清除ALG.EXE网络病毒的方法

清除ALG.EXE网络病毒的方法

突然好多台电脑的瑞星监控中心报告发现网络攻击,Blaster rpc exploit 攻击135,Ms04-11 expoit攻击445端口,接着很多电脑就出现了services.exe128重启,看起来很像冲击波发作,可冲击波补丁早就打了的呀,怎么还会重启?
再打瑞星提示的这两个补丁不能解决重启的问题,要打KB921883补丁才能解决重启的问题,这好像是魔波的补丁,但把瑞星升到最新也不能识别出病毒的名字,看来这种情况还是不要指望杀毒软件了,观察之后总经出了一点规律:中毒的电脑会不断地向网络中其他电脑要求连接,C盘会出现一个“Vxxxxxxxxx.exe”,即V开头的一个隐藏文件,C盘根目录下会出现“!submit"的子目录,但不是每台都出现,里面有一个alg.exe,而这个alg.exe会复制到c:/winnt/alg.exe,并通过application layer gateway服务加载,这是个伪装的服务,真的文件应该是c:/winnt/system32/alg.exe.加载之后,就不断地向其他电脑要求连接,在system32下还会有一个setup_12345.exe,12345表示一串数字,可能也是同伙。另外好像对XP的影响不大,主要针对win2000.
关键是alg进程关不掉,冰刃都关不掉,killbox有时能成功删除,有时却不能删,好在安全模式下可以删除,只要终止进程,才不会总是连接,网络才能恢复正常的畅通。
这类网络病毒还真是很麻烦,需要断网一台台地来,就算有网络版杀毒软件,如果没用好还是解决不了,找到源头很重要,这点瑞星的监控倒起到了作用,找一台杀一台,问题就好处理了。
处理这种问题心不要毛了,急躁了就容易乱,先隔离,分而治之,容易看到成效,要有足够的体力,因为有时候未必能那么快发现病毒的特征所在,也就难以对症下药,这就最需要耐心和耐力了。
如何防治这种网络病毒,一是补丁要打到最新,这里有个奇怪的问题是部署了WSUS,工作也正常,怎么这些关键补丁还是没打上?二是要用好杀毒软件的监控与本机杀毒,杀毒软件不是万能的,但也并非一无是处,要让它们做它们力所能及的事,每台电脑都给他装上防火墙;三是关闭掉一些不用或少用的端口,并时刻监视网络的状况;四是要做好系统与数据的备份,如果情况真的难以掌控,恢复系统是更好的选择,有数据在手就不怕。