常见AutoCAD病毒(acad.fas、acad.lsp)清除方法

Lisphk

“CAD恶意程序”网上也称之为“CAD病毒”。其实，常见的CAD恶意程序并不具备一般病毒特征，不能单独传染，不会感染系统文件，只能在CAD环境下传播，没有对系统产生危害，但会造成CAD部份命令失效（如：无法使用分解命令、鼠标中键平移被修改、填充不能使用、多段线空心等），使其操作不便，从而影响制图效率及质量。

CAD恶意程序清除工具，支持CAD2002-2010版本。程序根据“病毒及信任文件”列表搜索、删除CAD恶意程序并清除其加载项。

大家在工作中，打开自己或别人拷贝来的DWG文件前，不要忙着打开CAD，先看看这个DWG图纸目录内，有没有acad.lsp、acad.fas和acad.vlx这些的文件，有就应该立即清除该文件。这样可以大大减少“CAD恶意程序”传播的机会。

手工清除方法：
　　①、关闭CAD（一定要关闭正在运行中的CAD程序）；

　　②、按F3键或在“开始”菜单打开“搜索”→“文件或文件夹”搜索窗口，全盘搜索下面的已知可能是CAD恶意程序的文件名；

　　　　acad.lsp
　　　　acad.fas
　　　　acad.vlx
　　　　acad.sys
　　　　acaddoc.lsp
　　　　acadiso.lsp
　　　　acaddoc.fas
　　　　acadapq.lsp
　　　　acadappp.lsp
　　　　acadapp.lsp
　　　　lcm.fas
　　　　acadsmu.fas

　　搜索发现文件后，注意该文件的所在目录，判断这个文件是不是你正在使用的某些外挂插件或专业软件所用到的自动加载文件，再决定是否删除。

　　注意：“搜索范围”一定要选择“本地硬盘(C:;D:;E:;...)”，并勾选“搜索选项”中的“高级选项”，将其下的“搜索系统文件夹”、“搜索隐藏的文件和文件夹”和“搜索子文件夹”项都勾选上，否则不能完全搜索出这些文件。

　　③、复制代码“(setvar "zoomfactor" 40)(setvar "mbuttonpan" 1)(setvar "highlight" 1)(setvar "fillmode" 1)(setvar "pickauto" 1)”粘贴在CAD命令行，恢复被修改的系统变量；

　　④、清除残留的加载项，复制“(startapp "notepad" (findfile "acad.mnl"))”在CAD命令行，打开“acad.mnl”文件，查看文件内是否有类似“(load "acadappp")”或“(load "acadappp.lsp")”这样的内容，有则删去这些内容后保存“acad.mnl”文件；无可忽略此操作。

acaddoc.lsp，acad.fas、acad.lsp这两种病毒是最常见的CAD病毒了，并且往往同时出现。由于其本身对系统并不具备危害性，仅仅是恶作剧程序罢了，因此大多数防病毒软件对它们不起作用，下面介绍手动删除方法。

  第一步：查找硬盘、U盘内的 acad.fas、lcm.fas、acad.lsp、acadapp.lsp、acadappp.lsp 五个文件并删除干净（查找前请将显示隐藏和系统文件打开，这五个文件不一定同时出现。强烈建议使用Total Commander文件管理器查找）。

  第二步：查找acad.mnl文件（这个文件通常有两个，一个在“c:\Program Files\AutoCAD****\UserDataCache\Support\”文件夹下，另一个在“c:\Documents and Settings\你的用户名\Application Data\Autodesk\AutoCAD****\R****\chs\Support\”文件夹下。目前病毒仅修改第一个acad.mnl文件）。

  打开acad.mnl文件，在文件末尾找到以下三个语句的组合并删除（这三个语句组合不一定同时出现），然后保存文件。

(if (null stol) (load "lcm" ""))

(princ)

(load "acadapp.lsp")

(princ)

(load "acadappp.lsp")

(princ)

附录：

有关该CAD病毒 acad.fas 的说明：

1.它对电脑是没有任意的危害性！

2.它在8:00到18:00这段时间,对CAD没有任何影响的!

它的副作用就是：

你的CAD在启动时会弹出一个显示时间的对话框

如果时间不在8:00至18:00之间，还有可能伴随"移动"命令改变等情况。

在这段时间内的临时解决方案为：

将电脑系统时间调整8:00就行了!

(有必时请关了CAD后再打开CAD)

不想进去目录查找也可以输入下面的字符到CAD命令行：

(while (or (setq a (findfile "acad.fas")) (setq a (findfile "lcm.fas"))) (vl-file-delete a))

如果有文字编缉时出现记事本的现象请将下面一行红字输入到命令行？：

(setvar "mtexted" ".")

最近中了CAD病毒，msconfig里增加了一项“dwgrun.exe”，运行CAD后，自动生成acad.fas文件，而且有些CAD命令也用不了，上网搜了一下，可按下面的方法解决：

1.清除注册表的启动记录SOFT\MICRO..\WINdows\curvver\Run2.在运行栏内输入msconfig 在启动项将dwgrun.exe删除
3.清除SYSTEM或SYSTEM32内的winsys.ini 和winfas.ini文件(在安全模式杀)
4.搜索C盘以及CAD安装的盘符D或F"acad.fas或acad.ini"找到并删除或改名
5.打开CAD进入配置选项卡，把启动时加载acad.lsp项取消.重启即可!!

CAD病毒杀毒方法及免疫文件

新的CAD病毒，表现如下：打开CAD图时，出现VBA错误。。并且打开第2张图时会造成鼠标失灵。
打开C盘根目录，会发现一个boot.dat文件，用记事本方式打开，出现类似这样一个文本内容：

[dang]
ff=K:\6s\a-lxl\
yy=C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 2004\R16.0\chs\support\

其中"ff="后的是病毒来源路径（按上例为K:\6s\a-lxl\），“yy=”后的是本机被病毒感染目录（按上例为C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 2004\R16.0\chs\support\）。

执行以下步骤可以解决此病毒问题
1、删除病毒来源路径下的 acaddoc.lsp
2、删除本机被病毒感染目录下acaddoc.lsp和acadapq.lsp
3、用“记事本”方式 修改本机被病毒感染目录下acad.mnl,把文件最后的(laod "acadapq")一行删除
4、删除C盘根目录下的boot.dat文件
5、搜索硬盘中acaddoc.lsp.把其中最近生成并且大小为4k的删除

jiangnanemail

拜读！谢谢，收藏。