Keylogger

排除信任的keylogger（ 键盘记录器）

♦  说明

有用户在安装卡巴2009后频繁检测到键盘记录器，无法解决，怀疑是中了病毒。

卡巴弹出的警告如下：

“2009-10-9 22：26：24 键盘记录器活动 \DRIVER\ALIDEVICE 检测到威胁： Keylogger”

其实大家遇到键盘记录器时先进行以下判断你是否运行了支付宝，网银控件等网上交易类的软件，是否运行了一些游戏例如： QQ堂等，如果有将其关闭后看看是否还有检测到键盘记录器.如果没有检测到了那一般就可以确定是这些软件自带的键盘记录器导致卡巴报警.其实很多软件都有包含键盘记录器如之前所说的支付宝，网银控件等等都有.这些都是正常的需要大家判断.很多用户对于键盘记录器一直跳出窗口很烦，而且只能一直点击允许，有时弹出的报警没有排除选项。^[1]

♦  设置

下面以游戏东邪西毒为对象介绍如何添加排除：

具体操作步骤如下

1、打开卡巴的主界面点击设置

打开卡巴的主界面点击设置

2、选择威胁和排除，点击信任区域

选择排除和威胁，点击信任区域

3、选择排除规则，点击添加

选择信任程序，点击添加

4、选择东邪西毒客户端所在路径，选择DXLauncher.exe文件，点击打开。

选择东邪西毒客户端所在路径

5、以下操作，均选择默认即可。^[2]

以下操作，均选择默认即可

添加其他信任的键盘记录器也是如此操作，这样就可以在保证安全的同时不会被该提示所烦恼。

由于所介绍的是支付宝的排除，所以在高级设置中输入的是"\DRIVER\ALIDEVICE"，至于其他软件需要排除的高级设置输入的内容可以从卡巴的报告记录中找到。当然，也可以选择删除Keylogger。

步骤

出现这个keylogger一般是装了网银或是支付宝后才会出现的并不是什么病毒按以下步骤可以解决。

桌面-->开始-->运行-->在里面输入regedit-->注册表打开了，进行如下操作：

1、修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters键值，把alidevice删除，注意kbdclass保留，不要删除，否则重启机器你的键盘可能失效。

2、删除

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0303\4&5289e18&0，这里直接删除会报错，（说到删除文件，每台电脑上在这里的文件名字不一定一样）在这步里面你找到要删除的文件夹(在这里是4&5289e18&0)，文件夹->右键->权限->把当前使用的账户在允许里面打钩，然后应用->确定->删除它，这样就行了。

3、删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alidevice

4、删除Windows\System32\Drivers\AliDevice.sys文件 （这里也可能是AliDevice）

5、重启系统

6、部分电脑可能出现"发现新硬件"的提示，继而要求重启系统，这是由于干净删除alidevice以后，键盘恢复初始状态，在系统重新注册的缘故。

以上方法仅适用于一些常见的，keylogger当中采用了驱动的监控类软件。对于那些仅仅是Ring3层（也就是不包含驱动）的监控软件，仅仅需要2步就可以彻底删除，如下：

1、下载“系统启动项”检查工具。譬如微软的Process Explorer等，能够检测开机启动的软件。找到可以的启动项，将其禁用。然后重启系统，这时候，keylogger已经不能正常启动。

2、通过系统工具软件，找到可以启动项所在的目录（文件夹），删除整个文件夹。如果keylogger是安装在系统目录下，这类在XP系统下较常见，定位到***.exe，将其删除。

通过以上两步，就可以彻底清除keylogger。

当然，对于一些更强大的监控软件，尤其是国外的类似软件，像 iSafe Keylogger， Spector360， Spyrix Personal Monitor等，因为其带有守护进程，或者启动项hook隐藏特性，以上的所有方法都不能保证清除成功，需要您借助于专业的keylogger清除工具，或者求救于专业的工程师。