[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[Krovlaf]

Командная строка при запуске:

Цитата:

Открывается файл формата AutoCAD 2007/LT 2007. Выполняется регенерация модели. ; ошибка: неверно сформированный список на входе Утилиты меню AutoCAD загружены. Команда: Файл Autodesk DWG. Это файл формата TrustedDWG, сохраненный в приложении Autodesk или в приложении, лицензированном корпорацией Autodesk. Команда:

Выделенное красным - это "ОНО"?

[gomer]

Цитата:

Сообщение от Krovlaf ; ошибка: неверно сформированный список на входе

Да, это ОНО! Это ваш недописанный вирус вызывает ошибку!

[Composter]

нашел на иностранном форуме lisp, который лечит от этой заразы . Запуск лиспа "KW". Дальше несложно разобраться

[Кулик Алексей aka kpblc]

Еще одна версия (вроде ссылка должна быть доступна всем) http://forum.inoe.name/showpost.php?...18&postcount=9

[kha]

Прошу прощения, если где уже было - прочитал уже несколько тем, но так и не нашёл ответа.

У меня чистая машина. Правильно ли я понимаю, что при снятой галке с пункта "Загружать acad.lsp c каждым чертежом" этот вирус мне не страшен?

[Кулик Алексей aka kpblc]

kha, если у тебя ACAD версии до 2013 - страшен

[kha]

да, автокад 2012
каким образом тогда вирус заражает автокад, если я отключил эту опцию?

Нашёл вот этот метод: http://bushman-andrey.blogspot.ru/20...p-acadfas.html

пробовал кто-нибудь?

[Александр Ривилис]

Цитата:

Сообщение от kha каким образом тогда вирус заражает автокад, если я отключил эту опцию?

Вместо acad.lsp в каждый документ при открытии грузится как минимум acaddoc.lsp.

[ciril]

Цитата:

Сообщение от kha каким образом тогда вирус заражает автокад, если я отключил эту опцию?

но при первом чертеже в сессии он все равно грузится.

[Кулик Алексей aka kpblc]

http://adn-cis.org/posledovatelnost-...v-autocad.html + http://adn-cis.org/autocad-autoload-security.html

[kha]

Цитата:

Сообщение от Александр Ривилис Вместо acad.lsp в каждый документ при открытии грузится как минимум acaddoc.lsp.

C acaddoc.lsp да, подгружается при снятой галке.

Цитата:

Сообщение от ciril но при первом чертеже в сессии он все равно грузится.

Проверил, загружается, зараза.

Благодарю за разъяснения.

[Mixon2010]

Как бороться с этим файлом я так и не понял. Появляется и все тут

После эксперимента понял следующее..... "Здоровый" компьютер заражается после открытия файла с чертежом. Заражение происходит в том случае, если в папке с чертежом находилась скрытая вредоносная программа acaddoc.fas.

После открытия, происходит автоматическая загрузка файла acaddoc.fas в память приложения autocad и подмена некоторых файлов автокада в папке Support в профиле пользователя. Например в загруженных программах сразу будет видно, что в память подгружается файл acaddoc.fas и подмененный файл acad.mnl.fas. Далее зараженный автокад будет клонировать вредоносную прогу acaddoc.fas на каждом открытом чертеже. Причем после заражения - файл acaddoc.fas автоматически восстанавливается на всех папках и дисках, если они ранее были удалены.

Простая переустановка не поможет полагаю ну или делать это нужно одномоментно на всех компах. где стоит полная версия автокада, а до этого везде уничтожить файл acaddoc.fas.

[VVA]

Mixon2010, Заархивируй в zip или rar и выкладывай сюда для препарации

[Кулик Алексей aka kpblc]

Я подправил первый пост темы.

[Mixon2010]

Выложить файл acaddoc.fas ??? На фирме теперь на всех сетевых дисках гуляет этот файл )))) Отрицательного влияния пока не ощущается. Вроде бы все работает пока. Но его все больше и больше становится

[741520]

Цитата:

Сообщение от Mixon2010 Вроде бы все работает пока. Но его все больше и больше становится

Когда нибуть их станет так много, что они выселят вас из офиса. Приходишь ты такой на работу а в твоем кресле сидит такой толстый вирус и говорит: "Шел бы ты от сюда, парниша... "

[Mixon2010]

Цитата:

Сообщение от 741520 Когда нибуть их станет так много, что они выселят вас из офиса. Приходишь ты такой на работу а в твоем кресле сидит такой толстый вирус и говорит: "Шел бы ты от сюда, парниша... "

Все может быть

[Mixon2010]

Вот он этот гаденыш... Правда не понятно, будет ли он распространятся когда он один. Надо на ком то проверить

[Кулик Алексей aka kpblc]

Начальный пост темы прочитай - там полно рецептов

[VVA]

Цитата:

Сообщение от Mixon2010 Выложить файл acaddoc.fas ??? На фирме теперь на всех сетевых дисках гуляет этот файл )))) Отрицательного влияния пока не ощущается. Вроде бы все работает пока. Но его все больше и больше становится

Подтверждение, что лафа рано или поздно закончится Проблема долгой загрузки PS Utils после обновления антивируса NOD v.6