Synaptics Pointing蠕蟲木馬防中招和提取無(wú)木馬文件分析

零基礎(chǔ)入門破解

Synaptics Pointing蠕蟲木馬防中招和提取無(wú)木馬文件分析
《Synaptics Pointing Device Driver》

Synaptics是一個(gè)蠕蟲木馬，具有感染性。木馬運(yùn)行后顯示一個(gè)隱藏工具，會(huì)復(fù)制自身至C:\ProgramData\Synaptics目錄，在設(shè)置注冊(cè)表自啟動(dòng)。之后創(chuàng)建兩個(gè)線程。

相信很多小伙伴都中招了，我嘗試過(guò)用QQ管家和QQ管家急救箱，360急救箱，全盤或者強(qiáng)力模式都對(duì)已經(jīng)感染的文件不能查殺和修復(fù)，結(jié)果都是無(wú)果。






下面我教下大家如何對(duì)已經(jīng)被捆綁了Synaptics蠕蟲木馬的軟件去除和提取 并如何查自己哪些常用軟件是中了此木馬。

查哪些軟件中了此木馬比較簡(jiǎn)單，右鍵對(duì)軟件屬性，即可看到描述是Synaptics Pointing Device Driver，詳細(xì)信息也是此描述，基本就是被捆綁了這個(gè)木馬。




拖進(jìn)OD看看 我這個(gè)是一個(gè)易語(yǔ)言編譯的無(wú)殼程序，懂點(diǎn)OD的應(yīng)該也發(fā)現(xiàn)，易語(yǔ)言的OEP并不是這樣，被捆綁了木馬的OEP變成了這樣，并下面有Synaptics的字符串，

已經(jīng)確實(shí)這個(gè)軟件已經(jīng)被感染了，下面演示，怎么不運(yùn)行，把沒中木馬的文件提取出來(lái)，方法比較簡(jiǎn)單，把中了這個(gè)蠕蟲木馬軟件載入到OD里，


用論壇發(fā)的PE提取工具提取一下即可。如果之前電腦已經(jīng)運(yùn)行過(guò)這個(gè)蠕蟲木馬的程序，打開任務(wù)管理器，會(huì)有一個(gè)進(jìn)程《Synaptics.exe》先結(jié)束掉此進(jìn)程，


然后刪除C:\ProgramData\Synaptics目錄即可，目錄是隱藏的，請(qǐng)打開系統(tǒng)的顯示文件隱藏功能，然后你打開沒有被捆綁Synaptics木馬的軟件，

就不會(huì)被感染了，如果不清除，您的電腦里的軟件只要打開一次都會(huì)被感染。這里我打開一下被感染的，然后去運(yùn)行以下沒有被感染的看看，沒有被感染，

另外其實(shí)被感染的軟件打開后他會(huì)釋放原來(lái)的沒被感染的文件，._cache_XXXX開頭的釋放原來(lái)的沒被感染的文件，就是只是被隱藏了起來(lái)，

這里剩下的就自己去研究下吧，感謝觀看。

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

aaulul

謝謝分享

鄭曉龍

6666666666666666666666666666666

helloltt

6666666666666666666666666666666

1393721977

看看

toum120

gxfx

qwertyuiop1822

祝資源共享吧越來(lái)越火！

chuijing666

木馬防中招和提取無(wú)木馬文件分析 [修