求助！感染疑似Synaptics病毒

TTSZ

求助各位大佬们！！
最近帮别人装电脑疑似感染了病毒
病毒名字是 Virus.Win64.Moiva.a 这个是属于Synaptics类型的病毒吗
会被杀软一直删除感染的文件然后恢复，并且这玩意还会隐藏感染的文件
用360虽然可以杀除但是会导致系统损坏，无法还原无法更新，也没办法再激活系统

aimei217

威风的黑龙 发表于 2024-10-8 08:31
用火绒杀毒，我也检测感染了，不过就几个文件而已

这玩意隐藏得还是比较深的！！
synaptics.exe损坏的图像提示
主要从网上下载某个应用程序时候，通过在一个下载站中进行下载程序时候，使用下载站自带的下载器下载文件后被感染。

行动轨迹：

一是：其在C:\ProgramData\Synaptics创建原始病毒文件夹，内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小：754KB]

二是：其在C:\用户\***\AppData\Local\Temp中，释放文件“qk3296d7.exe”大小：753KB

病毒感染特点：

①运行第一次感染的可执行程序，并使用其感染程序图标，其后随着使用者运行感染程序而改变；

②可执行程序被感染后，右键属性后发现“描述”内容被改变为：“Synaptics Pointing Device Driver”；

③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为：“._cache_”的病毒文件；

④系统被感染后，对任何插入的U盘，都会被病毒搜索到，并立即采取遍历可执行文件的方式感染。[成为新的感染源。

⑤病毒只感染可执行文件，无法感染压缩文件。

⑥病毒首次在硬盘或U盘被触发传染时，硬盘灯或U盘指示灯会狂闪。

⑦注册表中创建2个启动项：

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]

   ［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]

处理方法：

    先删除病毒的自启动项；

    再删除病毒本体及复制体文件及文件夹；

    用杀软全盘剿杀，并重新启动系统，再次全盘在剿杀。

    如果感染此病毒期间，电脑用过U盘，肯定已经感染。都须及时用杀毒软件查杀及修复，否则后期会反复感染，没有尽头！

    如果已经感染此病毒，病毒会在正常的*.exe文件后追加一段代码，你一运行，它就会进行疯狂复制和感染，请一定不要试着运行，用杀毒软件查杀及修复。

病毒危害过程：

当用户无意打开病毒EXE可执行文件时，该病毒首先会复制自身，然后将指定目录下的用户EXE文件更新到刚刚复制的病毒文件的资源段中，接着复制用户EXE文件图标，最后替换原始的文件。整个感染过程不会破坏原始的文件功能，用户点击该文件后，仍然会执行原始文件的功能，用户很难发现文件已经被感染。

无法建立新的xlsx，提示文件不存在，原因：病毒修改感染了文件，致使文件后缀改变，新后缀为xlsm（带宏）

为确保执行的高效与隐蔽，“Synaptics“仅会感染以下三个目录中的 EXE 与 XLSX 文件：

文档目录："C:\Users\UserName\Documents"

桌面目录："C:\Users\UserName\Desktop"

下载目录："C:\Users\UserName\Downloads"

“Synaptics“感染前会先检测目标文件中是否包含“EXEVSNX”资源，“EXEVSNX”为成功感染目标文件后标记在被感染文件中的病毒版本号，以此来判断文件是否被感染或则是否需要更新。

对于 exe 文件，“Synaptics“首先将”病原体”文件拷贝至临时目录，而后将正常文件复制更新至刚刚拷贝后的病毒文件的资源段“EXERESX”中，接着复制目标文件的图标，伪装成正常文件，最后替换正常文件。当被感染的文件被用户点击后，会先将正常文件释放出运行，“Synaptics“随之也被再次执行。

对于 xlsx 文件，“Synaptics“读取复制正常 xlsx 文件内容，接着与病毒文件中的资源段“XLSM”合并生成后缀名为“.xlsm”的新文件，而后替换正常文件。

Synaptics“设置定时器监听是否有 USB 设备接入，当监测到设备接入时，立马感染 USB 设备磁盘中的 EXE 与 XLSX 文件。

而后将自身复制至 USB 设备中，并在 USB 设备中生成 autorun.inf 文件。当用户双击打开 USB 设备的磁盘时 autorun.inf 文件便会自动运行 USB 设备磁盘中的病毒文件（autorun.inf 是电脑使用中比较常见的文件之一，其作用是允许在双击磁盘时自动运行指定的某个文件），从而完成扩散传播。

Synaptics“从资源“KBHKS“中释放从键盘监听功能 dll 文件，接着加载此 dll 进行键盘监听。

自动邮件回传：“Synaptics“设置定时器每 30 分钟自动回传受害者计算机敏感信息与键盘监听数据，名信息包括：计算机名、用户名、mac 地址。

远控功能：除传播外，“Synaptics“具有基础的远程控制功能，包括执行 CMD 命令、屏幕截图、打印目录、下载文件、删除文件。

持久化：“Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe，并通过写入注册表的方式实现自启动。

威风的黑龙

用火绒杀毒，我也检测感染了，不过就几个文件而已

massagebox

文件贴上来呀，全靠猜

sadffg

现在还有病毒？我一直都没装杀毒软件

YQQY

用火绒用火绒，一直开着火绒，强烈建议，这玩意我也感染了，火绒可以不损坏文件杀毒，杀完文件就恢复了，自那次后，火绒我就和电脑管家一起开机自启了。

TTSZ

sadffg 发表于 2024-10-8 08:42
现在还有病毒？我一直都没装杀毒软件

我自己也基本上不装杀毒软件，这不是朋友电脑有这病毒

aimei217

请移步我的帖子：乌班图LinuX PE系统大蜘蛛Dr.web Curelt查杀工具.iso【886M】+U盘启动制作工具————https://www.52pojie.cn/thread-1882738-1-1.html贴图已经无法查看了，但是还能下载！
LinuX  PE系统大蜘蛛查杀工具.iso，用USB制作工具写进U盘，开机自动引导进入PE杀毒系统，可自动联网，可升级适时升级病毒库，可自定义查杀磁盘，杀毒干净可靠，亲测好用！！
还是针对Synaptics蠕虫，以免遍地开花！！  123盘【长期有效】不限速：https://www.123pan.com/s/HS9Fjv-N1oJv.html    提取码:52pj

TTSZ

massagebox 发表于 2024-10-8 08:33
文件贴上来呀，全靠猜

感谢，文件晚些时候会附上

aimei217

看来大佬还是大意了，系统不作备份，遇到这个种情况就更麻烦哦！！
俺一直都有备份系统的习惯，更为重要的是备份磁盘分区表，保护数据的第一要务！！