卡巴斯基报“键盘记录器活动 DRIVER\ALIDEVICE Keylogger”的原因及解决方法
[color=#0000ff]现象:[/color]卡巴斯基2009报:[quote]
2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 检测到: keylogger
2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 检测到: keylogger
2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 未终止: keylogger
[/quote]
[attach]1434[/attach]
[color=#1a801a]原因:[/color]安装支付宝安全插件,在c:\windows\system32\drivers\中生成alidevice.sys,alidevice疑似键盘记录器木马keylogger,是一种记录键盘敲打的木马,用户打字或者输入密码将会被记录,泄露密码私隐。
[color=#ff0000]解决:[/color]支付宝并没有提供卸载 alidevice 这个”安全”插件的程序,这个证明支付宝这方面的确比较“流氓”。用户不能自行删除alidevice.sys,删除后重启电脑会出现键盘不能正常运作,如何设有系统密码,则会因无法输入密码而无法进入系统。
[b]一、卸载支付宝安全插件 alidevice 方法一:[/b]
1、复制c:\windowsystem32\drivers\alidevice.sys,更名为alidevice.sy~以备不时之需;
2、去支付宝首页下载最新版支付宝控件安装文件[url=http://img.alipay.com/download/2121/aliedit.exe]http://img.alipay.com/download/2121/aliedit.exe[/url],(解铃还需系铃人啊,让aliedit.exe把它领回去)
3、关闭你所打开的所有窗口,执行安装程序(对,你没看错!)
4、安装结束后,再次运行aliedit.exe,这时安装程序会提示是否要先执行卸载,请确认卸载(大家动作慢一点看清楚了再确认)
5、这一步很关键,看清楚,一定看清楚!aliedit.exe 会提示是否继续执行安装,不要装了,点退出!
6、运行regedit,查找alidevice关键字,找到的都删掉!删不掉的,不要管了。
7、退出,重启,大功告成。
[b]二、卸载支付宝安全插件 alidevice 方法二:[/b]
1、修改hkey_local_machine\system\currentcontrolset\control\class\{4d36e96b- e325-11ce-bfc1-08002be10318}\upperfilters键值,把alidevice删除,注意kbdclass保留,不要删除,否则重启机器你的键盘可能失效;
2、删除hkey_local_machine\system\currentcontrolset\enum\acpi\pnp0303\4&5289e18&0,这里直接删除会报错,用icesword这个软件删除4&5289e18&0(icesword v1.22绿色版可以在华军软件[url=http://www.newhua.com/soft/53325.htm]http://www.newhua.com/soft/53325.htm[/url]下载);
3、删除hkey_local_machine\system\currentcontrolset\services\alidevice;
4、删除windows\system32\drivers\alidevice.sys文件;
5、重启系统;
6、部分电脑可能出现”发现新硬件“的提示,继而要求重启系统,这是由于干净删除alidevice以后,键盘恢复初始状态,在系统重新注册的缘故。
[b]验证是否删除干净:[/b]
● c:\windows\system32\drivers无alidevice.sys;
● 优化大师检查ie插件无aliedit;
● hkey_local_machine\system\currentcontrolset\enum\acpi\pnp0303\4&5289e18&0(这个值可能和你的不一样,没关系)\control\activeservice 指向kbdclass,没卸载前是指向alideivce.sys;
● ie内容中的证书需手动删除;
● 在c:\搜索ali*.*,只会找到aliedit目录,删除;
● 打开设备管理器,看吧,键盘驱动详细信息只有两条了,c:\windows\system32\drivers\alidevice.sys这一条消失;
● 再用卡巴检测,就不会有盗号木马的提示了。
[b]三、仅卸载alidevice.sys,支付宝可正常使用(适合无奈要用支付宝的朋友):[/b]
1. 到支付宝首页,在登录框下点击“点此下载安全控件安装程序” 下载支付宝控件安装文件(或直接从这里下载[url=http://img.alipay.com/download/2121/aliedit.exe]http://img.alipay.com/download/2121/aliedit.exe[/url]);
2. 关闭所有相关程序及浏览器窗口,运行安装文件;
3. 安装结束后,再次运行安装文件,按提示,选择卸载;
4. 卸载后,程序会提示是否继续执行安装,选择取消;
5. 重启电脑;
6. 登录一个低权限的本地帐户(反正只要缺乏修改固件环境值的权限就可以了);
7. 再次安装控件,运行过程中会出现alidevice.sys安装出错的信息,跳过它继续完成安装就可以了;
8. 到支付宝首页登录正常,重启后kis 2009无警报。
页:
[1]