[推荐]：可自己扩展的Acad“病毒”清除程序

eachy

本程序原是 秋枫 用 VBS 所写的一个删除 acad,lsp acadpqd.lsp 程序，后来增加了删除 acad.fas acadiso.lsp acaddoc.lsp 等文件。

一般来说 cad 病毒都是利用了 acad 的自动加载，包括 acaddoc.lsp、 acad.lsp(acad.fas) 、acaddoc2xxx.lsp、acad.mnl ，只要清除这些文件就可以清除“病毒”，但是某些外挂或者专业软件有时候也会用到自动加载文件，比如 acaddoc.lsp ，这时就不能全盘删除该文件，要进行判断。

下面的 VBS 就是对 acad.lsp acaddoc.lsp 文件先收集路径，最后判断文件中是否有一些特征字符，如果有病毒特征字符才执行删除，使用中对新增加的“病毒”文件可以自己手动添加进来实现自动删除。

运行前请关闭所有 Autocad 程序，另外，病毒程序可能在 acad.mnl 中会自动添加 load 语句，查杀完成后请在次检查 acad.mnl 文件，删除最后的 load 语句。

2. 
   
3. 
   
4. '==========================================================================
   
5. '
   
6. ' VBScript Source File -- Created with SAPIEN Technologies PrimalSCRIPT(TM)
   
7. '
   
8. ' NAME: CheckLsp.vbs
   
9. '
   
10. ' AUTHOR: Qiu Feng , cj
    
11. ' DATE  : 2003-8-20
    
12. '
    
13. ' Modified: Eachy , 2008-9-6
    
14. '
    
15. ' COMMENT: 针对导致AutoCAD中explode命令不能使用的acad.lsp恶意代码设计了本程序,
    
16. ' 本程序仅用于查杀此项恶意代码。
    
17. '
    
18. '==========================================================================
    
19. Option Explicit
    
20. 
    
21. ' Drive type constants
    
22. Const Unknown = 0
    
23. Const Removable = 1 ' Removable medium
    
24. Const Fixed = 2 ' Fixed medium (hard disk)
    
25. Const Remote = 3 ' Network drive
    
26. Const CDROM = 4 ' CD-ROM
    
27. Const RAMDisk = 5 ' RAM disk
    
28. 
    
29. Const tmpFolder = 2 ' System's temp folder
    
30. 
    
31. Dim AboutText
    
32. AboutText = "［程序用途］" & vbCrLf & _
    
33.             "针对导致AutoCAD中explode命令不能使用的acad.lsp,acaddoc.lsp恶意代码设计了本程序," & _
    
34.             "本程序仅用于查杀此项恶意代码。" & vbCrLf & vbCrLf & _
    
35.             "［声明］" & vbCrLf & _
    
36.             "作者保留本程序的一切权利，但你可以自由拷贝与复制、修改本程序用于非商业目的。" & _
    
37.             "作者尽力将本程序做得完善，但不会因本软件的错失而造成的损失承担任何责任。" & _
    
38.             "本程序仅提供作为应用上的参考, 而未声明或隐含任何保证; 对于任何特殊用途之适" & _
    
39.             "应性, 以及商业销售所隐含作出的保证, 在此一概予以否认。" & vbCrLf & vbCrLf & _
    
40.             "[是]接受上述条件，[否]退出程序。" & vbCrLf & vbCrLf & _
    
41.             "秋枫, 2005.8"
    
42. 
    
43. Dim WshShell
    
44. Set WshShell = WScript.CreateObject("WScript.Shell")
    
45. 
    
46. Dim fso, oDrive, curDrive ' Object variables
    
47. ' Create FileSystemObject object to access the file system.
    
48. Set fso = WScript.CreateObject("Scripting.FileSystemObject")
    
49. 
    
50. Dim TempFileName
    
51. TempFileName = fso.GetSpecialFolder(tmpFolder) & "" & fso.GetTempName
    
52. 
    
53. Function IsCScript()
    
54.     ' Check whethe CScript.exe is the host.
    
55.     If (InStr(UCase(WScript.FullName), "CSCRIPT") <> 0) Then
    
56.         IsCScript = True
    
57.     Else
    
58.         IsCScript = False
    
59.     End If
    
60. End Function
    
61. 
    
62. Function YesOrNo(s)
    
63.     Dim r
    
64.     WScript.StdOut.Write(s)
    
65.     r = WScript.StdIn.Read(1)
    
66.     WScript.StdOut.Write(r)
    
67.     If (UCase(r) = "Y") Then
    
68.         YesOrNo = True
    
69.     Else
    
70.         YesOrNo = False
    
71.     End If
    
72. End Function
    
73. 
    
74. Function DlgYesOrNo(s)
    
75.     If (vbYes = MsgBox(s, vbYesNo)) Then
    
76.         DlgYesOrNo = True
    
77.     Else
    
78.         DlgYesOrNo = False
    
79.     End If
    
80. End Function
    
81. 
    
82. Function ChkStr(Filename, Str)
    
83.     Dim F, txt
    
84.     ChkStr = False
    
85.     If fso.FileExists(Filename) Then
    
86.         Set F = fso.OpenTextFile(Filename)
    
87.         txt = f.ReadAll
    
88.         If (InStr(UCase(txt), UCase(Str)) <> 0) Then
    
89.             ChkStr = True
    
90.         Else
    
91.             ChkStr = False
    
92.         End If
    
93.     End If
    
94. End Function
    
95. 
    
96. 
    
97. ' Test whether the host is CScript.exe.
    
98. If (Not IsCScript()) Then
    
99.     WshShell.Run "CScript.exe " & """" & WScript.ScriptFullName & """"
    
100.     WScript.Quit ' Terminate script.
     
101. End If
     
102. 
     
103. ' Main
     
104. 
     
105. WScript.Echo "*******************************************"
     
106. WScript.Echo "* LISP病毒检查程序 -- 秋枫, 2005年10月9日 *"
     
107. WScript.Echo "*             修改 -- Eachy,2008年09月6日 *"
     
108. WScript.Echo "*******************************************"
     
109. 
     
110. If Not DlgYesOrNo(AboutText) Then
     
111.     WScript.Quit()
     
112. End If
     
113. 
     
114. Set oDrive = fso.Drives ' Get Drives collection.
     
115. Dim CmdLine
     
116. For Each curDrive In oDrive ' All drive objects
     
117.     If (curDrive.DriveType = Fixed) Or (curDrive.DriveType = Remote) Then
     
118.         WScript.StdOut.WriteLine "扫描 " & curDrive.DriveLetter & "盘..."
     
119.         CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter &_
     
120.         ":\acaddoc.lsp >> " &_
     
121.         """" & TempFileName & """"
     
122.         WshShell.Run CmdLine, 0, True
     
123.         CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter &_
     
124.         ":\acad.lsp >> " &_
     
125.         """" & TempFileName & """"
     
126.         WshShell.Run CmdLine, 0, True
     
127.         CmdLine = """%comspec%"" /c del /s/f " &_
     
128.         curDrive.DriveLetter & ":\acad.fas,acadapp.lsp,acadapq.lsp,acadiso.lsp,lcm.fas"
     
129.         WshShell.Run CmdLine, 0, True
     
130.     End If
     
131. Next
     
132. 
     
133. If fso.GetFile(TempFileName).Size <> 0 Then
     
134.     Dim fList, f, fname
     
135.     Set f = fso.OpenTextFile(TempFileName)
     
136.     fList = Split(f.ReadAll, vbCrLf)
     
137.     For Each fname In fList
     
138.         If ChkStr(fname, """ACAD.LSP""") Or ChkStr(fname, """ACADAPP""") _
     
139.         Or ChkStr(fname, """ACADAPQ""") Or ChkStr(fname, VbCrLf & Trim("CHR")  & VbCrLf) _
     
140.         Or ChkStr(fname, """ACADDOC.LSP""") Then
     
141.             WScript.StdOut.Write "删除 " & fname & "..."
     
142.             fso.DeleteFile fname, True
     
143.             WScript.StdOut.WriteLine "OK!"
     
144.         End If
     
145.     Next
     
146. Else
     
147.     WScript.Echo "没有找到感染的LSP文件."
     
148. End If
     
149. 
     
150. WshShell.run """%comspec%"" /c del /s/f c:\boot.dat", 0, True
     
151. 
     
152. WScript.Echo "扫描清除完毕."
     
153. WshShell.Popup "清理完毕。", 10, "Check Lisp Virus", vbOKOnly + vbInformation
     

<br /> <br /> '==========================================================================<br /> '<br /> ' VBScript Source File -- Created with SAPIEN Technologies PrimalSCRIPT(TM)<br /> '<br /> ' NAME: CheckLsp.vbs<br /> '<br /> ' AUTHOR: Qiu Feng , cj<br /> ' DATE  : 2003-8-20<br /> '<br /> ' Modified: Eachy , 2008-9-6<br /> '<br /> ' COMMENT: 针对导致AutoCAD中explode命令不能使用的acad.lsp恶意代码设计了本程序,<br /> ' 本程序仅用于查杀此项恶意代码。<br /> '<br /> '==========================================================================<br /> Option Explicit<br /> <br /> ' Drive type constants<br /> Const Unknown = 0<br /> Const Removable = 1 ' Removable medium<br /> Const Fixed = 2 ' Fixed medium (hard disk)<br /> Const Remote = 3 ' Network drive<br /> Const CDROM = 4 ' CD-ROM<br /> Const RAMDisk = 5 ' RAM disk<br /> <br /> Const tmpFolder = 2 ' System's temp folder<br /> <br /> Dim AboutText<br /> AboutText = "［程序用途］" & vbCrLf & _<br />             "针对导致AutoCAD中explode命令不能使用的acad.lsp,acaddoc.lsp恶意代码设计了本程序," & _<br />             "本程序仅用于查杀此项恶意代码。" & vbCrLf & vbCrLf & _<br />             "［声明］" & vbCrLf & _<br />             "作者保留本程序的一切权利，但你可以自由拷贝与复制、修改本程序用于非商业目的。" & _<br />             "作者尽力将本程序做得完善，但不会因本软件的错失而造成的损失承担任何责任。" & _<br />             "本程序仅提供作为应用上的参考, 而未声明或隐含任何保证; 对于任何特殊用途之适" & _<br />             "应性, 以及商业销售所隐含作出的保证, 在此一概予以否认。" & vbCrLf & vbCrLf & _<br />             "[是]接受上述条件，[否]退出程序。" & vbCrLf & vbCrLf & _<br />             "秋枫, 2005.8"<br /> <br /> Dim WshShell<br /> Set WshShell = WScript.CreateObject("WScript.Shell")<br /> <br /> Dim fso, oDrive, curDrive ' Object variables<br /> ' Create FileSystemObject object to access the file system.<br /> Set fso = WScript.CreateObject("Scripting.FileSystemObject")<br /> <br /> Dim TempFileName<br /> TempFileName = fso.GetSpecialFolder(tmpFolder) & "" & fso.GetTempName<br /> <br /> Function IsCScript()<br />     ' Check whethe CScript.exe is the host.<br />     If (InStr(UCase(WScript.FullName), "CSCRIPT") <> 0) Then<br />         IsCScript = True<br />     Else<br />         IsCScript = False<br />     End If<br /> End Function<br /> <br /> Function YesOrNo(s)<br />     Dim r<br />     WScript.StdOut.Write(s)<br />     r = WScript.StdIn.Read(1)<br />     WScript.StdOut.Write(r)<br />     If (UCase(r) = "Y") Then<br />         YesOrNo = True<br />     Else<br />         YesOrNo = False<br />     End If<br /> End Function<br /> <br /> Function DlgYesOrNo(s)<br />     If (vbYes = MsgBox(s, vbYesNo)) Then<br />         DlgYesOrNo = True<br />     Else<br />         DlgYesOrNo = False<br />     End If<br /> End Function<br /> <br /> Function ChkStr(Filename, Str)<br />     Dim F, txt<br />     ChkStr = False<br />     If fso.FileExists(Filename) Then<br />         Set F = fso.OpenTextFile(Filename)<br />         txt = f.ReadAll<br />         If (InStr(UCase(txt), UCase(Str)) <> 0) Then<br />             ChkStr = True<br />         Else<br />             ChkStr = False<br />         End If<br />     End If<br /> End Function<br /> <br /> <br /> ' Test whether the host is CScript.exe.<br /> If (Not IsCScript()) Then<br />     WshShell.Run "CScript.exe " & """" & WScript.ScriptFullName & """"<br />     WScript.Quit ' Terminate script.<br /> End If<br /> <br /> ' Main<br /> <br /> WScript.Echo "*******************************************"<br /> WScript.Echo "* LISP病毒检查程序 -- 秋枫, 2005年10月9日 *"<br /> WScript.Echo "*             修改 -- Eachy,2008年09月6日 *"<br /> WScript.Echo "*******************************************"<br /> <br /> If Not DlgYesOrNo(AboutText) Then<br />     WScript.Quit()<br /> End If<br /> <br /> Set oDrive = fso.Drives ' Get Drives collection.<br /> Dim CmdLine<br /> For Each curDrive In oDrive ' All drive objects<br />     If (curDrive.DriveType = Fixed) Or (curDrive.DriveType = Remote) Then<br />         WScript.StdOut.WriteLine "扫描 " & curDrive.DriveLetter & "盘..."<br />         CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter &_<br />         ":\acaddoc.lsp >> " &_<br />         """" & TempFileName & """"<br />         WshShell.Run CmdLine, 0, True<br />         CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter &_<br />         ":\acad.lsp >> " &_<br />         """" & TempFileName & """"<br />         WshShell.Run CmdLine, 0, True<br />         CmdLine = """%comspec%"" /c del /s/f " &_<br />         curDrive.DriveLetter & ":\acad.fas,acadapp.lsp,acadapq.lsp,acadiso.lsp,lcm.fas" <br />         WshShell.Run CmdLine, 0, True <br />     End If<br /> Next<br /> <br /> If fso.GetFile(TempFileName).Size <> 0 Then<br />     Dim fList, f, fname<br />     Set f = fso.OpenTextFile(TempFileName)<br />     fList = Split(f.ReadAll, vbCrLf)<br />     For Each fname In fList<br />         If ChkStr(fname, """ACAD.LSP""") Or ChkStr(fname, """ACADAPP""") _<br />         Or ChkStr(fname, """ACADAPQ""") Or ChkStr(fname, VbCrLf & Trim("CHR")  & VbCrLf) _<br />         Or ChkStr(fname, """ACADDOC.LSP""") Then<br />             WScript.StdOut.Write "删除 " & fname & "..."<br />             fso.DeleteFile fname, True<br />             WScript.StdOut.WriteLine "OK!"<br />         End If<br />     Next<br /> Else<br />     WScript.Echo "没有找到感染的LSP文件."<br /> End If<br /> <br /> WshShell.run """%comspec%"" /c del /s/f c:\boot.dat", 0, True<br /> <br /> WScript.Echo "扫描清除完毕."<br /> WshShell.Popup "清理完毕。", 10, "Check Lisp Virus", vbOKOnly + vbInformation<br />

将以上内容保存为后缀为 vbs 的文件，双击运行，也可以下载附件查杀。

andyhua5240

谢谢EA，好东东！
顺便说一下，好久不见EA啦！怪想你的！

eachy

最初由 andyhua5240 发布
[B]谢谢EA，好东东！
顺便说一下，好久不见EA啦！怪想你的！ [/B]

你好啊，以后常来*-*1 *-*c

民工.

最初由 eachy 发布
[B] 但是某些外挂或者专业软件有时候也会用到自动加载文件，比如 acaddoc.lsp ，这时就不能全盘删除该文件，要进行判断。... [/B]

利用自动加载文件制造病毒，地球人都知道，居然现在某些外挂或者专业软件还用自动加载文件，只能说明他们不是地球人，不是地球人编的外挂或者专业软件还敢用吗？全部删掉算了。

Archs

以前都要手工查找再一个一个删除，还要定义几个空文件为只读才能解决这个问题的。

shh_188

好强，这个厉害。以前都是用bat的，现在高科技了，呵呵。

wzs_ls

卡巴可以杀，但还是谢谢楼主的辛苦和无私

qddlm

谢谢。以前都是用bat的

yovz

这个真的很好,省了一个一个去搜索删除!

fantasy1258

我就说这几天老是看到一些奇怪的文件产生。这是个好东东

cpxh

哎~右键下载竟然不行~

cqf0929

最新的一个不直到能不能杀，就是有很多空格的那个，好像卡巴都不认识！

著名人

CAD中毒？我应该没有中过吧- -//

402326352

应该可是算是，在计算机搜索cad.lsp,acaddoc.lsp或者acad.fas，然后在将其删掉！！

leiyong

谢EA，好东东！
顺便说一下，好久不见EA啦！怪想你的