前些日子公司电脑中了ACAD.FAS文件病毒,有时图档文件名就被无故修改了,导致图档找不到,用包含文字搜索才能找到。
于是想将ACAD.FAS文件全部搜出删除。
说干就干,周末把所有电脑打开并断开与服务器的连接。
将服务器进行了搜索(包含隐藏文件),哇噻一千多个,全删了。
然后再所有客户端电脑上也进行了删除,都删光了这下因该没问题了吧,于是再搜索了一遍,已经找不到了,嘿嘿搞定,唉!事情还没结束呢,打开cad后再搜索了一次电脑,汗!尽然有跑出来一个,于是再删了,再搜没了,关了cad搜也没了。
心想这下应该可以了吧,再打开cad后再搜索了一次电脑,晕!在cad安装目录下又出现一个。
看来不能蛮干了,静下来想想ACAD.FAS只有依靠cad才能运行并不会感染其他文件,只是靠自身复制到图档目录下和cad支持路径下进行传播。
删了为什么还会无中生有呢,有两种可能有个程式会自动编译出acad.fas。
2、有个与acad.fas文件同内容但不同名称的文档,在acad.fas被删除后被拷至cad支持目录并更名为acad.fas。
第一种方式从acad.fas的传播方法及运行机制来看应该是较难实现的,因为中毒前一般都是客户给的图档下带了一个ACAD.FAS文件,AUTOCAD打开图档后CAD自动加载ACAD.FAS,才开始中毒的,而以cad的功能是不能生成可执行文件的。
但用cad开发的lisp是可以有读写文件和注册表的,ACAD.FAS就是lisp开发后编译的,因此完全有能力生成一些简单的命令脚本文件及修改注册表,使CAD自动加载ACAD.FAS后将其自身复制一份并更名后藏在某处,并读写生成一个命令脚本文件具有拷贝、更名的功能,然后修改注册表,使系统运行cad后或开机时运行该命令脚本。
根据以上分析得出解决方法两种:删除ACAD.FAS时也同时删除与其同内容的其他文件。
具体做法是搜索与ACAD.FAS具有同样日期和大小的文件然后删除,当然在删除前要确认以下是否为FAS文件(用写字板打开里面有一行文字为“FAS4-FILE ; Do not change it!“) 2、删除ACAD.FAS时也同时删除与其同内容的命令脚本文件,当然这个文件你并不知道他的文件名是什么,具体方法就不说了,这次是一个叫SHRF.CMD的,是个隐藏文件,在C:WINDOWSSYSTEM32目录下。
以上两种方法都可也,之后再也找不到ACAD.FAS了,一切恢复正常。