[病毒查杀] 卡巴斯基报“键盘记录器活动 DRIVER\ALIDEVICE Keylogger”的原因及解决方法 键盘, 检测, 支付宝, 卡巴斯基, windows

现象：卡巴斯基2009报：

2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 检测到: keylogger
2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 检测到: keylogger
2008-9-22 21:08:34 键盘记录器活动 \driver\alidevice 未终止: keylogger

下载 (111.42 KB)

1970-1-1 08:00

  
原因：安装支付宝安全插件，在c:\windows\system32\drivers\中生成alidevice.sys，alidevice疑似键盘记录器木马keylogger，是一种记录键盘敲打的木马，用户打字或者输入密码将会被记录，泄露密码私隐。
  
解决：支付宝并没有提供卸载 alidevice 这个”安全”插件的程序，这个证明支付宝这方面的确比较“流氓”。用户不能自行删除alidevice.sys，删除后重启电脑会出现键盘不能正常运作，如何设有系统密码，则会因无法输入密码而无法进入系统。
  
一、卸载支付宝安全插件 alidevice 方法一：
1、复制c:\windowsystem32\drivers\alidevice.sys，更名为alidevice.sy~以备不时之需；
2、去支付宝首页下载最新版支付宝控件安装文件http://img.alipay.com/download/2121/aliedit.exe，（解铃还需系铃人啊，让aliedit.exe把它领回去）
3、关闭你所打开的所有窗口，执行安装程序（对，你没看错！）
4、安装结束后，再次运行aliedit.exe，这时安装程序会提示是否要先执行卸载，请确认卸载（大家动作慢一点看清楚了再确认）
5、这一步很关键，看清楚，一定看清楚！aliedit.exe 会提示是否继续执行安装，不要装了，点退出！
6、运行regedit，查找alidevice关键字，找到的都删掉！删不掉的，不要管了。
7、退出，重启，大功告成。
  
二、卸载支付宝安全插件 alidevice 方法二：
1、修改hkey_local_machine\system\currentcontrolset\control\class\{4d36e96b- e325-11ce-bfc1-08002be10318}\upperfilters键值，把alidevice删除，注意kbdclass保留，不要删除，否则重启机器你的键盘可能失效；
2、删除hkey_local_machine\system\currentcontrolset\enum\acpi\pnp0303\4&5289e18&0，这里直接删除会报错，用icesword这个软件删除4&5289e18&0(icesword v1.22绿色版可以在华军软件http://www.newhua.com/soft/53325.htm下载)；
3、删除hkey_local_machine\system\currentcontrolset\services\alidevice；
4、删除windows\system32\drivers\alidevice.sys文件；
5、重启系统；
6、部分电脑可能出现”发现新硬件“的提示，继而要求重启系统，这是由于干净删除alidevice以后，键盘恢复初始状态，在系统重新注册的缘故。

验证是否删除干净：
● c:\windows\system32\drivers无alidevice.sys；
● 优化大师检查ie插件无aliedit；
● hkey_local_machine\system\currentcontrolset\enum\acpi\pnp0303\4&5289e18&0（这个值可能和你的不一样，没关系）\control\activeservice 指向kbdclass，没卸载前是指向alideivce.sys；
● ie内容中的证书需手动删除；
● 在c:\搜索ali*.*，只会找到aliedit目录，删除；
● 打开设备管理器，看吧，键盘驱动详细信息只有两条了，c:\windows\system32\drivers\alidevice.sys这一条消失；
● 再用卡巴检测，就不会有盗号木马的提示了。
  
三、仅卸载alidevice.sys，支付宝可正常使用（适合无奈要用支付宝的朋友）：
1. 到支付宝首页，在登录框下点击“点此下载安全控件安装程序” 下载支付宝控件安装文件（或直接从这里下载http://img.alipay.com/download/2121/aliedit.exe）；
2. 关闭所有相关程序及浏览器窗口，运行安装文件；
3. 安装结束后，再次运行安装文件，按提示，选择卸载；
4. 卸载后，程序会提示是否继续执行安装，选择取消；
5. 重启电脑；
6. 登录一个低权限的本地帐户（反正只要缺乏修改固件环境值的权限就可以了）；
7. 再次安装控件，运行过程中会出现alidevice.sys安装出错的信息，跳过它继续完成安装就可以了；
8. 到支付宝首页登录正常，重启后kis 2009无警报。