流氓软件ErrorSafe的简单分析清除方法与其他

这里就简单描述ErrorSafe的分析和应对办法，目前，我这里只能找到两个版本，一个是1.0.22.4，另外一个是1.2.120.1，后者经升级应该是最新版本了，颠倒一下，先给出结论，并列举防范措施，最后是简单分析

结论和推广方式
1、从版本上来看，老版本的ErrorSafe还添加了服务等，而最新版本则是很简单的只添加自启动项，新版本更容易被清除
2、从程序上来看，该软件之所以被国际称为恶意软件，主要是指它的流氓推广方式及其恶劣，犯了众怒，才被人人喊打

由于该程序本身并无流氓特征，其流氓性主要体现在其推广方式上，我不清楚中标网民是在那种情况下中招的，仅就常见推广手段简单列举出来

1、网站联盟推广，使得用IE访问所有挂有广告代码的网站时，均会弹出ErrorSafe的广告
2、病毒式推广，我得到的较新版本ErrorSafe就是通过一个类似download马得到，如今的木马个个都会download
3、知名网站广告，比如微软的MSN就为其推广过

个人建议：
1、了解并实施一些个人电脑安全防护的东西
2、(个人极为偏激)能不用IE，尽量不用IE，尽管它的补丁可能是最新.


简单分析ErrorSafe1.0.22.4版本
释放文件及文件夹

Code:
%Program Files%\ErrorSafe%System%\Wbem\Logs\wbemess.log
%System%\DRIVERS\erssdd.sys
%Windir%\wiadebug.log
%Windir%\wiaservc.log
%Windir%\Sti_Trace.log

添加注册表信息

Code:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ErrorSafe 指向%Program Files%\ErrorSafe\ers.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\erssdd]
指向 %System%\DRIVERS\erssdd.sys
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ERSSDD]
指向 %System%\DRIVERS\erssdd.sys


ErrorSafe1.2.120.1版本
释放文件文件：
%Program Files%\ErrorSafe添加注册表信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Error Safe指向%Program Files%\Error Safe Free\ers.exe 
uerscw指向%Program Files%\Error Safe Free\uerscw.exe

说明：注册表信息记录很长，文中只列出了我能找到的关键部分，其他无意义

解决办法：
1、上述两个版本，均能够被正常卸载，卸载完毕后，一些残余注册表信息及残留文件，可以使用冰刃IceSword来删除
2、如果不使用其自带的卸载程序，可以使用冰刃IceSword或Unlocker纯手工清除干净
3、文中所涉及工具在反病毒常用工具里均有下载