关于Maya 2024.04.29新病毒的排查和清除方案

Maya新病毒漏中招情况

2024.05.01后，用户保存maya文件时，代码会关闭maya软件；

2024.06.01后，用户保存maya文件时，代码会删除当前的maya文件。

一、盘查Maya新型病毒方法

1、查看环境下的userSetup.mel文件

这个文件一般是在用户下 文档\maya\scripts 目录里。看看里面是否有 import base64 关键字，或者类似图里面的代码。

如果有的话，删掉它(备份自己插件的环境配置，公司有TD找TD看看，其实备份不备份也不重要，先杀毒)。

2、扫maya文件

可以使用 FileLocator 软件扫所有的ma文件，病毒会把代码写在 uifiguration 节点里。在maya文件里搜关键字 : IyAtKi0GY29kaW5n (下图run2里面的字节码，随便找一段搜) 或者搜uifiguration ``。

打开软件照下面操作。

如果有搜到文件的话，打开它们的时候不勾选 Execute script nodes。

删掉 uifiguration 节点再保存。操作方法：先在Display取消勾选。

搜uifiguration，如果有，然后删除它，再另存文件。

3、检查下面目录里是否有sys.bat文件

目录位置在：%userprofile%/appdata/roaming/syssst

可以通过 cmd+r 然后输入上面的路径回车打开，发现有sys.bat和uition.t也删掉。

4、去Maya软件目录里搜 mayahik

打开看看，文件末尾是否有下面特征的代码

有的话删掉，或者找干净的电脑把这个文件拷过来。上面的排查完应该就好了，有新的外包文件进来，也扫一遍比较好。

据大佬补充，还有一点，打开文件后还需要在scriptjob里删除这两个。

然后再保存文件。 公司有TD的话让TD帮忙排查，个人的话下载相应的清理工具，再进行处理会比较好。

5、最后

代码里还有一个特征是: 如果发现存在以下路径，则不执行病毒不发作。

可能是个人用来规避自己公司不中招的手段，如果有公司有这样的路径请帮忙提供一些线索， 尽最大力度找到写病毒的人。真的这样的病毒太恶心了，无故浪费别人的时间，以后说不准会升级成什么样的版本，做出什么样的事情。这次希望集大家之力，找到病毒的始作俑者!

二、清楚Maya新型病毒方案

（1）来自月鱼数字科技的刘晶晶大佬的方案，可移步公众号了解(点击查看)。

（2）来自TD大佬胡安迪无私分享的杀毒方案，大佬公众号：CGRnDStudio。瑞云渲染公众号后台回复【Maya杀毒方案】即可获取杀毒文件。

各位大佬还在讨论更好的解决方案，小瑞会为大家持续跟进！