网站 › 『病毒救援区』 › Synaptics病毒删除后，大部分.exe变成EasyAntiCheat启动，且大小一样，求指导

Force_block 发表于 2023-10-9 11:00

Synaptics病毒删除后，大部分.exe变成EasyAntiCheat启动，且大小一样，求指导

本帖最后由 Force_block 于 2023-10-9 20:23 编辑

电脑中了Synaptics，很多程序变成了EAC（easyanticheat）的图标，且大小一样，公司显示为Synaptics。额外说明下EAC，这一个反作弊软件，很多大型网游都会用这个反作弊，比如EA公司的APEX、育碧的全境封锁
于是用这个帖子方法删除了注册表与C:\ProgramData\Synaptics文件夹后，再用火绒全盘杀了2遍
但是现在发现很多文件还是和之前一样，只不过公司变成了EAC，感觉是病毒文件，就没敢启动，再用火绒全盘扫，发现扫不出来这些文件，显示无病毒，求各位专家指导下下一步该怎么办，以及火绒怎么恢复这些文件，相关图片、病毒样本、参考的解决帖子都放下面了。







病毒样本：
链接：https://pan.baidu.com/s/1lBwqrzhH1XZphGCPvMrtxA
提取码：l4ku
参考原帖：
与感染性病毒“Synaptics.exe”战斗的24小时！ - 『病毒分析区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

cdj68765 发表于 2023-10-9 18:27

看了下，你提供的样本应该不是Synaptics病毒，亦或者是Synaptics病毒的改版，甚至有可能你感染了包括Synaptics在内的多种木马病毒。
Synaptics木马是把正常exe感染成病毒，这个时候病毒和正常exe是合在一起的
你提供的样本不是，你提供的样本应该是把正常exe替换成eac_launcher的运行程序，所以所有感染的exe其实都是病毒的一模一样副本，并没有合在一起
你使用显示隐藏项目，并且取消 【隐藏受保护的操作系统文件】这个选项，或者用everything搜索EasyAntiCheat，看是否能搜索到这些文件夹，我怀疑这里文件夹里面就存在原始的exe运行文件等。

cdj68765 发表于 2023-10-10 14:57

Force_block 发表于 2023-10-10 14:50
这就是最奇怪的地方了，被感染文件所在目录是没有EasyAntiCheat文件夹的
我又重新看了下，EasyAntiCheat其实就是正常的exe，来自https://www.easy.ac/zh-cn/，并不是病毒，而是这个防作弊程序，你现在遇到的问题是，有个病毒把你所有的正常的exe都替换成了这个防作弊程序，这个不得不说是在恶作剧了。
EasyAntiCheat文件夹就是这个防作弊程序的运行目录，而现在只有这个防作弊程序的exe在，所有运行不了了。至于原始exe，我估计应该是被病毒给删掉了。
你提供的样品里有_cache前缀，说明确实中了Synaptics 病毒，不过Synaptics病毒应该不会有这个功能呀，我还是怀疑，你应该中了Synaptics 以外，另外的病毒了。

Chanlong 发表于 2023-10-9 13:55

之前我也遇到过这个蠕虫病毒，莫名其妙的就感染了；论坛内有这快的专业工具下载下来；建议断网后不要运行任何程序，杀软全盘跑2次，已经丢失的文件有一定概率可以找回；
这个病毒的作者是真坏。外部存储U盘这类就不要先插进去了，也会感染的。只要双击打开文件就会生成.cache的替代文件

Force_block 发表于 2023-10-9 14:07

Chanlong 发表于 2023-10-9 13:55
之前我也遇到过这个蠕虫病毒，莫名其妙的就感染了；论坛内有这快的专业工具下载下来；建议断网后不要运行任 ...

是这样，现在我更好奇为什么这些被感染文件会指向EAC这个反作弊程序。。。

assuller 发表于 2023-10-9 14:14

我已经知道你是什么行业了:Dweeqw，我有个清理这个病毒的软件

assuller 发表于 2023-10-9 14:27

assuller 发表于 2023-10-9 14:14
我已经知道你是什么行业了，我有个清理这个病毒的软件

链接：https://pan.xunlei.com/s/VNgI6a0s85XKeQ-bZ1iPkKVSA1?pwd=irfp# 复制这段内容后打开「手机迅雷 App」即可获取。解压密码：52pj

Force_block 发表于 2023-10-9 14:49

assuller 发表于 2023-10-9 14:27
链接：https://pan.xunlei.com/s/VNgI6a0s85XKeQ-bZ1iPkKVSA1?pwd=irfp# 复制这段内容后打开「手机迅雷 A ...

hhhh,是不是太明显了，这个我试了，效果其实不是很明显，最后我是删除病毒后用everything找到所有感染文件将他们删掉了，不知道哪天这个病毒会卷土重来

流泪的小白 发表于 2023-10-9 17:07

推荐重装，火绒暂时扫不出来，还有很多后台进程也会呗感染，当你重启电脑的时候有些依然在进行传播

rodgersnow 发表于 2023-10-9 20:05

以前有个大佬写了个专杀工具，我一直在用，希望对你有帮助

http://www.cscq.vip:58080/share/zA_qeJue

Force_block 发表于 2023-10-9 20:09

cdj68765 发表于 2023-10-9 18:27
看了下，你提供的样本应该不是Synaptics病毒，亦或者是Synaptics病毒的改版，甚至有可能你感染了包括Synapt ...

我用这个方法删掉的programdata里的原病毒文件，不过被感染的源文件全没了，后续用everything将所有这个大小的文件过滤出来，图标是EAC的全删除了，不过也是治标不治本，不知道什么时候会卷土重来

查看完整版本: Synaptics病毒删除后，大部分.exe变成EasyAntiCheat启动，且大小一样，求指导