论坛 › AutoCAD资料下载&软件安装 › cad病毒专杀 V2.1 增加免疫黑白名单(10年7月15日更新)

askada 发表于 2010-8-18 10:53

cad病毒专杀 V2.1 增加免疫黑白名单(10年7月15日更新)

l转自-----明经通道
http://bbs.mjtd.com/dispbbs.asp?boardid=3&Id=81228

近单位CAD病毒泛滥.导致很多人天正等软件无法使用.
cad病毒变种很多,网上下载的CAD专杀工具有些也无法删除.
很多机器都中毒了.手动删除比较麻烦.于是自己动手写了一个CAD专杀工具.

版本 V1.1

[明经通道] cad病毒查杀免疫工具.zip [下载]        下载需付 0 个明经币
文件大小:386.44 KB，下载次数:86        
请使用WinRAR或WinZIP软件打开ZIP压缩文件。


版本V2.0增加黑白名单功能,可以自定义.

[明经通道] 筑原cad病毒专杀 v2.0.zip [下载]        下载需付 0 个明经币
文件大小:395.96 KB，下载次数:84        
请使用WinRAR或WinZIP软件打开ZIP压缩文件。


版本V2.1增加选项,可以免疫,增加帮助.

[明经通道] 筑原cad病毒专杀 v2.1.zip [下载]        下载需付 0 个明经币
文件大小:398.01 KB，下载次数:91        
请使用WinRAR或WinZIP软件打开ZIP压缩文件。

____________________________________________________________________________________

帮助文件

[明经通道] killcadvirus.zip [下载]        下载需付 0 个明经币
文件大小:212.76 KB，下载次数:50        
请使用WinRAR或WinZIP软件打开ZIP压缩文件。



showimg.asp?BoardID=3&fileid=52285
下载 文件大小:87.2 KB，下载次数:4


showimg.asp?BoardID=3&fileid=52221
下载 文件大小:62.51 KB，下载次数:1


showimg.asp?BoardID=3&fileid=52676
下载 文件大小:59.65 KB，下载次数:1


showimg.asp?BoardID=3&fileid=52222
下载 文件大小:203.84 KB，下载次数:1

处理病毒

1.acad.lsp

   很多以(defun s::startup (/ old_cmd 等开头的lsp病毒代码

   中毒后,打开文件自动建立acad.lsp文件等.

2.acaddoc.lsp

   以 (setq flagx t)   (setq bz "(setq flagx t)")开头lsp代码
   中毒后acad.mnl 及cad的support下的所有lsp文件某位都加上此段病毒代码.天正等软件无法启动.

3.acad.fas

    版本1 有病毒样本,完美处理.

    1.病毒在启动CAD时会弹出一个显示时间并写有“党是不会亏待你”的对话框   

    2.注册表增加

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwgrun   

    3.增加文件

   c:\WINDOWS\system32\copyfile.vbs

   c:\WINDOWS\system32\copy.sys(acad.fas副本)

      cad安装目录,很多子目录中有acad.fas和lcm.fas文件.

    版本2本人无病毒样本,网友提供解决方法.

    1.注册表增加

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys: "C:\WINDOWS\system32\copyfile.vbs"

    2.增加文件

   系统目录中增加 winsys.ini、winfas.ini、dwgrun.bat

   cad安装目录,很多子目录中有acad.sys、acad.fas、acad.ini

   版本3 有病毒样本,完美处理. 部分根据nonsmall的帖子处理.

   1.注册表增加

       HKCU\Software\FileKen

       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 写入BEI_ZHU 值 20030214

   2.拷贝文件

      C:\Program Files\AutoCAD 2004\Fonts\isohztxt.shx (acad.fas副本)

      C:\WINDOWS\DivX.fin

C:\WINDOWS\system32\SHFR.CMD

   3.发现acad.mnl

中间增加

         (setvar "cmdecho" 0)

         (command "slide")

         结尾增加

         (princ)(if (null stol) (load "lcm" ""))

         acad.pgp文件中间增加
         SLIDE,   SHFR,         5,

4.acad.vlx

   版本1 有病毒样本,完美处理.

   1. 打开图档会自动生成一个acad.vlx的文件

   2.CAD目录的acetauto.lspai_utils.lsp acad.mnl文件中间被添加

   (vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string

   '(97 99 97 100 46 118 108 120)))

   3.Help目录增加logo.gif (acad.vlx文件的副本)

   版本2本人无病毒样本,网友提供解决方法.

   1.破坏性的acad.vlx,打开CAD图纸,发现图纸上只有一句英文:MUST re_cover!以前画的图全没有了.

   2.运行re_cover就可以恢复被打乱隐藏的图纸

   3.全盘搜索acad.vlx删除


结束语 欢迎测试.有什么处理不了的病毒.发给我.我把病毒库加进去.

查看完整版本: cad病毒专杀 V2.1 增加免疫黑白名单(10年7月15日更新)