感染蠕虫病毒Synaptics的查杀历程
Synaptics是蠕虫木马,具有感染性。此木马运行后显示一个隐藏工具,之后复制自身至C:\ProgramData\Synaptics
目录,在设置注册表自启动。之后创建两个线程。
线程一:扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中,之后修改文件指针至恶意代码,带正常运行exe文件原先代码。
线程二:访问URL,后续操作由于服务器没有返回没有查看到。
特征:此木马所在当前目录是存在名为路径+_cache_+木马名称
的文件(需要关闭隐藏受操作系统保护的文件这个选项才可以看到),此文件为木马文件的隐藏工具等
一、问题发现
最近每次电脑开机联想电脑管家都给我报“发现可疑程序,存在安全风险”,一开始也没太在意,直接点立即隔离,但是每天都报这就有点不正常了~~
清一色的xlsm文件
当我插上移动硬盘的时候,想要弹出时总是提示正在被占用(即使我把所有程序都关了):
用事件查看器检查:
发现了Synaptics这个东西
而且总是会提示:
搜索了一下发现这是一个蠕虫病毒,我的电脑应该是被感染了,但是我怎么也想不起来下载过什么恶意程序哈哈
但这个可执行程序是隐藏的,可以用everything搜索到:
位于C:\ProgramData\Synaptics
目录下
详细信息:
一些exe程序(包括插入的u盘,移动硬盘等)描述信息都变成了Synaptics Pointing Device Driver
解决方法:
1. 删除病毒的自启动项目
在注册表中Ctrl + F
搜索Synaptics
凡是查到的项全部删除,如果不放心可以在删之前做一下备份
一般就这两处
2. 删除病毒源:
位置:C:\ProgramData\
定位到Synaptics文件夹,将其永久删除
但是直接到文件夹中查看是找不到的,需要关闭隐藏受操作系统保护的文件
3. 病毒查杀
可以使用电脑管家进行全盘查杀(所有盘符都有查杀)然后先全部隔离(不过扫描时间非常长)
这里推荐吾爱破解论坛中的一个大佬写的工具(原文链接:https://www.52pojie.cn/thread-1066827-1-1.html), 速度飞快,只需要双击运行程序选择一个被感染的exe程序让它识别,然后这个工具就会进行全盘扫描,
扫描过程中它会将被感染的文件进行修复
4. 重启电脑
这些讨厌的风险提示信息终于没啦~~