exe
英文描述:	N/A
进程分析:	隐身专家(HideDragon)是一款快速隐藏窗口的软件。如果您在上班时间做一些不希望老板看到的操作，或者在家里做一些不希望其它家庭成员看到的操作，那么这个程序正好适合你。使用隐身专家，您可以只需同时按下鼠标的左右键(或使用快捷键)就快速隐藏桌面上所有的窗口(或指定的窗口)，等合适的时候再同时按下鼠标左右键，刚刚隐藏的窗口又恢复显示。也可以隐藏屏幕右下角的托盘图标，或指定程序到后台运行。
进程位置:	unknown
程序用途:	unknown
作者:	unknown
属于:	unknown
安全等级 (0-5):	N/A (N/A无危险 5最危险)
间碟软件:	否
广告软件:	否
病毒:	否
木马:	否
解决方案:	点此查看“HideDragon.exe”解决方案
系统进程:	否
应用程序:	否
后台程序:	否
使用访问:	否
访问互联网:	否

进程文件:	hacker.exe
进程名称:	Trojan.Esteems.E Trojan
英文描述:	hacker.exe is a process which is registered as Trojan.Esteems.E Trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
进程分析:	unknown
进程位置:	unknown
程序用途:	unknown
作者:	unknown
属于:	Trojan.Esteems.E
安全等级 (0-5):	4 (N/A无危险 5最危险)
间碟软件:	否
广告软件:	否
病毒:	是
木马:	是
解决方案:	点此查看“hacker.exe”解决方案
系统进程:	否
应用程序:	否
后台程序:	是
使用访问:	是
访问互联网:	是

[ 本帖最后由 weilinhome 于 2008-5-5 00:03 编辑 ]

davidskengreen

Csrss.exe
子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

cfmon.exe
ctfmon.exe是托盘区的拼音图标。

COMMAND.COM
DOS命令提示符程序。

clipsrv.exe
clipsrv.exe是微软Windows操作系统剪切板相关程序（剪切、拷贝和粘贴）。



hotkey.exe
键盘热键驱动程序。

hexin.exe
华泰证券网上交易平台的相关进程。

helpsvc.exe
helpsvc.exe是Windows 2000以及更高版本Windows的帮助服务。

HijackThis.exe
MerijnHijackthis程序，用于监视您的浏览器配置和插件。Hijackthis能够将绑架您浏览器的程序揪出来并且移除之。或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，再让您判断哪个程序是“肇事者”，然后将其除去。



IceSword.exe
IceSword(冰刃)是一款功能强大的反黑客工具，它适用于Windows2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

IEXPLORE.EXE
Internet Explorer (IE) 是 Windows 系统中的网络浏览器。

imapi.exe
IMAPICD-BurningCOMService，用ImageMasteringApplicationsProgrammingInterface(IMAPI)管理CD录制。如果停止该服务，这台计算机将无法录制CD。该进程属Windows系统服务。



alg.exe
ApplicationLayerGatewayService，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。该进程属Windows系统服务。

Authorware.exe
MacromediaAuthorware是先进、丰富的视音频、可视媒体集成制作解决方案，可用于制作网页和在线学习应用软件。培训开发人员、指导设计员、教育工作者和其他方面的专家可以使用这个产品制作迷人的、包含丰富媒体的学习软件。然后通过互联网、局域网或光盘等载体进行面向员工和客户的培训和讲解，还可以进行在线教学，还可以记录学生的学习情况和培训投资的回报率。

amcap.exe
摄像头视频捕捉程序。

网事随疯

内容放不下，存附件里了。

[ 本帖最后由 黑白徽章 于 2008-5-5 13:21 编辑 ]

13752228801

ctfmon - ctfmon.exe - 进程信息
进程文件： ctfmon 或者 ctfmon.exe
进程名称： Alternative User Input Services
  描述：
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
出品者： Microsoft Corp.
属于： Microsoft Office Suite
系统进程： 是
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
常见错误： 未知N/A   
安全等级 (0-5): 0
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否

alg - alg.exe - 进程信息
进程文件： alg 或者 alg.exe
进程名称： Application Layer Gateway Service
  
描述：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

出品者： Microsoft Corp.
属于： Microsoft Windows Operating System
系统进程： 是
后台程序： 是
使用网络： 是
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A   
安全等级 (0-5): 0
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否

Tansuo_zhe

CCenter.exe
描述：瑞星杀毒软件信息中心程序，由瑞星公司推出。
PID：1072
可信认证：安全

名称：agentsvr.exe
PID：3232
可信认证：安全
路径：C:\WINDOWS\msagent\AgentSvr.exe
描述：这是一个ActiveX插件，是微软 Microsoft Agent 多媒体程序的相关进程。

名称：csrss.exe
PID：656
可信认证：安全
路径：C:\WINDOWS\system32\csrss.exe
描述：这是Windows 图形相关控制的客户端服务子系统。正常情况 Windows NT/2000/XP/2003 中只有一个 csrss.exe 进程，位于 System32 文件夹。



Process File: cmman.exe
Process Name: Adware.W32.CasinoClient
Description: cmman.exe is a process belonging to the CasinoClient advertising program. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This process is a security risk and should be removed from your system.
Author: CasinoClient
Part of: Adware.W32.CasinoClient
Common Path(s): unknown
Secuirty Risk (0-5): 2
Spyware: Yes
Adware: No
Virus: No
Trojan: No
System Process: No
Application: No
Background Process: Yes
Uses Network: Yes
Uses Internet: Yes
Related Process:

Process File: cncs32.dll
Process Name: Click & Create Graphic Library
Description: cncs32.dll is the click and create graphic library used by the Game Factory game-maker tool.
Author: Europress Software.
Part of: Game Factory
Common Path(s): unknown
Secuirty Risk (0-5): 0
Spyware: No
Adware: No
Virus: No
Trojan: No
System Process: No
Application: Yes
Background Process: No
Uses Network: No
Uses Internet: No
Related Process:

[ 本帖最后由 Tansuo_zhe 于 2008-5-5 17:45 编辑 ]

wwwbbblll

名称：cmd.exe
描述：这是Windows Command Prompt的进程，它是Windows 的控制台程序
名称：CCenter.exe
描述：瑞星杀毒软件信息中心程序，由瑞星公司推出。
名称：CamtasiaStudio.exe
描述：Techsmith Camtasia Studio 主程序。Camtasia 是一款专门捕捉屏幕音影的工具软件，可抓捕、剪辑计算机上的动态画面，并储存为多种格式。



名称：HNMainUI.exe
描述：HNMainUI.exe是ADSL宽带拨号王软件相关程序，用于ADSL虚拟拨号。
名称：hpnra.exe
描述：hpnra.exe是惠普打印机网络支持相关程序。
名称：hotsync.exe
描述：hotsync.exe是Palm掌上电脑与电脑PC同步程序。



名称：internat.exe
描述：Input Locales，主要是用来控制输入法。也可能是 Win32.Lydra.a 木马，该木马允许攻击者访问你的计算机，窃取密码和个人数据。
名称：isqlw.exe
描述：Microsoft Sql Server 查询分析器程序。Microsoft SQL Server 是Microsoft 公司的一个关系数据库管理系统。
名称：igfxtray.exe
描述：igfxtray.exe是Intel显卡配置和诊断程序，会同Intel 810芯片组的集成显卡安装。



名称：AcroRd32.exe
描述：Adobe Acrobat Reader的相关进程。它是一个用于阅读 PDF 文档的软件。
名称：acrodist.exe
描述：acrodist.exe是Adobe Acrobat Distiller产品的一部分。它用于创建和打印PDF文档。
名称：atitask.exe
描述：atitask.exe是ATI显示卡设备驱动相关程序。它用于进行其显示卡高级配置。
名称：ACDSee5.exe
描述：ACDSee 相关程序。这是一款数字图象处理软件，它能广泛应用于图片的获取、管理、浏览、优化甚至和他人的分享。

[ 本帖最后由 wwwbbblll 于 2008-5-5 17:42 编辑 ]

jy03018104

HijackThis.exe
MerijnHijackthis程序，用于监视您的浏览器配置和插件。Hijackthis能够将绑架您浏览器的程序揪出来并且移除之。或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，再让您判断哪个程序是“肇事者”，然后将其除去。
名称：internat.exe
描述：Input Locales，主要是用来控制输入法。也可能是 Win32.Lydra.a 木马，该木马允许攻击者访问你的计算机，窃取密码和个人数据。
名称：isqlw.exe
描述：Microsoft Sql Server 查询分析器程序。Microsoft SQL Server 是Microsoft 公司的一个关系数据库管理系统。
名称：igfxtray.exe
描述：igfxtray.exe是Intel显卡配置和诊断程序，会同Intel 810芯片组的集成显卡安装。
ctfmon - ctfmon.exe - 进程信息
进程文件： ctfmon 或者 ctfmon.exe
进程名称： Alternative User Input Services
  描述：
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
HijackThis.exe
MerijnHijackthis程序，用于监视您的浏览器配置和插件。Hijackthis能够将绑架您浏览器的程序揪出来并且移除之。或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，再让您判断哪个程序是“肇事者”，然后将其除去。
IceSword.exe
IceSword(冰刃)是一款功能强大的反黑客工具，它适用于Windows2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。
CTDetect or CTDetect.exe
Creative Soundblaster Removable Media Alerter
应用进程
描述：CTDetect.exe is a process belonging to the Creative Labs Soundblaster CD/DVD Alerter. This program is a non-essential process, and is installed for ease of use and can be safely removed.

angellgh

CTFMON.EXE
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

程序ctfmon.exe是有关输入法的一个可执行程序，系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动，进入系统后你的电脑任务栏中的输入法图标（即语言栏）就不见了。
要设置ctfmon.exe随机自动启动，可以单击“开始”——>“运行”——>输入“msconfig”（引号不要输入），回车——>打开“系统配置使用程序”窗口——>选择“启动”页，找到ctfmon项并在其前面打上钩，按“应用”、“确定”，重启机器即可生效。
如果在“启动”页，找不到ctfmon项，说明注册表中已将该项删除，可以单击“开始”——>“运行”——>输入“regedit”（引号不要输入），回车——>打开“注册表编辑器”，定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，在窗口的右侧新建名字为ctfmon.exe的字符串值（REG_SZ），并将其值设置为“C:\WINDOWS\system32\ctfmon.exe”，然后关闭注册表编辑器，再执行前一步的操作即可.

HNMainUI.exe
描述：
HNMainUI.exe是ADSL宽带拨号王软件相关程序，用于ADSL虚拟拨号。


出品者： hellonet
属于： ADSL宽带拨号王

系统进程： 否
后台程序： 否
使用网络： 否
硬件相关： 是
常见错误： 未知N/A
内存使用： 未知N/A

安全等级 (0-5): 2
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否
ITOUCH.EXE
进程名称： Logitech iTouch Keyboard Driver
进程类别：存在安全风险的进程
英文描述：
itouch.exe is a process by Logitech which allows the configuration of additional keys on their range of multimedia keyboards. This is a non-essential process. Disabling or enabling this is down to user preference
中文参考：
itouch.exe是罗技Logitech多媒体键盘扩展键支持程序。
出品者：Logitech
属于：Logitech iTouch Keyboard Driver
系统进程：No
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

ALG.EXE
进程名称： Application Layer Gateway Service
路径:C:\WINDOWS\system32\alg.exe
命令行:C:\WINDOWS\System32\alg.exe
文件描述:Application Layer Gateway Service
出品公司:Microsoft Corporation
文件大小:43 KB
文件版本:5.1.2600.2180
MD5值:a9de20df2c89b6b2ffda0e6cd52a8599

  
描述：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
出品者： Microsoft Corp.
属于： Microsoft Windows Operating System
系统进程： 是
后台程序： 是
使用网络： 是
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A   
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否
★如果此文件在C:\windows\alg.exe★(标准地址为C:\windows\system32\alg.exe 这里前面的写的是一种病毒)
这是一个病毒样本eraseme_88446.exe 释放到系统中的。
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。
alg.exe是什么病毒？
正常的alg.exe是windows自带的程序，只是有可能被病毒感染或者被伪装；


C:\windows\alg.exe病毒:
这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。 字串1
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。
字串9

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。
字串5

风俊王子

csrss.exe
Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。

alg.exe
Application Layer Gateway Service，应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。

imapi.exe
IMAPI CD-Burning COM Service，用 Image Mastering Applications Programming Interface (IMAPI) 管理 CD 录制。如果停止该服务，这台计算机将无法录制 CD。该进程属 Windows 系统服务。该进程路径正常应为 %SysDir% 系统目录，若是出现在 %WinDir% 目录下则很可能是病毒程序，注意区别。

HPZipm12.exe
惠普(HP)打印机驱动程序。

conime.exe
Console IME (IME控制台) 是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号。但如果 CONIME.EXE 的路径不是系统目录，而是其它别的地方的话，则可能是某病毒程序。如 BFGhost 1.0 远程控制后门的程序，这个后门程序能够运行攻击者访问您的计算机，窃取密码和个人数据。还要注意某些病毒可能会模仿其文件名以骗过用户注意，如QQ爱虫病毒为 comime.exe 与之只有一个字母之差。

iexplore.exe
Internet Explorer (IE) 是 Windows 系统中的网络浏览器，用于访问 Internet。如果您并没开 IE 却也有这个进程，就要注意可能是感染了病毒，正常 iexplore.exe 应位于 Program Files\Internet Explorer 文件夹中，而该病毒程序则可能位于 System32 中。

Client.exe
一些网络游戏/应用软件的客户端程序。

[ 本帖最后由 风俊王子 于 2008-5-5 21:16 编辑 ]