最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下
感染文件特征
文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳
病毒感染特点:
①运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变;
②可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”;
③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件;
④系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。[成为新的感染源。
⑤病毒只感染可执行文件,无法感染压缩文件。
⑥病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪。
⑦注册表中创建2个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
“key”=”SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=”mydesk”
“hkey”=”HKCU”
“command”=”C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe”
“inimapping”=”0”
“YEAR”=dword:000007e4
“MONTH”=dword:00000004
“DAY”=dword:00000002
“HOUR”=dword:00000017
“MINUTE”=dword:0000001e
“SECOND”=dword:0000001e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
“key”=”SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=”Synaptics Pointing Device Driver”
“hkey”=”HKLM”
“command”=”C:\\ProgramData\\Synaptics\\Synaptics.exe”
“inimapping”=”0”
“YEAR”=dword:000007e4
“MONTH”=dword:00000004
“DAY”=dword:00000002
“HOUR”=dword:00000017
“MINUTE”=dword:0000001e
“SECOND”=dword:0000001e
病毒文件._cache_Game.exe 你在网站下载游戏后在压缩包内看到这个文件时,千万不要解压 ._cache_Game.exe 这tm就是病毒
解压后把病毒文件删除就行了,在确认一下游戏是否感染。感染了用下面的软件可以修复,修复后可以正常玩了。不放心杀毒扫一下
这个病毒遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。
然后运行以后,会在程序运行目录释放
看不到的需要取消勾选 隐藏受系统保护的文件
点击查看 选项 取消勾选 就能看到了
部分游戏被感染
按照上面操作后看到了._cache_Game.exe时不用慌,直接删掉就行,你tm千万别没事自己去运行 那就有事了。
右键游戏启动图标 如果这里描述啥的都没改变说明是正常的,那为啥还有。因为之前没发现,所以最后跟着一起压缩了。如果你不放心可以先用杀毒软件扫一遍确认没读在启动
是不是网站的游戏都有问题
咱是这个星期在某网站下载资源才遭殃的,所以说2023.2.5号之前分享的都没有问题。而且并不是2.6后游戏都有问题,只有部分有问题。已经在重新上传了
解决办法 (已中招的 没事的不用管
下载这个: https://wwck.lanzouf.com/b00wiko3i 密码:exrt
软件下载完成后杀毒软件会报毒,添加信任这个没毒。打开后选择中毒的游戏 或者._cache_Game.exe病毒文件
之后会自己扫描全盘,中毒的文件都能恢复正常。完成后再用杀毒软件来一次全盘查杀
程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了
评论14