Synaptics Pointing蠕蟲木馬防中招和提取無木馬文件分析

零基礎(chǔ)入門破解

Synaptics Pointing蠕蟲木馬防中招和提取無木馬文件分析
《Synaptics Pointing Device Driver》

Synaptics是一個蠕蟲木馬，具有感染性。木馬運(yùn)行后顯示一個隱藏工具，會復(fù)制自身至C:\ProgramData\Synaptics目錄，在設(shè)置注冊表自啟動。之后創(chuàng)建兩個線程。

相信很多小伙伴都中招了，我嘗試過用QQ管家和QQ管家急救箱，360急救箱，全盤或者強(qiáng)力模式都對已經(jīng)感染的文件不能查殺和修復(fù)，結(jié)果都是無果。






下面我教下大家如何對已經(jīng)被捆綁了Synaptics蠕蟲木馬的軟件去除和提取 并如何查自己哪些常用軟件是中了此木馬。

查哪些軟件中了此木馬比較簡單，右鍵對軟件屬性，即可看到描述是Synaptics Pointing Device Driver，詳細(xì)信息也是此描述，基本就是被捆綁了這個木馬。




拖進(jìn)OD看看 我這個是一個易語言編譯的無殼程序，懂點(diǎn)OD的應(yīng)該也發(fā)現(xiàn)，易語言的OEP并不是這樣，被捆綁了木馬的OEP變成了這樣，并下面有Synaptics的字符串，

已經(jīng)確實這個軟件已經(jīng)被感染了，下面演示，怎么不運(yùn)行，把沒中木馬的文件提取出來，方法比較簡單，把中了這個蠕蟲木馬軟件載入到OD里，


用論壇發(fā)的PE提取工具提取一下即可。如果之前電腦已經(jīng)運(yùn)行過這個蠕蟲木馬的程序，打開任務(wù)管理器，會有一個進(jìn)程《Synaptics.exe》先結(jié)束掉此進(jìn)程，


然后刪除C:\ProgramData\Synaptics目錄即可，目錄是隱藏的，請打開系統(tǒng)的顯示文件隱藏功能，然后你打開沒有被捆綁Synaptics木馬的軟件，

就不會被感染了，如果不清除，您的電腦里的軟件只要打開一次都會被感染。這里我打開一下被感染的，然后去運(yùn)行以下沒有被感染的看看，沒有被感染，

另外其實被感染的軟件打開后他會釋放原來的沒被感染的文件，._cache_XXXX開頭的釋放原來的沒被感染的文件，就是只是被隱藏了起來，

這里剩下的就自己去研究下吧，感謝觀看。

游客，如果您要查看本帖隱藏內(nèi)容請回復(fù)

aaulul

謝謝分享

鄭曉龍

6666666666666666666666666666666

helloltt

6666666666666666666666666666666

1393721977

看看

toum120

gxfx

qwertyuiop1822

祝資源共享吧越來越火！

chuijing666

木馬防中招和提取無木馬文件分析 [修