最近我的咖啡老跳出来病毒提示new malware.j,在%windir%生成richdll.dll和logo1_.exe还有%windir%\uninstall\rundl132.exe,杀进程,删文件,过一会又跳出来了,后来掌握一个规律,只要我运行一个新的exe进程,那三个鬼文件又出来了,综上可证是感染了我的exe文件,而且把我能感染的exe全都感染了,但是我的非系统盘很多黑客工具,溢出什么的,要用杀毒软件,肯定都杀光了,后来发现一个规律,它感染的文件第一次执行会把自己释放,然后被感染的文件就变成原来干净的文件,它的进程启动后,会重新搜索遍历要感染的文件并感染,于是写下如下脚本免疫该病毒:
@echo off
echo 以下步骤可能需要您确认一下(按y后回车)
echo 第一步 结束主进程
taskkill /f /im Logo1_.exe
cd %windir%
echo . > logo1_.exe
echo .........
echo 第二步 修改 %windir%\logo1_.exe 文件权限
cacls logo1_.exe /p everyone:N
echo . > richdll.dll
echo .........
echo 第三步 修改 %windir%\richdll.dll 文件权限
cacls richdll.dll /p everyone:N
cd uninstall
echo . > rundl132.exe
echo .........
echo 第四步 修改 %windir%\uninstall\rundl132.exe 文件权限
cacls rundl132.exe /p everyone:N
echo .........
echo 搞定,按任意键退出
@pause>nul
运行该免疫之后,如果要还原你硬盘上所有exe文件成原来的干净文件,必须所有exe都执行一遍:)
网上搜了一下new malware.j,叫威金的变种病毒,有专杀,但愿不要把我的宇宙无敌黑客工具给杀坏了。
威金-江民专杀