[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[Shoorup]

Natali m, не пиши никогда 2 раза одно и тоже сообщение. Какой код тебе нужно повесить на конопку? О чем ты ? Макрос? Что не получается? Что делаешь, чтобы получилось?

[Кулик Алексей aka kpblc]

http://dwg.ru/art/2

[b_1]

Так если антивирус не видит, Что мне сделать, чтобы все норм работало?

[Shoorup]

b_1, просто прочитаю эту тему полностью и всё!!!

[b_1]

я так и не вижу решения проблемы, может можно сам файл вируса с диска c: удалить, знать бы где он находиться, я хочу вернуть работу автокада в прежнее положение.

[b_1]

вобщем я ввел в поиск acad.lsp и удалил все что нашлось,
вроде все хорошо работает, Нужно ли мне редактировать свое меню, и если нужно то как это сделать?

[b_1]

Ну и еще проблема. Есть така штука в автокаде - ПУЛЬТ УПРАВЛЕНИЯ.
Так вот она очень удобна для работы в 3d пространстве(2008асаd)
Я на этом пульте упраления делаю нужные себе панели упраления , ну и
работаю. А когда закрываю автокад и сахожу заново, то пульт
упраления пуст, приходится заново его настраивать. т.е. он не запоминает, а сначала все работало нормально (это как проблема с
filedia (1)) Заранее С П А С И Б.

[Кулик Алексей aka kpblc]

Последний пост не имеет никакого отношения к вирусу. Я, если честно, не очень понял: а что хотелось спросить-то?

[Хмурый]

Цитата:

Сообщение от b_1 Ну и еще проблема. Есть така штука в автокаде - ПУЛЬТ УПРАВЛЕНИЯ. Так вот она очень удобна для работы в 3d пространстве(2008асаd) Я на этом пульте упраления делаю нужные себе панели упраления , ну и работаю. А когда закрываю автокад и сахожу заново, то пульт упраления пуст, приходится заново его настраивать. т.е. он не запоминает, а сначала все работало нормально (это как проблема с filedia (1)) Заранее С П А С И Б.

Рабочее пространство с настроенным пультом пробовал сохранять?

[b_1]

Хотелось спросить как исправить эту проблему, тоже мешает работать

[b_1]

сохранение рабочего пространства не помогае
вообще пульта нет при повторном открытии

[Кулик Алексей aka kpblc]

Гидрит вашу перекись! Это - НЕ ВИРУС!
В другой топик шагом марш!

[Natali m]

А вот я опять про вирус. Как только удаляю все файлы LSP, открываю любой файл AutoCAD, они все тут же появляются снова. Как с этим бороться? И что конкретно сделать, чтобы AutoCAD открывал все файлы в одной программе? И кстати, то, что вы мне скинули про макросы, это прекрасно, мне понравилось, но у меня не вводятся команды именно с клавиатуры, а не с кнопки.

[Кулик Алексей aka kpblc]

Еще раз прочитать ветку - она недлинная.

[intrepid]

Итак, то из-за чего начался весь сыр-бор еще в 2005 году появилось...
Эту шутку еще 5 и 6 касперы находили.
Читаем


А то что в посте №51 -
это троян который вышел полтора-два месяца назад. если не ошибаюсь -китайского происхождения.

[Shoorup]

Как вскрыть вирус и почитать код? (я про acad.fas)

[Кулик Алексей aka kpblc]

http://dwg.ru/f/showpost.php?p=262114&postcount=52

[Shoorup]

Кулик Алексей aka kpblc, я это читал и поиском пользовался. Ты написал что практическиневозможно, т.е если очень хочется, то можно. Так?

[Кулик Алексей aka kpblc]

Ага, из 60-70 килобайт компилированного лиспа получить без малого метр ассемблероподобного кода - для меня это слишком. Вечером (после 22:00 Мск) постучись мне в аську - обсудим

[Apelsinov]

Мне последнее время частенько попадался этот т.н. вирус в присланных чертежах, только был он совсем безвредным, т.к. половина кода его была варварски стерта, а осталась только та, что ведала "размножением". Я говорю о старой версии lsp. В свое время написал такую штуку для защиты от этой пакости:

Код:

[Выделить все]

(defun apel-copy_acad_lsp (/
			   a base_path	      acad_lsp_path
			   acad_lsp_newname
			  )
   (if (and
	 (setq base_path	(VL-FILENAME-DIRECTORY (findfile "base.dcl"))
	       acad_lsp_path	(strcat base_path "\\acad.lsp")
	       acad_lsp_newname	"\\acad_old.lsp"
	 )
	 (cond ((eq -1 (setq a (ACET-FILE-ATTR acad_lsp_path))) T)
	       ((/= 33 a)
		(VL-FILE-RENAME
		  acad_lsp_path
		  (strcat base_path acad_lsp_newname)
		)
	       )
	 )
	 (not (close (open acad_lsp_path "W")))
	 (ACET-FILE-ATTR acad_lsp_path 33)
       )
     (alert
       (strcat
	 "Внимание! Файл по адресу:\n" acad_lsp_path
	 "\nбыл переименован в " acad_lsp_newname
	 "\nНа его месте был создан новый файл acad.lsp для защиты от вируса.
	\nНовый файл имеет свойство - только для чтения. \n")
     )
   )
)

Мне не приходило в голову,что кто-то может написать компилированную версию, и я не знал что acad.fas запускается аналогично acad.lsp.Не знаю что делает этот компилированный новый вирус, но если бы я решил такой написать, то написал бы код, заменяющий существующий acad.fas собой, и защита с созданием такого пустого файла не прошла бы.

В качестве предложения - можно написать новый хороший вирус для борьбы с имеющимся плохим Попадая в зараженный автокад, он будет записывать себя в нужные файлы, стирая оттуда плохой вирус и предотвращая новое заражение... будем бить врага его же оружием.