求帮忙写一个cad杀毒的bat(已解决)

195135692 · 发表于 2014-6-28 10:11:35

本帖最后由 195135692 于 2014-8-16 09:38 编辑

背景：本人只不会写批处理，用cad多年，目前公司有autocad和mechanical两个软件中毒，很烦人，下载了多个杀软，不能根本解决问题。

病毒传播方式有
1、分别在某些lsp和mnl文件中插入以下代码(在不同的文件中，可能只有以下的一行，可能有三行，可能重复的不连续的有很多行)
（load"acadapp.lsp")
（load"acadapq.lsp")
(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))
2、在系统安装盘下(是XP或win7的系统安装盘)下生成boot.dat文件（不是boot.ini）
3、在cad的安装路径文件夹help下生成logo.gif文件
4、在新开或打开过的cad文件目录下生成acad.vlx、acaddoc.lsp、acadapq.lsp、acad.lsp、acadapp.lsp、acadappp.lsp、acadiso.lsp文件，包括本机的文件和服务器上的文件(当然是有权限写的路径)
5、感染acad.fas、acaddoc.fas、lcm.fas文件(这个还不知道是怎么传染的，只知道删除了就会没事，不删病毒就会复发）
根椐本人几个月的试验，病毒只能新建和修改可读写的文件，对于只读文件还不能修改
6、病毒跟注册表没有关系，以上是我通过几个月的实验得出的

杀毒思路:找出病毒文件，删除恶意代码或文件，存为只读
1、找系统安装盘下有没有boot.dat文件，如有则清除文件内容，并存为只读。因为不是每个系统都在C盘，也可以全盘搜索boot.dat
2、找cad软件在cad的安装路径文件夹help下生成logo.gif文件，如有则清除文件内容，并存为只读。因为不是每次cad软件都在D盘，也可以全盘搜索logo.gif
3、搜索acad.vlx、acaddoc.lsp、acadapq.lsp、acad.lsp、acad.fas、acad.sys、acadapp.lsp、acadappp.lsp、acaddoc.fas、acadiso.lsp、lcm.fas、acadsmu.fas文件并删除，最好能包括服务器的路径，比如\\mainserver\工程部\资料临时放置区
4、本机全盘搜索*.lsp和*.mnl文件，并在其文件中查找以下三行代码之一，并删除，这三行代码不一定是同时存在的，同一行代码在文件中可能不只一次出现
（load"acadapp.lsp")
（load"acadapq.lsp")
(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))
如文件有出现以上代码的，删除代码后直接保存并存为只读

目前下载的专杀软件，可能没有做第1、2步，也没有把文件存为只读，因为杀完后很快的就中毒了。
请各位高手帮帮忙。

195135692 · 发表于 2014-6-30 08:27:10

看样子，这是有很难的呀

Batcher · 发表于 2014-6-30 21:46:40

1、找系统安装盘下有没有boot.dat文件，如有则清除文件内容，并存为只读。因为不是每个系统都在C盘，也可以全盘搜索boot.dat

慢慢来，先解决第一个问题：

@echo off
set filename=%systemdrive%\boot.dat
if not exist %filename%\ (
if exist %filename% (
type nul > %filename%
attrib +r %filename%
)
)

复制代码

195135692 · 发表于 2014-6-30 22:48:54

本帖最后由 195135692 于 2014-6-30 22:52 编辑

boot.dat文件可以解决了
关于第二点的logo.gif，我并不清楚其病毒代码是放在logo.gif文件中的什么地方，手工的方法就是把其删除，然后新建一个空的logo.gif并存为只读放在原路径

Batcher · 发表于 2014-6-30 23:26:36

回复 4# 195135692

把你电脑上cad文件夹下的logo.gif的完整路径发出来，我要看看有什么特征。以免误操作其它logo.gif文件

195135692 · 发表于 2014-6-30 23:39:35

本帖最后由 195135692 于 2014-6-30 23:48 编辑

谢谢管理员，这么晚了还操心
这是我电脑的logo.gif文件路径
D:\Program Files\Autodesk\AutoCAD 2013\Help\logo.gif

以我所见，一定有Autodesk和Help文件夹，AutoCAD 2013这是软件版本，有可能是Mechanical 2013或其它类型的cad软件

这个可以全盘搜索删除，以我这几年来看，还没有用到其它软件有logo.gif文件的，就算有，删了也没有什么影响

Batcher · 发表于 2014-7-1 13:18:46

回复 6# 195135692

这里有几个全盘搜索的代码，你可以先自己试试：
http://bbs.bathome.net/thread-3465-1-1.html

195135692 · 发表于 2014-7-1 15:04:01

谢谢，全盘搜索文件删除可以了，服务器路径的不知道怎么写

Batcher · 发表于 2014-7-1 17:55:47

回复 8# 195135692

是第三点吗？
你说的服务器路径是什么意思？
是不是在服务器上有个共享文件夹，在你自己的电脑上映射网络驱动器来访问它？

195135692 · 发表于 2014-7-1 22:23:56

因为有局域网，文件是放在服务器上的，没用过网络驱动器访问，直接通过路径访问，比如\\mainserver\工程部\资料临时放置区

195135692 · 发表于 2014-7-4 23:30:31

跳过服务器路径这部分吧，求帮忙第四点怎么写

DAIC · 发表于 2014-7-5 12:43:38

REM 删除指定字符串
sed -i "s/(load"acadap[pq].lsp")//g; s/(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))//g" 1.lsp
REM 添加只读属性
attrib +r 1.lsp

复制代码

195135692 · 发表于 2014-7-5 14:42:19

谢谢
但提示sed不是内部或外部命令，也不是可运行的程序
win 7 64位系统
这个是怎么处理的

195135692 · 发表于 2014-7-9 09:57:49

还不能解决提示sed不是内部或外部命令，也不是可运行的程序
求高手帮忙

DAIC · 发表于 2014-7-9 10:43:50

回复 14# 195135692

下载一个sed.exe

		自动登录	找回密码
密码			注册

[新手上路]批处理新手入门导读	[视频教程]批处理基础视频教程	[视频教程]VBS基础视频教程	[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动	[批处理精品]CMD命令50条不能说的秘密	[在线下载]第三方命令行工具	[在线帮助]VBScript / JScript 在线参考

[文件操作] 求帮忙写一个cad杀毒的bat(已解决)