进程文件： alg.exe
进程名称： Application Layer Gateway Service
进程类别：其他进程
英文描述：
alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should
中文参考：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。
出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
如果此文件在C:\windows\alg.exe：
这是一个病毒样本eraseme_88446.exe 释放到系统中的。
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。
alg.exe是什么病毒？
正常的alg.exe是windows自带的程序，只是有可能被病毒感染或者被伪装；
alg - alg.exe - 进程信息
进程文件： alg 或者 alg.exe
进程名称： Application Layer Gateway Service
描述：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

C:\windows\alg.exe病毒:
这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services 
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000 
（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe.