Chuyển đến nội dung
Diễn đàn CADViet
Đăng nhập để thực hiện theo  
hiep_hp

Virus acad.fas

Các bài được khuyến nghị

Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.

Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.

Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)

http://www.cadviet.com/upfiles/acad.fas.zip

Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Đây là virus "made in China" tên là ALS_CHENGWA.A. Mình cũng chưa biết cách "trị" nó nhưng bạn thử cho biến

ACADLSPASDOC=0 xem sao (chỉ để vô hiệu hóa file acad.fas thôi)

Nếu máy bạn có đặt System Restore thì bạn vào Start->Run->msconfig nhấn nút System Restore và chọn ngày

trước khi bạn bị nhiễm virus.

Chúc bạn thành công.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Trend Micro thì gọi nó là ALS_CHENGWA.A, Kaspersky gọi nó là Trojan.Acad.Qfas.a, BKAV gọi nó là W32.AcadDwgRun.Trojan.

 

Vì nó ở định dạng .fas nên chúng ta gặp khó khăn khi xác định nó đã làm gì với hệ thống. Thông qua một số tài liệu trên mạng thì convirus này khá phức tạp. Virus này làm những việc sau:

- Copy chính nó vào tất cả các thư mục trong Search path.

- Nó copy chính nó (acad.fas) và acad.sys vào thư mục Windows (C:\Windows) rồi đổi tên acad.fas thành winfas.ini và đổi tên acad.sys thành winsys.ini.

- Nó tạo ra dwgrun.bat trong thư mục hệ thống windows (C:\Windows\System32 hoặc C:\Windows\SysWOW64). File dwgrun.bat của nó thực thi việc làm ẩn file acad.sys và acad.fas rồi nhân bản chúng:

attrib -r +h "MyDriveLetter:\MyServerSupportPath\acad.sys"
copy "C:\WINDOWS\winsys.ini" "MyDriveLetter:\MyServerSupportPath\acad.sys"
attrib -r +h "MyDriveLetter:\MyServerSupportPath\acad.fas"
copy "C:\WINDOWS\winfas.ini" "MyDriveLetter:\MyServerSupportPath\acad.fas"

- Tạo một mục trong registry để windows tự động gọi file dwgrun.bat (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) mỗi khi windows khởi động.

- Nó disable một số lệnh thường dùng gây khó khăn cho người sử dụng.

 

Như vậy, việc diệt nó bằng tay cũng không phải là quá khó khăn. Bạn hãy thử làm như sau:

1. Turn off System restore của windows: phải chuột vào my computer rồi chọn properties, trong hộp thoại System Properties, chọn tab system restore. Click để chọn Turn off System Restore on all drives. Click OK. Nếu có hộp thoại nào hiện ra, nhấn Yes.

2. Vào start > run, Gõ msconfig, trong hộp thoại Startup, bỏ check tại ô dwgrun.bat. Nhấn ok.

3. Tìm tất cả các file acad.fas, acad.sys, winsys.ini, winfas.ini trong máy tính của bạn rồi xóa đi.

4. Vào start > run, gõ Regedit, chọn đến HKEY_CURRENT_USER\acadlcm rồi xóa mục bd.

 

Phần mềm BKAV cũng đã diệt được con này, các bạn xem thông tin ở đây

 

Chúng tôi đang nghiên cứu và sẽ cập nhật phần diệt nó vào CADViet Antivirus.

------------------

p/s: cá nhân tôi rất thắc mắc, không hiểu con virus này lây theo đường nào. Bởi vì về lý thuyết acad.fas không thể tự động thực thi khi không có chương trình khác gọi nó hoặc người dùng gọi nó. Khác với acad.lsp tự động thực thi khi người dùng mở file dwg, acad.fas không có 'đặc quyền' đó (danh sách các file tự động được thực thi). Mặc dù vậy trên thực tế thì AutoCAD vẫn gọi acad.fas khi nó nằm trên thư mục support.

Khi tôi thử load file acad.fas này vào chương trình ACAD 2009 thì nó báo lỗi, vì vậy chưa thử lây nhiễm lên chính máy mình được.

  • Vote tăng 2

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
p/s: cá nhân tôi rất thắc mắc, không hiểu con virus này lây theo đường nào. Bởi vì về lý thuyết acad.fas không thể tự động thực thi khi không có chương trình khác gọi nó hoặc người dùng gọi nó. Khác với acad.lsp tự động thực thi khi người dùng mở file dwg, acad.fas không có 'đặc quyền' đó (danh sách các file tự động được thực thi). Mặc dù vậy trên thực tế thì AutoCAD vẫn gọi acad.fas khi nó nằm trên thư mục support.

Khi tôi thử load file acad.fas này vào chương trình ACAD 2009 thì nó báo lỗi, vì vậy chưa thử lây nhiễm lên chính máy mình được.

Virus này dường như chỉ ảnh hưởng cad cũ thôi. Mình lại thấy có danh sách thứ tự load khác ở đó file acad.fas load trước acad.lsp. Mình nghĩ chắc do "thằng đệ" của bạn hiep_hp nhấp đúp vào file dwg mà trong thư mục đó có file acad.fas khi đó chương trình gọi nó là acad.exe sẽ bị nhiễm ngay.

Mình cũng thử cho máy nhiễm virus này, cuối cùng phải system restore mới hết. Các file dwgrun.bat gì đó mình tìm hoài ko thấy. Nếu bkav trị đc thì tốt lắm.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Cám ơn các bác, đặc biệt là bác Hoành đã quan tâm giúp đỡ. Thứ hai em sẽ làm theo hướng dẫn xem có được ko vì máy đó trên văn phòng. Máy nhà và L top thì ko bị sao cả.

À quên; to bác q288: Tất cả các máy đều xài CAD 2007.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.

Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.

Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)

http://www.cadviet.com/upfiles/acad.fas.zip

Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.

Máy bạn đã bi nhiễm virus acad.fas rồi. Mình cũng bị nhiễm, đọc đi đọc lại các diễn đàn người đưa ra cách này hoặc cách khác mình làm hoài ko được. Cuối cùng mình củ chuối vào seach file acad.fas trong C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 2008\R17.0\enu\Support rồi xoá béng nó đi .... may quá thế lại được. bạn thử làm như mình xem move là move, copy là copy, ko bị chuyển đổi, ức chế lắm.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Đúng là bị con này ức chế thật. Thêm vào đó máy của tôi còn dính cả cái bệnh không vào được các trang kaspersky, sysmantec mặc dù đã kiểm tra trong file hosts .Thằng Kis7 đang dùng không cho update nữa chứ. Tôi cũng là đủ mọi cách như trong diễn đàn nhưng không được. Cuối cùng hôm qua down thằng Avira AntiVir Pesonal về thì lại trị được cái bệnh này. Tuy nhiên nó thịt mất mấy files của mình mà không cứu lại được vì nó không add vào quarantine. Cái bệnh không vào được các trang kaspersky, sysmantec vẫn thế.

 

Rút kinh nghiệm của tôi các bác kiểm tra và xóa các files theo đường dẫn này nhé (tôi trích xuất từ report của Avira AntiVir Pesonal), ngoài ra chú ý xóa tất cả các files acad.fas và acad.lsp đi nhé:

 

C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\acadapp.lsp

[DETECTION] Contains recognition pattern of the ACAD/Bursted.B VBA virus

C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\lcm.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Drv\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Express\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Fonts\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Help\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Support\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\Program Files\AutoCAD 2007\Support\Color\acad.fas

[DETECTION] Is the TR/Acad.Qfas.A Trojan

C:\WINDOWS\system32\IEDFix.exe

[DETECTION] Is the TR/Spy.285184.1 Trojan

C:\WINDOWS\system32\kpzjnzc.dll

[WARNING] The file could not be opened!

 

Hy vọng thành công!

PS: Ai biết cái bệnh không vào được trang web của kaspersky và sysmantec giúp tôi với (tôi đã kiểm tra file hosts, search trong registry, reset firewall và search trên google mãi rùi mà vẫn pó tay. Hix)

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

cách diệt virut .fas

- vào computer : dùng công cụ tìm tất cả các file acad.fas trên máy tinh

- Xóa tất cả các file nói trên

- vào đường dẫn

C:\Users\HoanGiang\AppData\Roaming\Autodesk\AutoCAD 2008\R17.1\enu\Support (tôi đang dùng cad 2008)

- Tìm file Icm.fas xóa đi bảo đảm vào acad sẽ không còn hiện hộp thoại có các font chữ lỗi

  • Vote tăng 1

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
Đông tây y, thầy cúng kết hợp, phối hợp các cách, mà vẫnkhông được

Chắc nó mãn tính rồi! Ức sờ chế quá các bác!

Hề hề hề,

Bác cứ chơi kiểu củ chuối là Ghost một phát bác ạ. Ma quỷ mà nó còn chả sợ thì mua con laptop mới là xong. Hề hề hề.....

  • Vote tăng 1

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Máy nhà em dùng Autocad 2011 cũng ăn đòn con này. Hi vọng sau khi đi làm về rồi làm theo cách các bác chỉ bảo sẽ có thể giết nó. Ghost win xong lại nhiễm, nhanh thôi. Vậy nên phải sửa.

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

gỡ bỏ cad, tìm và xóa file acad.fas, cài lại thế là trở lại bình thường! cảm ơn mọi người!!!!

 

:wub:

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm

Tui cũng bị như thế này! ai có thể giúp được không!

Cảm ơn nhiều!

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.

Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.

Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)

http://www.cadviet.c...es/acad.fas.zip

Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.

Cám ơn các bác, đặc biệt là bác Hoành đã quan tâm giúp đỡ. Thứ hai em sẽ làm theo hướng dẫn xem có được ko vì máy đó trên văn phòng. Máy nhà và L top thì ko bị sao cả.

À quên; to bác q288: Tất cả các máy đều xài CAD 2007.

Đông tây y, thầy cúng kết hợp, phối hợp các cách, mà vẫnkhông được

Chắc nó mãn tính rồi! Ức sờ chế quá các bác!

Máy nhà em dùng Autocad 2011 cũng ăn đòn con này. Hi vọng sau khi đi làm về rồi làm theo cách các bác chỉ bảo sẽ có thể giết nó. Ghost win xong lại nhiễm, nhanh thôi. Vậy nên phải sửa.

gỡ bỏ cad, tìm và xóa file acad.fas, cài lại thế là trở lại bình thường! cảm ơn mọi người!!!!

 

:wub:

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm

Tui cũng bị như thế này! ai có thể giúp được không!

Cảm ơn nhiều!

 

Chào tất cả các bạn,

 

Mình tên là Hoàng. Mình là Tav4 bên Bkav Forum. Mình là kỹ thuật viên máy tính và chuyên gia diệt virus, cứu dữ liệu chuyên nghiệp. Mình vừa viết Tool AutoCad BF Master V4.2 để diệt loại virus AutoCad, Phiên bản nhẹ và diệt rất hiệu quả.

 

Có bạn bên Bkav Forum đã test và diệt thành công rùi. Các bạn thử dùng và đóng góp cho mình nhé. Mình đang rất cần các bạn gửi mẫu loại virus này, để mình update cơ sở dữ liệu giúp tool diệt hiệu quả hơn. Thanks.

 

[New] Diệt virus AutoCad Masseger hiệu quả với 1 Click BFM V4.2

 

Trưởng nhóm BF Master

Tav4 Bkav Forum

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Chào bạn Hoàng, mình vừa xem qua ABM của bạn.

Cảm ơn bạn vì 1 chương trình công phu, và mình có vài ý kiến như sau :

- Tool của bạn sử dụng các lệnh trong Dos (nằm trong file Bat) để thực hiện quá trình quét. Lợi thế diệt virus k cần Win, CAD là 1 ưu điểm, tuy nhiên nó cũng mang theo toàn bộ nhược điểm của DOS (có thể là vấn đề đơn nhiệm, quy tắc 8.3 file name, vấn đề tương thích với Unicode...)

- Chương trình của bạn chính xác là Kill worm, chứ k Dis-Infected :)

(Chỉ del file, del reg....). Các file bị nhiễm bị xóa đi có thể còn bao gồm các nội dung quan trọng trong nó (acad.lsp hoặc acaddoc.lsp...))

- Cơ chế del file *fas khá thô bạo (các file fas có thể có của người dùng - hoặc do virus tạo ra)

DEL "C:/*.fas*" >NUL 2>NUL

DEL "C:/*acadacad.lsp*" >NUL 2>NUL

DEL "D:/*.fas*" >NUL 2>NUL

DEL "D:/*acadacad.lsp*" >NUL 2>NUL

- Cơ chế xác định cad đã lây hay chưa dựa vào số file có mặt cũng chưa chính xác, vì sau khi CAD load vào Memory, bạn có thể tùy ý xóa file nguồn, nhưng thực chất là CAD đã "dính", và nếu virus thực hiện việc ghi code file trong event Close Drawing thì coi như phá sản => phải khuyến cáo chạy khi k bật CAD

- Virus có thể gây ra các thay đổi cho CAD, Bat file không thể can thiệp (sysvars, command...)

=> Chương trình phù hợp hơn với việc quét sau khi cài lại máy

 

- Vòng lặp

FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: ) DO IF EXIST %%a\
là chưa đủ ^^

- Kiểm tra ở thư mục tương đương Ver R17.0 là chưa đủ ^^

 

Mình cũng đã thử viết 1 chương trình bằng NET các công việc tìm file, xóa file, xóa reg tương tự như của bạn (tất nhiên việc tìm kiếm file sử dụng Đệ Quy nên nhanh hơn), nhưng cuối cùng cũng phát hiện ra rằng để Dis-Infected virus CAD và khắc phục hậu quả thì các ngôn ngữ trực tiếp trong CAD lại hiệu quả hơn cả

 

P/s : ngoài ra với WinXP3 mình thử nghiệm thì báo lỗi đủ số lần For No Disk rồi hiển thị kết quả Không tìm thấy virus ^^

  • Vote tăng 2

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

cách diệt virut .fas

- vào computer : dùng công cụ tìm tất cả các file acad.fas trên máy tinh

- Xóa tất cả các file nói trên

- vào đường dẫn

C:\Users\HoanGiang\AppData\Roaming\Autodesk\AutoCAD 2008\R17.1\enu\Support (tôi đang dùng cad 2008)

- Tìm file Icm.fas xóa đi bảo đảm vào acad sẽ không còn hiện hộp thoại có các font chữ lỗi

Thanks bác! Em nó đã vĩnh viễn ra đi

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

cac bác cứu em

file cad em bi con tro o vuong 2 gach chéo em làm đủ mọi cách mà ko dc ,nhung mơ máy khác thi ko sao mong bác giúp cho

nhanh jup em

ko chon dc đối tượng

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

cac bác cứu em

file cad em bi con tro o vuong 2 gach chéo em làm đủ mọi cách mà ko dc ,nhung mơ máy khác thi ko sao mong bác giúp cho

nhanh jup em

ko chon dc đối tượng

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Chào tất cả mọi người trên diễn đàn.

Mình đang sử dụng Autocad 2008, trước mình vẫn dùng bình thường nhưng thời gian gần đây sử dung thì mỗi lần mở file hay mở bản vẽ mới lên thì lại hiện lên 1 bảng thông báo Autocad message Cambodia gì đó rất khó chịu, mỗi lần mở lên là phải ok tới cả gần 20 lần. Liệu có phải cài lại Win không vậy? nếu cài lại win thì mình cài cad vào nó còn như vây nữa không? mình đã gỡ Cad ra và cài lại nhưng vẫn vậy. Rất mong mọi người chỉ giúp mình.

 

Xin cám ơn rất nhiều...!

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

mình cũng bị hiện tượng control hình vuông, dùng cái cadvirut của Cadviet nhưng ko ăn thua. Sau phải dùng cái autocadAnti thì được nhưng từ sau lúc load cái antivirut đấy thì file cad mở rất chậm, mỗi khi mở bản mới thì lại bị reset lại mấy cái phần trog bảng Options(như là control bị bé lại...) Hiện tượng này rất ức chế ..

Nếu bạn muốn giải quyết tạm thời thì dùng tạm cái antivirut ở dưới nhé.

Cao thủ nào bít cách trị dứt điểm thì hướng dẫn ae cái nhé.

http://www.mediafire.com/?47sy4x421lkn61a

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Có cách này hy vọng không bị nhiễm trở lại. Vào

C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 2008\R17.0\enu\Support

tìm file acad.fas vào xóa hết nội dung bên trong rồi save lại. đặt file vào tình trạng "read only".

 

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Tạo một tài khoản hoặc đăng nhập để nhận xét

Bạn cần phải là một thành viên để lại một bình luận

Tạo tài khoản

Đăng ký một tài khoản mới trong cộng đồng của chúng tôi. Điều đó dễ mà.

Đăng ký tài khoản mới

Đăng nhập

Bạn có sẵn sàng để tạo một tài khoản ? Đăng nhập tại đây.

Đăng nhập ngay

Đăng nhập để thực hiện theo  

×