流氓软件ErrorSafe的简单分析清除方法与其他_病毒查杀

这里就简单描述ErrorSafe的分析和应对办法,目前,我这里只能找到两个版本,一个是1.0.22.4,另外一个是1.2.120.1,后者经升级应该是最新版本了,颠倒一下,先给出结论,并列举防范措施,最后是简单分析

结论和推广方式
1、从版本上来看,老版本的ErrorSafe还添加了服务等,而最新版本则是很简单的只添加自启动项,新版本更容易被清除
2、从程序上来看,该软件之所以被国际称为恶意软件,主要是指它的流氓推广方式及其恶劣,犯了众怒,才被人人喊打

由于该程序本身并无流氓特征,其流氓性主要体现在其推广方式上,我不清楚中标网民是在那种情况下中招的,仅就常见推广手段简单列举出来

1、网站联盟推广,使得用IE访问所有挂有广告代码的网站时,均会弹出ErrorSafe的广告
2、病毒式推广,我得到的较新版本ErrorSafe就是通过一个类似download马得到,如今的木马个个都会download
3、知名网站广告,比如微软的MSN就为其推广过

个人建议:
1、了解并实施一些个人电脑安全防护的东西
2、(个人极为偏激)能不用IE,尽量不用IE,尽管它的补丁可能是最新.

简单分析ErrorSafe1.0.22.4版本
释放文件及文件夹

Code:
%Program Files%\ErrorSafe%System%\Wbem\Logs\wbemess.log
%System%\DRIVERS\erssdd.sys
%Windir%\wiadebug.log
%Windir%\wiaservc.log
%Windir%\Sti_Trace.log

添加注册表信息

Code:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ErrorSafe 指向%Program Files%\ErrorSafe\ers.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\erssdd]
指向 %System%\DRIVERS\erssdd.sys
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ERSSDD]
指向 %System%\DRIVERS\erssdd.sys

ErrorSafe1.2.120.1版本
释放文件文件:
%Program Files%\ErrorSafe添加注册表信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Error Safe指向%Program Files%\Error Safe Free\ers.exe 
uerscw指向%Program Files%\Error Safe Free\uerscw.exe

说明:注册表信息记录很长,文中只列出了我能找到的关键部分,其他无意义

解决办法:
1、上述两个版本,均能够被正常卸载,卸载完毕后,一些残余注册表信息及残留文件,可以使用冰刃IceSword来删除
2、如果不使用其自带的卸载程序,可以使用冰刃IceSword或Unlocker纯手工清除干净
3、文中所涉及工具在反病毒常用工具里均有下载

时间: 2024-10-03 17:19:21

流氓软件ErrorSafe的简单分析清除方法与其他_病毒查杀的相关文章

熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐_病毒查杀

近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香" 中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"

流氓软件pchome\.setupf、realupdate.exe的解决办法_病毒查杀

本篇日志是从求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版       病毒文件及文件夹         %windir%\winamps.exe       %windir%\realupdate.exe       %windir%\POPNTS.DLL       %windir%\ScNotify.dll       %system%\{pchome}\.setupf\ 添

卡巴斯基黑名单清除工具下载了_病毒查杀

被卡巴列入黑名单的用户的福音啊, 还等什么赶快下载吧. 使用方法:一旦提示KEY不能使用或者KEY错误,即可运行这个工具,然后重启计算机就发现卡巴又如新的一样了,而且不会再被提示KEY失效了. 注意:在没有提示KEY被封掉时不要使用. 下载此文件

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

MY123病毒清除方法,专杀工具下载_病毒查杀

近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

手动清除AV终结者的方法与相关软件_病毒查杀

最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀. 在这里算是打个小广告吧,我新建了一个QQ群给大家提供一个交流的地方,群号4550740.欢迎各高手和需要帮助的朋友加入.写这些的时候,群里只有我一个光杆司令.... 现在我给大家一个手动杀毒的思路,并且以"永久下载者"为例教大家怎样手动清除病毒. 事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex