电脑触摸板驱动文件报毒

ttrry

笔记本电脑触摸板驱动文件报毒，之前卡巴免费版未报，卡巴企业版报了，virscan有25家报。

wwwab

什么触控板驱动，你确定不是感染型病毒？

aboringman

这个是感染型病毒啊。

1. 2021-10-02 13:35:03     恶意软件(VirusOrg.Win32.Synaptics.A)MD5:1ea545cd19ebcea7e43b3e2bb3269ba0  已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器下载\test\synaptics.exe

复制代码

Norton：

1. 文件名: Synaptics.exe
   
2. 威胁名称: Backdoor.Graybird完整路径: C:\Users\abori\Downloads\Synaptics.exe
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2021/10/2 ( 19:43:04 )
    
11. 
    
12. 上次使用时间 
    
13. 2021/10/2 ( 19:45:14 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 
    
18. 已启动 
    
19. 否
    
20. 
    
21. 威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. Synaptics.exe 威胁名称: Backdoor.Graybird
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. 来源: 外部介质
    
44. 
    
45. 源文件:
    
46. Synaptics.exe
    
47. 
    
48. ____________________________
    
49. 
    
50. 文件操作
    
51. 
    
52. 文件: C:\Users\abori\Downloads\ Synaptics.exe 已删除
    
53. 文件: C:\Users\abori\AppData\Local\virtualstore\WINDOWS\SysWOW64\ Installed.dat 需要重新启动
    
54. 文件: C:\WINDOWS\SysWOW64\ Installed.dat 需要重新启动
    
55. ____________________________
    
56. 
    
57. 注册表操作
    
58. 
    
59. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1001\Software\Microsoft\Windows\CurrentVersion\Policies\ System->DisableRegistryTools:0 已修复
    
60. 注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->AntiVirusDisableNotify:0 已修复
    
61. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 已修复
    
62. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NofolderOptions:0 已修复
    
63. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1001\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
64. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-501\Software\Microsoft\Windows\CurrentVersion\Policies\ System->DisableRegistryTools:0 已修复
    
65. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1004\Software\Microsoft\Windows\CurrentVersion\Policies\ System->DisableRegistryTools:0 已修复
    
66. 注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\ ->UpdatesDisableNotify:0 已修复
    
67. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-501\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 已修复
    
68. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 已修复
    
69. 注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ ->Start:2 已修复
    
70. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-501\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NofolderOptions:0 已修复
    
71. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NofolderOptions:0 已修复
    
72. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-501\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
73. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
74. 注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
75. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
76. 注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
77. 注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 已修复
    
78. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-501\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
79. 注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
80. 注册表更改: HKEY_USERS\S-1-5-21-888922188-1352928693-2925007321-1004\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
81. 注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
82. 注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
    
83. ____________________________
    
84. 
    
85. 
    
86. 文件指纹 - SHA:
    
87. 69cd421d679b636a9c5177c74b329d6411b4b1818f8d23dfbdb2ff1cdb13f540
    
88. 文件指纹 - MD5:
    
89. 1ea545cd19ebcea7e43b3e2bb3269ba0
    

复制代码

诺顿认成了灰鸽子。。。。。。触发了通用修复，要求重新启动。。。。。。

KIRSCH56

卡巴KIS21.3.10.391（f)，未解压无反应，解压杀

事件: 对象已删除
用户: DESKTOP-FVRG0AK\shady
用户类型: 活动用户
应用程序名称: 7zG.exe
应用程序路径: C:\Program Files\7-Zip
组件: 文件反病毒
结果说明: 已删除
类型: 木马
名称: Trojan.Win32.XRed.mg
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: Synaptics.exe
对象路径: C:\Users\shady\Downloads\Synaptics
MD5: 1EA545CD19EBCEA7E43B3E2BB3269BA0

ANY.LNK

Microsoft Defender：报告Worm:Win32/AutoRun!atmn

ttrry

文件名与触摸板驱动文件相近，看文件夹创建日期确实中中午新建的，
期间未运行过其他程序，只运行了论坛卡巴版下载的激活工具，卸载工具，
卡巴免费版，升级保护，然后用了https://bbs.kafan.cn/thread-2218755-1-1.html这个激活工具，提示激活码版本不符；
随后卸载卡巴，用了论坛下的官方卸载工具；
然后下载安装https://bbs.kafan.cn/thread-2211954-1-1.html 这个企业版，就报毒了
中招溯源：卡巴自带卸载了一半，未全部卸载成功，由于电脑上的卸载工具版本较老，到网上搜索下载了个新版本https://www.anxz.com/down/88721.html，结果中招

AAAFFFQQQ

额外问个问题：卡巴企业版防病毒模块比卡巴斯基免费版，安全软件和全方位安全软件要强吗？

AAAFFFQQQ

eset压缩包内扫描，报win32/delf.nbx

ttrry

AAAFFFQQQ 发表于 2021-10-2 14:08
额外问个问题：卡巴企业版防病毒模块比卡巴斯基免费版，安全软件和全方位安全软件要强吗？

其实想用卡巴安全软件就行啊，与毛豆配合用的，可惜没授权码
看到论坛有企业版的授权码工具就换上了

wwwab

ttrry 发表于 2021-10-2 14:08
文件名与触摸板驱动文件相近，看文件夹创建日期确实中中午新建的，
期间未运行过其他程序，只运行了论坛卡 ...

Synaptics家族的感染型病毒啊