感染蠕虫病毒Synaptics的查杀历程

Synaptics是蠕虫木马，具有感染性。此木马运行后显示一个隐藏工具，之后复制自身至C:\ProgramData\Synaptics目录，在设置注册表自启动。之后创建两个线程。

线程一：扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中，之后修改文件指针至恶意代码，带正常运行exe文件原先代码。

线程二：访问URL，后续操作由于服务器没有返回没有查看到。

特征：此木马所在当前目录是存在名为路径+_cache_+木马名称的文件(需要关闭隐藏受操作系统保护的文件这个选项才可以看到)，此文件为木马文件的隐藏工具等

---

一、问题发现

---

最近每次电脑开机联想电脑管家都给我报“发现可疑程序，存在安全风险”，一开始也没太在意，直接点立即隔离，但是每天都报这就有点不正常了~~

清一色的xlsm文件

当我插上移动硬盘的时候，想要弹出时总是提示正在被占用（即使我把所有程序都关了）：

用事件查看器检查：

发现了Synaptics这个东西

而且总是会提示：

搜索了一下发现这是一个蠕虫病毒，我的电脑应该是被感染了，但是我怎么也想不起来下载过什么恶意程序哈哈

但这个可执行程序是隐藏的，可以用everything搜索到：

位于C:\ProgramData\Synaptics 目录下

详细信息：

一些exe程序（包括插入的u盘，移动硬盘等）描述信息都变成了Synaptics Pointing Device Driver

解决方法：

---

1. 删除病毒的自启动项目

在注册表中Ctrl + F搜索Synaptics

凡是查到的项全部删除，如果不放心可以在删之前做一下备份

一般就这两处

2. 删除病毒源：

位置：C:\ProgramData\

定位到Synaptics文件夹，将其永久删除

但是直接到文件夹中查看是找不到的，需要关闭隐藏受操作系统保护的文件

3. 病毒查杀

可以使用电脑管家进行全盘查杀(所有盘符都有查杀)然后先全部隔离(不过扫描时间非常长)

这里推荐吾爱破解论坛中的一个大佬写的工具（原文链接：https://www.52pojie.cn/thread-1066827-1-1.html), 速度飞快，只需要双击运行程序选择一个被感染的exe程序让它识别，然后这个工具就会进行全盘扫描，

扫描过程中它会将被感染的文件进行修复

4. 重启电脑

这些讨厌的风险提示信息终于没啦~~