之前在网上下的一个游戏一键端,主要用于个人游玩用的,没想到不知不觉的中了如题所示的这个Synaptics蠕虫病毒。

刚开始的2天电脑一开机后经常发现C盘爆满,连1B文件空间都不剩,甚是奇怪,但是也没意识到是什么事情,直到今天查看进程才看到有一个Synaptics的奇怪进程,顶着我所下的那个游戏的图标在运行,在全局搜索后发现隐藏在C:\ProgramData\Synaptics路径下。

后来经网上资料查找发现是一种蠕虫病毒,其原理如下:

行动轨迹:

一是:其在C:\ProgramData\Synaptics创建原始病毒文件夹,内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小:754KB]

二是:其在C:\用户\***\AppData\Local\Temp中,释放文件“qk3296d7.exe”大小:753KB

病毒感染特点:

①运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变;

②可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”;

③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件;

④系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。[成为新的感染源。

⑤病毒只感染可执行文件,无法感染压缩文件。

⑥病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪。

⑦注册表中创建2个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]

处理方法:

先删除病毒的自启动项;

再删除病毒本体及复制体文件及文件夹;

用杀软全盘剿杀,并重新启动系统,再次全盘在剿杀。

如果感染此病毒期间,电脑用过U盘,肯定已经感染。都须及时用杀毒软件查杀及修复,否则后期会反复感染,没有尽头!

如果已经感染此病毒,病毒会在正常的*.exe文件后追加一段代码,你一运行,它就会进行疯狂复制和感染,请一定不要试        着运行,用杀毒软件查杀及修复。

病毒危害过程:

当用户无意打开病毒EXE可执行文件时,该病毒首先会复制自身,然后将指定目录下的用户EXE文件更新到刚刚复制的病毒文件的资源段中,接着复制用户EXE文件图标,最后替换原始的文件。整个感染过程不会破坏原始的文件功能,用户点击该文件后,仍然会执行原始文件的功能,用户很难发现文件已经被感染。

无法建立新的xlsx,提示文件不存在,原因:病毒修改感染了文件,致使文件后缀改变,新后缀为xlsm(带宏)

为确保执行的高效与隐蔽,“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件:

文档目录:"C:\Users\UserName\Documents"

桌面目录:"C:\Users\UserName\Desktop"

下载目录:"C:\Users\UserName\Downloads"

“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源,“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号,以此来判断文件是否被感染或则是否需要更新。

对于 exe 文件,“Synaptics“首先将”病原体”文件拷贝至临时目录,而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中,接着复制目标文件的图标,伪装成正常文件,最后替换正常文件。当被感染的文件被用户点击后,会先将正常文件释放出运行,“Synaptics“随之也被再次执行。

对于 xlsx 文件,“Synaptics“读取复制正常 xlsx 文件内容,接着与病毒文件中的资源段“XLSM”合并生成后缀名为“.xlsm”的新文件,而后替换正常文件。

Synaptics“设置定时器监听是否有 USB 设备接入,当监测到设备接入时,立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件。

而后将自身复制至 USB 设备中,并在 USB 设备中生成 autorun.inf 文件。当用户双击打开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件(autorun.inf 是电脑使用中比较常见的文件之一,其作用是允许在双击磁盘时自动运行指定的某个文件),从而完成扩散传播。

Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件,接着加载此 dll 进行键盘监听。

自动邮件回传:“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据,名信息包括:计算机名、用户名、mac 地址。

远控功能:除传播外,“Synaptics“具有基础的远程控制功能,包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件。

持久化:“Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe,并通过写入注册表的方式实现自启动。

------参考原文为:博客园,作者:{admin-xiaoli},原文链接:{https://www.cnblogs.com/crackerroot}

我的解决方法:使用火绒全盘绞杀,因为软件较多,使用了5个小时才扫出全部

这个病毒确实恶心至极,影响了我的正常使用,而且它会修改注册表的权限,我本人在修改注册表权限的时候不小心把HKEY_CURRENT_CONFIG的权限给弄没了,导致这个注册表没了权限,原因是因为它注册了一个莫名的用户组用户,然后赋值给这个用户权限而已,Administrator都没有权限,而我在没有把Administrator的权限加入之前就把它这个用户的权限删除了,导致谁也没有权限进入这个注册表。

我打算用安全模式试一下能不能把Administrator的权限给加上去,如果不行的话估计只能重装系统才能解决了,网上暂时也找不到解决办法。

蠕虫病毒Synaptics.exe感染日记相关推荐

  1. 蠕虫病毒html,HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法

    参考: https://www.cnblogs.com/wuhairui/p/8297614.html http://www.guopingblog.com/post/100.html 最近发现vps ...

  2. *srv.exe蠕虫病毒打开exe程序弹浏览器窗体的解决方案

    – 问题描述 系统电脑中了蠕虫病毒后, 1.exe文件运行后,同目录下会出现一个原名 srv.exe的文件 2.exe文件运行后会把浏览器打开 解决方案: 手动修改文件权限,如下:1)删除*srv.e ...

  3. 关于Synaptics.exe感染型病毒

    我打开excel文件时,出现了这个 每次打开就出现这个,以为是笔记本触控板的驱动,看着电脑也没啥事,就信任了它,没有清理掉,结果来了 编译c语言形成的exe文件就被感染了 打开任务管理器,果然看见Sy ...

  4. 感染Nimda蠕虫病毒

    如何判定感染Nimda蠕虫病毒 1.感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的 日志文件中含有以下内容 GET   /scripts/ro ...

  5. 应用程序意外变成另外一个应用程序的图标,打开就是另外一个程序!Synaptics.exe到底是什么?

    今天真的是气死了,正当我打开工具软件做业务时,发现软件的.exe程序被篡改了,变成了另外一个应用程序,但是名字什么的都没变. 双击打开就直接是打开另外一个应用程序,原本的程序直接废了,打开是另外一个程 ...

  6. 计算机病毒占内存吗,蠕虫病毒占多少内存

    蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播.大规模感染网络,对网络安全造成严重危害.蠕虫病毒会占用计算机内存,那么,蠕 ...

  7. html病毒DropFileName,王国平博客-HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法...

    最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样 DropFileName = "svchost.exe" Wri ...

  8. 感染 <SCRIPT Language=VBScript> DropFileName = “svchost.exe” Ramnit 蠕虫病毒 HTML清除工具

    最近开发一个web项目,html文件在尾部老是自动生成一串乱码,如下图 网上搜了下是电脑已经感染了Ramnit 蠕虫病毒,搜了一遍专杀工具各种收费,基本放弃.无奈电脑有太多东西,重装又浪费时间,时间成 ...

  9. 赛门铁克杀html病毒,HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法...

    参考: https://www.cnblogs.com/wuhairui/p/8297614.html http://www.guopingblog.com/post/100.html 最近发现vps ...

  10. “永恒之蓝”第一弹-关于防范感染勒索蠕虫病毒的紧急通知

    北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被***加密,并索取一定价值的比特币后,数据才会被解密. 本文 ...

最新文章

  1. 我是架构师-设计模式-工厂模式-工厂方法
  2. /lib64/libc.so.6: version `GLIBC_2.14' not found问题
  3. redis中的hash
  4. .net项目的二次开发解决方案
  5. 工具推荐:22款最流行的计算机取证工具【2017年更新版】
  6. python简单可视化聊天界面_如何用Python制作可视化输入界面
  7. gem for onenote安装教程
  8. 科大讯飞回应同传造假:人机耦合才是未来发展之道
  9. window环境配置虚拟主机
  10. android上层应用apk到G-sensor driver的大致流程
  11. C语言图书管理系统设计报告
  12. IP切换器是做什么用的?
  13. Python实现电影抢票系统需要几行代码?猜对有奖
  14. 九度搜索引擎点击优化_「九度搜索引擎点击优化软件」网站推广方案
  15. 基于HyperLPR的车牌识别(十三)
  16. 设计模式-模板方法模式
  17. 值得推荐的MAC软件下载软件的网站
  18. MIPI 系列之 D-PHY
  19. flutter 打包apk
  20. ECMAScript(pink)

热门文章

  1. OpenJudge百炼习题解答(C++)--题4108:羚羊数量-Number Of Antelope
  2. mocha + chai
  3. 从 MySQL 数据页的角度看 B+ 树
  4. android语音识别sdk接入收费吗,百度语音识别开放平台SDK使用方法
  5. 宝塔同时安装苹果cms海洋cms_苹果cmsV8/海洋cms/飞飞cms转换成苹果cmsv10插件
  6. 干货 | 拆解一个 Elasticsearch Nested 类型复杂查询问题
  7. C#开发WinForm之DataGridView开发
  8. c++除法保留小数_小学数学整数和小数的应用题解答方法公式汇总,新学期必备...
  9. SVN项目提交设置忽略上传资源
  10. java一个球左右躲避障碍_java 飞机躲避小游戏分析及实现[源码][附图]