[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[文件操作] 求帮忙写一个cad杀毒的bat(已解决)

本帖最后由 195135692 于 2014-8-16 09:38 编辑

背景: 本人只不会写批处理,用cad多年,目前公司有autocad和mechanical两个软件中毒,很烦人,下载了多个杀软,不能根本解决问题。

病毒传播方式有
1、分别在某些lsp和mnl文件中插入以下代码(在不同的文件中,可能只有以下的一行,可能有三行,可能重复的不连续的有很多行)
(load"acadapp.lsp")
(load"acadapq.lsp")
(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))
2、在系统安装盘下(是XP或win7的系统安装盘)下生成boot.dat文件(不是boot.ini)
3、在cad的安装路径文件夹help下生成logo.gif文件
4、在新开或打开过的cad文件目录下生成acad.vlx、acaddoc.lsp、acadapq.lsp、acad.lsp、acadapp.lsp、acadappp.lsp、acadiso.lsp文件,包括本机的文件和服务器上的文件(当然是有权限写的路径)
5、感染acad.fas、acaddoc.fas、lcm.fas文件(这个还不知道是怎么传染的,只知道删除了就会没事,不删病毒就会复发)
根椐本人几个月的试验,病毒只能新建和修改可读写的文件,对于只读文件还不能修改
6、病毒跟注册表没有关系,以上是我通过几个月的实验得出的

杀毒思路:找出病毒文件,删除恶意代码或文件,存为只读
1、找系统安装盘下有没有boot.dat文件,如有则清除文件内容,并存为只读。因为不是每个系统都在C盘,也可以全盘搜索boot.dat
2、找cad软件在cad的安装路径文件夹help下生成logo.gif文件,如有则清除文件内容,并存为只读。因为不是每次cad软件都在D盘,也可以全盘搜索logo.gif
3、搜索acad.vlx、acaddoc.lsp、acadapq.lsp、acad.lsp、acad.fas、acad.sys、acadapp.lsp、acadappp.lsp、acaddoc.fas、acadiso.lsp、lcm.fas、acadsmu.fas文件并删除,最好能包括服务器的路径,比如\\mainserver\工程部\资料临时放置区
4、本机全盘搜索*.lsp和*.mnl文件,并在其文件中查找以下三行代码之一,并删除,这三行代码不一定是同时存在的,同一行代码在文件中可能不只一次出现
(load"acadapp.lsp")
(load"acadapq.lsp")
(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))
如文件有出现以上代码的,删除代码后直接保存并存为只读

目前下载的专杀软件,可能没有做第1、2步,也没有把文件存为只读,因为杀完后很快的就中毒了。
请各位高手帮帮忙。

看样子,这是有很难的呀

TOP

1、找系统安装盘下有没有boot.dat文件,如有则清除文件内容,并存为只读。因为不是每个系统都在C盘,也可以全盘搜索boot.dat

慢慢来,先解决第一个问题:
  1. @echo off
  2. set filename=%systemdrive%\boot.dat
  3. if not exist %filename%\ (
  4.     if exist %filename% (
  5.         type nul > %filename%
  6.         attrib +r %filename%
  7.     )
  8. )
复制代码
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

本帖最后由 195135692 于 2014-6-30 22:52 编辑

boot.dat文件可以解决了
关于第二点的logo.gif,我并不清楚其病毒代码是放在logo.gif文件中的什么地方,手工的方法就是把其删除,然后新建一个空的logo.gif并存为只读放在原路径

TOP

回复 4# 195135692


    把你电脑上cad文件夹下的logo.gif的完整路径发出来,我要看看有什么特征。以免误操作其它logo.gif文件
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

本帖最后由 195135692 于 2014-6-30 23:48 编辑

谢谢管理员,这么晚了还操心
这是我电脑的logo.gif文件路径
D:\Program Files\Autodesk\AutoCAD 2013\Help\logo.gif

以我所见,一定有Autodesk和Help文件夹,AutoCAD 2013这是软件版本,有可能是Mechanical 2013或其它类型的cad软件

这个可以全盘搜索删除,以我这几年来看,还没有用到其它软件有logo.gif文件的,就算有,删了也没有什么影响

TOP

回复 6# 195135692


这里有几个全盘搜索的代码,你可以先自己试试:
http://bbs.bathome.net/thread-3465-1-1.html
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

谢谢,全盘搜索文件删除可以了,服务器路径的不知道怎么写

TOP

回复 8# 195135692


是第三点吗?
你说的服务器路径是什么意思?
是不是在服务器上有个共享文件夹,在你自己的电脑上映射网络驱动器来访问它?
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

因为有局域网,文件是放在服务器上的,没用过网络驱动器访问,直接通过路径访问,比如\\mainserver\工程部\资料临时放置区

TOP

跳过服务器路径这部分吧,求帮忙第四点怎么写

TOP

  1. REM 删除指定字符串
  2. sed -i "s/(load\"acadap[pq].lsp\")//g; s/(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))//g" 1.lsp
  3. REM 添加只读属性
  4. attrib +r 1.lsp
复制代码

TOP

谢谢
但提示sed不是内部或外部命令,也不是可运行的程序
win 7 64位系统
这个是怎么处理的

TOP

还不能解决提示sed不是内部或外部命令,也不是可运行的程序
求高手帮忙

TOP

回复 14# 195135692


    下载一个sed.exe

TOP

返回列表