前因

为了渗透测试小程序,没听大哥劝 吃亏是自己

把工具放在了实体机用 结果

查看图片

imag

度娘发现很早就存在这个病毒

image-20230427082644201

直接上科技

image-20230427082714672

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
virus/synares.a$SA 是一种恶意软件,也被称为 Trojan.Spyware.Syndicase.AI ,它通常会侵入电脑并偷窃用户的敏感信息.为了清理此病毒,您可以按照以下步骤操作:

1. 打开您的杀毒软件并进行全面的系统扫描,以查找和清除病毒.

2. 如果您的杀毒软件无法删除此病毒,请尝试手动删除病毒.打开任务管理器(CTRL+ALT+DELETE),找到病毒进程并将其停止.

3. 手动删除病毒文件.搜索并删除以下文件:

```
%User Profile%\Local Settings\Temp\[random].exe
%Documents and Settings%\[UserName]\Application Data\[random].exe
%Program Files%\[random]
%CommonStartMenu%\Programs\[random].lnk
```

4. 清理您的系统注册表.按下Win+R 进入运行窗口,输入 regedit,进入注册表编辑器.找到以下键值并删除:

```
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run "[random]"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Random
```

5. 最后,重启您的系统,以确保所有更改都已保存并生效.

请注意,手动删除病毒可能需要一些技术知识.如果您不确定如何执行上述步骤,请首先备份您的数据并寻求专业的技术支持.

https://blog.csdn.net/weixin_44001905/article/details/109257330

只写了病毒的大致原理 没有解决办法

image-20230427084158179

解决办法:

病毒查杀多个方向同时进行

1、火绒查杀清除信任区 全盘查杀

2、temp目录删除相关exe文件

我的主要是这个目录 将里面的exe文件删除即可

1
C:\Users\你的用户名\AppData\Local\Temp

一直占据着temp目录

image-20230427082331625

3、注册表删除

1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run "[random]"

image-20230427091146577

1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Random

我的没有这个 有的话也删除一下

image-20230427092042905

1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig

删除下面的mydesk项(文件夹)
删Synaptics Pointing Device Driver项

4、任务管理器

电脑任务管理器快捷键:Ctrl + Shift + ESC

找到Synaptics.exe 右键结束任务

image-20230427094240000

任务管理器看得到 定位过去却没有这个Synaptics.exe文件 该目录被隐藏

1
C:\ProgramData\Synaptics\

image-20230427094640347

扩展显示隐藏的扩展和隐藏的项目 于事无补

image-20230427100218249

还是dos命令好使

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 C:\ProgramData\Synaptics 的目录

2023/04/27  08:43    <DIR>          .
2023/04/27  08:43    <DIR>          ..
2023/04/27  08:43            41,472 ._cache_Synaptics.exe
2022/02/09  08:39           803,328 Synaptics.exe
               2 个文件        844,800 字节
               2 个目录 24,431,206,400 可用字节

C:\ProgramData\Synaptics>del ._cache_Synaptics.exe
找不到 C:\ProgramData\Synaptics\._cache_Synaptics.exe

C:\ProgramData\Synaptics>del Synaptics.exe
找不到 C:\ProgramData\Synaptics\Synaptics.exe

可这日期2022年2月份 不对劲 好家伙排查出另一个毒

切换到管理员cmd 也无法删除

1
2
3
cd C:\ProgramData\Synaptics
del /f ._cache_Synaptics.exe
del /f Synaptics.exe

问了大佬:计划任务和注册表里有 得到注册表里的删 才行 可我已经删除了丫

蠕虫病毒会获取最高权限,这也是利用360杀毒箱,火绒无法彻底解决的根本问题.

打开火绒的火绒剑

image-20230427104646707

可查到该文件 右键直接删除即可 命令再次排查 已经没有该文件

image-20230427104752442

以防万一使用Everything再次查找Synaptics

image-20230427105222013

复制文件目录到火绒剑打开 删除即可

.pf是预读取文件

也全部删除 保证关键词一个也抓不到 最好

image-20230427105601286

5、最后重新启动计算机 查看病毒是否查杀干净

看看任务管理器 没有即可 记得清理回收站

相关文章参考:

https://www.anquanke.com/post/id/283990

https://blog.csdn.net/zc976687608/article/details/124642824