[求助]：病毒，怀疑是新的CAD病毒，请秋枫及各位大侠帮助确认一下

lzws03

以前用过秋枫兄编的那个查杀程序　CheckLsp.wsf　以后，　感觉最是实用的一个，非常佩服，更是非常感谢。


最近在同事机子上绘图目录下发现了一批来源不明的　　acad.lsp  程序，被加载在了同事机子上　　autocad2004中文版　的　（"appload"）加载应用程序　中的　启动组　里，　发现症状就是　"d"、 "dd" 等原来自己设置的命令被更改了。　我打开文件看了看，与原来那个大小为4K左右的那个导致炸开命令等不能用的那个命名为acad.lsp 命令的病毒开头儿比较相似，所以怀疑可能是原来那个病毒的变种程序。   在个别机子上的CAD安装目录中(我的是
在C:\Documents and Settings\a\Application Data\Autodesk\AutoCAD 2004\R16.0\chs\Support中)发现了大小为1K的acad.lsp文件，打开看到语句　"load acadiso" ,原来在这目录下还存在一个acadiso.lsp文件，内容和我提到的这个约9K的 acad.lsp　一样。

请大家帮忙看一下是不是那个病毒的变种呢？　如果是的话，希望秋枫兄能抽空也做一个查杀程序，最好能兼容前边做过的那个　CheckLsp.wsf　的功能，这样遇到所有这种病毒单用这程序查杀一遍就万事OK了。


附件中是怀疑为病毒程序的那个文件 acad.lsp

小学一年级学生

今天我学了“路径”
原来，CAD启动不了它的路径之外的如何文件的

而acad.lsp病毒再厉害，它也不能自动跑到你的电脑内，除非你把它的地方设成了CAD的路径

你不直接打开它光盘、U盘、软盘等非电脑的硬盘，它不能成为工作目录，它怎么进得来？

防毒比杀毒重要，我这么想。

ll_j

最初由 lzws03 发布
[B]以前用过秋枫兄编的那个查杀程序　CheckLsp.wsf　以后，　感觉最是实用的一个，非常佩服，更是非常感谢。


最近在同事机子上绘图目录下发现了一批来源不明的　　acad.lsp  程序，被加载在了同事机子上　　autoca... [/B]

用用我修改后的试试：http://www.xdcad.net/forum/showthread.php?threadid=485974

lzws03

二楼的兄弟，您的意见我不能反驳，但我不同意。您可以参考三楼老兄提供的网页去查看一下，也许那里边高人的意见能替我解释清楚。

三楼老兄，多谢您的指点，当初发帖前我已经搜索过了，可能不太细心再放过了这么好一个好东东，呵呵，谢过了。我都下载下来试它一试。

cheungzhe

这里有两个连接比较详细的讨论有关ACAD.LSP问题：
http://www.xdcad.net/forum/showt ... 2499042#post2499042

http://www.xdcad.net/forum/showt ... y=&pagenumber=1

lzws03

经过兄弟的试验证明：秋枫兄的原作　　CheckLsp.wsf  不能够查杀我这个在WINXP+AUTOCAD2004-CHS下存在的大小为9K的ACAD.LSP病毒，　经过ll-j兄修改过的这个程序依然不能清除，另外浩辰公司出品的那款　AUTOCAD L1101病毒专杀工具  同样没有效果，只能手动清除。

手动清除方法为：

1.　关闭正在运行的所有AUTOCAD程序
2.　搜索本机中所有目录下的  acad.lsp,acadapp.lsp,acadiso.lsp 这三个文件，，搜索完毕后按大小排列，大小为3K 9K 66K
　　的一般为病毒程序，（注意您自己制作的ACAD.LSP文件及天正和探索者等软件中附带的ACAD.LSP文件不要误删除）建议彻底
　　删除，然后再把局域网中其它机器中及移动存储器中的此种文件清除。这样病毒就被清除干净了。如果再次发现此种问题时
    再按此法清除即可。
3.  如果不放心怕删错,可以用记事本打开文件,如果开头是 :
　　(defun s::startup (/ old_cmd path dwgpath mnlpath apppath oldacad
　　newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2
　　)

　　那就一定是了!
4.　///////////防止感染的注意事项////////
　　不要直接打开别人共享文件夹中的dwg文件,应该先复制到本机
　　不要轻率的带文件夹复制别人的文件,一定要检查其中是否有带毒的acad.lsp
　　（手动清除方法中的3&4项源自e2002版主帖子中）

秋枫

新的见附件。

这个病毒也可以用Norton Antivirus 企业版杀掉。

cdhua001

因为，我安装了卡巴斯基
所以，楼主的附件我无法下载

秋枫

这个所谓的查杀程序比较简单。首先是找硬盘中特定文件名的文件，收集好后，再一个一个看，如果发现这些文件中含有特定的特征字符串就认为是病毒否则认为不是病毒。

另简单说明一下如何修改这个vbs程序以对付新品种：

主要是修改这两个循环：

1. 
   
2. For Each curDrive In oDrive       ' All drive objects
   
3.     if curDrive.DriveType = Fixed Then ' 只查找硬盘中的文件
   
4. 
   
5.             WScript.StdOut.WriteLine "Scanning " & curDrive.DriveLetter & ":\..."
   
6.             CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\acad.lsp >> " &_
   
7.                     """" & TempFileName & """"
   
8.             WshShell.Run CmdLine, 0, True
   
9. 
   
10.            CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\acadapp.lsp >> " &_
    
11.                     """" & TempFileName & """"
    
12.             WshShell.Run CmdLine, 0, True
    
13. [color=green] '在这个IF语句中添加下面这段，多个文件添加多段[/color]
    
14. [color=red]           CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\新病毒的特定文件名 >> " &_
    
15.                     """" & TempFileName & """"
    
16.             WshShell.Run CmdLine, 0, True
    
17. [/color]
    
18.     end If
    
19. Next
    

复制代码

2. 
   
3.         For Each fname In fList
   
4.                 If ChkStr(fname, """ACADAPP.LSP""") _
   
5.                   Or ChkStr(fname, "(LOAD" & VbCrLf & """ACADAPP"")") _
   
6. [color=green]
   
7. '前面循环中指定的文件中有特征的字符串在这里判断。
   
8. '如果发现有这个字符串就认为是病毒。如果有新的特征在这里加一个Or Chkstr(***)
   
9. '在ChkStr函数中判断
   
10. '比如下面这句就是检查上述的LSP文件中有(load"acadiso")字串，如果有的话就认为是病毒
    
11. [/color]
    
12. [color=red]                  Or ChkStr(fname, "(load""acadiso"")") _[/color]
    
13.                   Or ChkStr(fname, "(defun s::startup (/ old_cmd path dwgpath") _  
    
14.                   Then
    
15.                         WScript.StdOut.Write "删除 " & fname & "..."
    
16.                         fso.DeleteFile fname, True
    
17.                         WScript.StdOut.WriteLine "OK!"               
    
18.                 End If
    
19.         Next
    

<br />         For Each fname In fList<br />                 If ChkStr(fname, """ACADAPP.LSP""") _<br />                   Or ChkStr(fname, "(LOAD" & VbCrLf & """ACADAPP"")") _<br /> [color=green]<br /> '前面循环中指定的文件中有特征的字符串在这里判断。<br /> '如果发现有这个字符串就认为是病毒。如果有新的特征在这里加一个Or Chkstr(***)<br /> '在ChkStr函数中判断<br /> '比如下面这句就是检查上述的LSP文件中有(load"acadiso")字串，如果有的话就认为是病毒<br /> [/color]<br /> [color=red]                  Or ChkStr(fname, "(load""acadiso"")") _[/color]<br />                   Or ChkStr(fname, "(defun s::startup (/ old_cmd path dwgpath") _  <br />                   Then<br />                         WScript.StdOut.Write "删除 " & fname & "..."<br />                         fso.DeleteFile fname, True<br />                         WScript.StdOut.WriteLine "OK!"                <br />                 End If<br />         Next<br />

lzws03

请教各位老兄：兄弟愚钝，不知道秋枫老兄这新做的附件  CheckLsp.vbs  如何才能运行，请大家赐教。  （兄弟只知道原来秋枫大侠做的那个 CheckLsp. wsf 程序双击就可以运行，可这个程序系统自动启动超级解霸来运行，哎。。。）

BlaueKeiter

我双击就可以了。秋枫 斑竹的工具很有效啊，CAD2006下的也搞定了，谢谢

瘦月亮

真希望我也碰见一回这种病毒！也体验一下杀CAD病毒的乐趣~~哈哈

BlaueKeiter

最初由 瘦月亮 发布
[B]真希望我也碰见一回这种病毒！也体验一下杀CAD病毒的乐趣~~哈哈 [/B]

哈哈，不用找了，一楼就有
使用说明：1，将ACAD。LSP文件复制到CAD文件目录下
          2，打开该目录下一个CAD文件

yangzhexiong

我也好想下下那个checklsp来杀毒啊可是我没有分