ALS/Pasdoc.A virüsü (Acaddoc.lsp enfeksiyonu) Çözüm Dosyası
ALS/Pasdoc.A script virüsü (Acaddoc.lsp enfeksiyonu) Çözüm Dosyası
ProhibiT - 23.08.2011 09:14

ALS/Pasdoc.A virüsü (Acaddoc.lsp enfeksiyonu)


Çözüm Dosyası

Aşağıdaki dosyayı indirip AutoCAD içinde çalıştırarak virüslü dosyaların temizlenmesini sağlayabilirsiniz.

ALS/Pasdoc.A tam anlamıyla bir virüs değil. Olsa olsa script virüs diye adlandırılabilir. Çalışma mantığı çok basit.

Antivirüs programları, yalnızca enfekte olmuş dosyayı bulabiliyor, temizleyemiyorlar, Silmeyi teklif ediyorlar. Bunu kabul edip silmeye karar verirseniz, AutoCAD'in kullandığı pek çok dosyı da silmiş oluyorsunuz.

Bu durumda AutoCAD'i kaldırıp yeniden kurmak asla bir çözüm değil. Önce bu ALS/Pasdoc.a virüsünün nasıl çalıştığını anlamak lazım. Çok basit bir mantıkla çalışıyor. İlgi duyan, merak eden arkadaşlara daha detaylı anlatabilirim.

Arkadaşlar, bu virüsle epeyce boğuştum, sanal ortamda bu konuyla ilgili yazılan hemen her şeyi okudum. Çözüm olarak gösterilenlerin inanılmaz saçma, cahilce olduklarını gördüm. Burada da yansımaları var bunun. Virüsün çalışma mantığını çözdükten sonra Manuel olarak temizlemeyi başardım. Bu temizlik işi mantık olarak çok basit, ama, epeyce uğraşmak, emek vermek gerekiyor.

Bu konudan muzdarip çok insan olduğunu görünce de, tarama ve temizleme işlemini yapan bir program yazdım. Hiç bir AutoCAD dosyasına zarar vermeden, güvenli bir şekilde temizlik işlemini yapıyor.

Her şeyden önce, acaddoc.lsp ve genel ismiyle acadxxxdoc.lsp dosyası AutoCAD'in kullandığı legal bir dosyadır. acad.lsp veya "Application Load" da "Startup Suite" de yer alan dosyalar nasıl AutoCAD'in her açılışında yükleniyorlarsa, acaddoc.lsp ve bu aileden dosyalarda ilgili klasörde yer alan bir drawing dosyası açıldığında otomatik olarak yüklenirler. Birinci gurup programla tetiklenir, ikinci gurup çizim dosyasıyla.
Bilgisayarda bulunan bütün acaddoc.lsp dosyaları silindiğinde, bazı üçüncü parti (thirdy party) yazılımların oluşturup kullandıkları masum acaddoc.lsp dosyalarının da silinmesine sebep olabilirler. Eğer varsa, AutoCAD altında çalışan bazı application lar bu durumda çalışamaz hale gelebilirler.

**** Demek ki; bütün acaddoc.lsp dosyaları değil, enfekte olmuş acaddoc.lsp dosyaları silinmelidir. Daha doğru deyimle enfekte olmuş acaddoc.lsp dosyaları silinmemeli temizlenmelidir. acaddoc.lsp dosyasında enfeksiyon dışında bir içerik bulunmuyorsa, o zaman tamamen silinmelidir...

Şu meşhur acaddoc.lsp dosyasından bir bölüm;
Kod:

(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "acaddoc.lsp")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))


(findfile "acad.mnl") komutuyla acad.mnl dosyasını buluyor. AutoCAD her açıldığında mutlaka bu dosyayı yükler.

(vl-filename-directory acadmnl) komutuyla bu dosyanın bulunduğu klasörü buluyor. Sözkonusu klasör
Autocad default path'te değildir. örneğin bende "C:UsersAdministratorAppDataRoamingAutodeskAutoCAD 2010R18.0enuSupport" diye bir yerde.

(vl-directory-files acadmnlpath "*.mnl") komutuyla o klasörde bulunan bütün *.mnl dosyalarını bulup listeliyor.

Sonuç olarak;
* ALS/Pasdoc.a virüsü bir tek AutoCADSupport klasöründeki *.lsp dosyalarına eklemiyor kendini. acad.mnl dosyasının bulunduğu klasördeki bütün *.mnl dosyalarına da ekliyor.
* Eğer AutoCAD'de kişiselleştirilmiş menüler ve bu menulerin kullandığı AutoLisp rutinleri kullanıyorsanız, acad.mnl dışında başka -.mnl dosyaları da oluşturmuş olursunuz. Pek çok kullanıcı menuleri kişiselleştirir.
* AutoCAD uninstall edildiğinde "AutoCAD default path" dışında kalan ve bu *.mnl dosyalarının bulunduğu klasörü kaldırılmaz. Yeniden kurduğunuzda acad.mnl gibi AutoCAD'in kendi dosyaları mevcudun üzerine yazılarak yenilenir. Fakat kullanıcının oluşturduğu özelleştirme dosyaları eski halleriyle kalırlar.

**** Demek ki; AutoCAD'i yeniden kurmak aslında çözüm değil. Üstelik özelleştirilmiş, ve oturmuş bir AutoCAD konfigürasyonu kullanmıyor olsanız bile, AutoCAD'i unisntall edip yeniden install etmek, bütün ayarlarını yeniden yapmak, ciddi zaman ve emek istiyor. Sizin probleminizin çözülmüş olması şanslı olduğunuzu gösterir

Gelelim Support klasöründeki Autolisp dosyalarının (*.lsp) "readonly" yapılmasına;
Sözkonusu virüs, kendini (open target "r") komutuyla "read" modunda, diğer lisp ve MenuLisp Dosyalarını da, (open target "a") "append" modunda açıyor. AutoLisp programı içinden bu modala açılan dosyaya kendini ekleyebilir, işletim sistemi (windows) dan "readonly" yapılması bunu engelleyemez.

**** Demek ki; Support klasöründe bulunan *.lsp dosyalarının tümünü readonly yapmanın bir faydası yok.

Konuyla ilgisiz görünebilir ama bir detay daha;
Bu virüsü yazan bir acemi,

(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))

Komutlarıyla önce o anda aktif olan drawing dosyasının adını buluyor. Çünki acaddoc.lsp dosyası başlangıçta mutlaka ve mutlaka aktif drawing klasöründen yüklenir ve yayılır. Sonra da ikinci satırdaki komutla o dosyanın klasörünü buluyor. Eğer Herhangi bir çizimin üzerine çift tıklayarak değil de, AutoCAD'i doğrudan boş dosya ile açtıysanız "dwgname" değişkeni tanımsız (nil) dir. Bunu da (if dwgpath... şeklinde bir komutla ayrıca kontrol etmek zorunda kalıyor. Biraz tecrübeli biri olsa doğrudan doğruya (setq dwgpath (getvar "dwgprefix")) gibi bir komutla o yolu bulur, AutoCAD nasıl açılırsa açılsın, dwgpath tanımsız (nil) duruma düşmezdi.

Eğer gözünüz korkmadıysa, ve bir yere bu acaddoc.lsp dosyasını kopyaladıysanız;
o dosyanın son satırına bir sağ parantez ")" ekleyerek açık kalan parantezi kapatıverin ) virüs daha ölümcül hale gelecek, çalışırken varlığını farketmeniz adeta imkansız hale gelecektir. Bu durumda AutoCAD öyle "esc" tuşuya falan kurtulamayacak, uzuuun bir süre bekledikten sonra, tamamen cevapsız (not responding) duruma düşecektir...
-------------------------------------------------------------------------------------------------------------------

- Dördüncüsü; Buyrun Source Code
;;; Bu Program ALS.Pasdoc.a virüsünün yarattığı acaddoc.lsp dosyalarının
;;; ve bulaştığı dosyaların silinmesi veya temizlenmesi işini yapar...
(defun c:acddcclr ()
(setvar "cmdecho" 0)
(graphscr)
(grclear)
(cpr1)
(textpage)
(setq mnlpath (vl-filename-directory (findfile "acad.mnl"))
mnlflist (vl-directory-files mnlpath "*.mnl")
mnlsay (length mnlflist)
mnflist (vl-directory-files mnlpath "*._mn")
mnsay (length mnflist)
support (strcat (vl-filename-directory (findfile "acad.exe"))
"support"
)
lspflist (vl-directory-files support "*.lsp")
lspsay (length lspflist)
lsflist (vl-directory-files support "*._ls")
lssay (length lsflist)
cizimyolu (getvar "dwgprefix")
slnnvrs 0
tmzlnnvrs 0
)
(if (> mnsay 0)
(setq mnlflist (append mnlflist mnflist)
mnlsay (+ mnlsay mnsay)
)
(princ (strcat "n"
mnlpath
" Klasöründe *._mn türü dosya bulunamadı..."
)
)
)
(if (> lssay 0)
(setq lspflist (append lspflist lsflist)
lspsay (+ lspsay lssay)
)
(princ (strcat "n"
support
" Klasöründe *._ls türü dosya bulunamadı..."
)
)
)
;;; cizimyolu klasörünün taranıp virüs içeren acaddoc.lsp dosyasının
;;; temizlenmesi ya da silinmesi
(if (setq risklidosya (findfile (strcat cizimyolu "acaddoc.lsp")))
(progn (setq gecicidosya (strcat cizimyolu "gecicidosya.gec"))
(siltemizle)
(if (= enfekte 1)
(setq slnnvrs (1+ slnnvrs)
tmzlnnvrs (1- tmzlnnvrs)
)
)
(if (setq bosdosya (strcat cizimyolu "acaddoc.lsp"))
(boskontrol)
)
)
(princ
(strcat
"n**** ""
cizimyolu
"" Aktif Drawing Klasöründe "acaddoc.lsp" dosyası bulunamadı."
)
)
)
;;; Support klasörünün taranıp virüs içeren acaddoc.lsp dosyasının
;;; temizlenmesi ya da silinmesi
(if (setq risklidosya (findfile (strcat support "acaddoc.lsp")))
(progn (setq gecicidosya (strcat support "gecicidosya.gec"))
(siltemizle)
(if (= enfekte 1)
(setq slnnvrs (1+ slnnvrs)
tmzlnnvrs (1- tmzlnnvrs)
)
)
(if (setq bosdosya (strcat support "acaddoc.lsp"))
(boskontrol)
)
)
(princ
(strcat "n**** ""
support
"" klasöründe "acaddoc.lsp" dosyası bulunamadı."
)
)
)
;;; acad.mnl dosyasının bulunduğu klasörde yer alan *.mnl ve *._mn
;;; dosyalarının taranarak virüs içeriğinin temizlenemsi
(setq mnlsyc 0)
(while (< mnlsyc mnlsay)
(if (setq risklidosya (strcat mnlpath "" (nth mnlsyc mnlflist)))
(progn
(setq gecicidosya (strcat mnlpath "gecicidosya.gec"))
(siltemizle)
(if (setq bosdosya (strcat mnlpath "" (nth mnlsyc mnlflist)))
(boskontrol)
)
)
)
(setq mnlsyc (1+ mnlsyc))
)
;;; AutoCAD Support klasöründe yer alan *.lsp ve *._ls dosyalarının
;;; taranarak virüs içeriğinin temizlenmesi
(setq lspsyc 0)
(while (< lspsyc lspsay)
(if (setq risklidosya (strcat support "" (nth lspsyc lspflist)))
(if (/= risklidosya (strcat support "acaddoc.lsp"))
(progn
(setq gecicidosya (strcat support "gecicidosya.gec"))
(siltemizle)
(if
(setq bosdosya (strcat support "" (nth lspsyc lspflist)))
(boskontrol)
)
)
)
)
(setq lspsyc (1+ lspsyc))
)
;;; İlgili Klasörlerde kalmış olabilecek geçici dosyaların silinmesi
(close girkut)
(close cikkut)
(if (setq sil (findfile (strcat mnlpath "gecicidosya.gec")))
(vl-file-delete sil)
)
(if (setq sil (findfile (strcat support "gecicidosya.gec")))
(vl-file-delete sil)
)
(if (setq sil (findfile (strcat cizimyolu "gecicidosya.gec")))
(vl-file-delete sil)
)
;;; Tarama sonucunda silinen ya da temzilenen dosyaların raporlanarak ekranda yazılması
(princ
"n--------------------------------------------------------------------------------"
)
(princ
"n**** AutoCAD Library Path ve şu anda aktif olan Drawing Path klasörü tarandı."
)
(if (= slnnvrs 0)
(princ
"n "ALS.Pasdoc.a" virüsü içeren "acaddoc.lsp" dosyası bulunamadı."
)
(princ
(strcat
"n "
(itoa slnnvrs)
" tane "acaddoc.lsp" dosyası "ALS.Pasdoc.a" virüsü içerdiği için silindi."
)
)
)
(if (= tmzlnnvrs 0)
(princ
(strcat
"n**** "
(itoa lspsay)
" tane "AutoLisp" dosyası ve "
(itoa mnlsay)
" tane "AcadMenuLisp" dosyası tarandı. n "ALS.Pasdoc.a" virüsüne rastlanmadı."
)
)
(princ
(strcat "n "
(itoa tmzlnnvrs)
" tane dosyadan "ALS.Pasdoc.a" virüsü temizlendi."
)
)
)
(princ
"n--------------------------------------------------------------------------------"
)
(princ
"n| "ALS.Pasdoc.a" virüsüne karşı güvelik önlemlerini tamamlamak için, |"
)
(princ
"n| Bilgisayarınızdaki Sabit Diskleri tarayarak, bütün "acaddoc.lsp" |"
)
(princ
"n| dosyalarını bulup içeriğini kontrol etmelisiniz. "acaddoc.lsp" dosyası |"
)
(princ
"n| AutoCAD'in legal bir dosya tipidir. Kullanıyor olabileceğiniz, AutoCAD |"
)
(princ
"n| altında çalışan bazı programlar "acaddoc.lsp" dosyası oluşturmuş olabilir |"
)
(princ
"n| Her "acaddoc.lsp" dosyası virüslü değildir. Virüslü dosyayı tanıyacak |"
)
(princ
"n| bilgiye sahip değilseniz. Bilgisayarınızda Drawing Dosyası bulunan her |"
)
(princ
"n| klasördeki bir Drawing dosyasını, üzerine çift tıklayarak peşpeşe tek bir |"
)
(princ
"n| AutoCAD oturumunda açmanız ve son açtığınız dosyadan başlayıp bu programı |"
)
(princ
"n| çalıştırarak, her defasında tarama ve temizleme işlemi bittikten sonra o |"
)
(princ
"n| anda açık olan drawing dosyasını (AutoCAD'i değil, dosyayı) kapatarak, her |"
)
(princ
"n| klasördeki bir tek Drawing dosyası için bu işlemi tekrarlamalısınız. |"
)
(princ
"n| Bundan sora da, Taşınabilir Aygıtlardan (Flash Disk, Harici Disk, CD v.b |"
)
(princ
"n| ortamlardan) mümkün olduğunca doğrudan doğruya Drawing dosyası açmayınız. |"
)
(princ
"n| Gerekiyorsa, Hard Disk inize kopyalayıp (beraberinde "acaddoc.lsp" dosyası |"
)
(princ
"n| olmamalı, varsa onu da kopyalamayın sakın!) Drawing dosyalarını öyle açmanız |"
)
(princ
"n| tavsiye edilir. -.zip -.rar türünden arşiv dosyalarının içinde "acaddoc.lsp" |"
)
(princ
"n| dosyası olup olmadığına bakmadan Hard Diskinize kopyalamayınız, ya da |"
)
(princ
"n| arşivlerden dosya çıkarmayınız. Drawing dosyalarının bulunduğu klasörlerden |"
)
(princ
"n| birinde virüs içeren "acaddoc.lsp" dosyası varsa o dosyayı incelemeden ilgili|"
)
(princ
"n| klasördeki herhangi bir drawing dosyasını AutoCAD ile açmayınız... Buna |"
)
(princ
"n| rağmen bilgisayarınızda AutoCAD çalışırken virüs belirtisi gözlerseniz Bu |"
)
(princ
"n| Programı tekrar çalıştırabilirsiniz... Kolay Gelsin |"
)
(princ
"n--------------------------------------------------------------------------------"
)
(redraw)
(princ)
)
;;;Riskli dosyaların silinmesi ya da temizlenmesi
(defun siltemizle ()
(if girkut
(close girkut)
)
(if cikkut
(close cikkut)
)
(setq enfekte 0
girkut (open risklidosya "r")
cikkut (open gecicidosya "w")
satir (read-line girkut)
)
(while satir
(if (= satir "(setq flagx t)")
(progn
(princ
(strcat
"n**** "
risklidosya
" dosyasında "ALS.Pasdoc.a" virüsü bulundu ve temizlendi..."
)
)
(close girkut)
(close cikkut)
(vl-file-delete risklidosya)
(vl-file-rename gecicidosya risklidosya)
(setq tmzlnnvrs (1+ tmzlnnvrs)
enfekte 1
satir nil
)
)
(progn (write-line satir cikkut)
(setq satir (read-line girkut))
)
)
)
(if (= enfekte 0)
(progn (vl-file-delete gecicidosya)
(princ (strcat "n**** ""
risklidosya
"" dosyasında virüse rastlanmadı."
)
)
)
)
)
(defun boskontrol ()
(setq girkut (open bosdosya "r")
boskutuk "bos"
satir (read-line girkut)
)
(while satir
(if (= satir "")
(setq satir (read-line girkut))
(setq boskutuk "dolu"
satir nil
)
)
)
(close girkut)
(if (= boskutuk "bos")
(vl-file-delete bosdosya)
)
)
(defun cpr1 ()
(grtext -1 "Prepared by M.S.GüVERCiN for Surur Mimarlık")
(prin1)
)
(defun cpr2 () (grtext) (prin1))
(textpage)
(princ
"n--------------------------------------------------------------------------------"
)
(princ
"n| Bu program © "ALS.Pasdoc.a" virüsünün taranıp temizlenmesi ve silinmesi için |"
)
(princ
"n| M.Sahin Güvercin tarafından Surur Mimarlık için hazırlandı 03/09/2009-Ankara |"
)
(princ
"n| sahinguvercin@hotmail.com |"
)
(princ
"n| ** Taramayı başlatmak için AutoCAD komut satırından "AcdDcCLr" giriniz. ** |"
)
(princ
"n--------------------------------------------------------------------------------"
)

- Beşincisi; Buyrun indirme (download) linki
Özellikle -.fas formatında yaptım, -.lsp olursa virüs normal olarak bu dosyayı da etkileyecektir.

Herkese Kolay Gelsin

Yazar: ProhibiT
İçerik: cizimokulu.com
Tag: ALS/Pasdoc.A virüsü, Acaddoc.lsp, pasdoc a, autocad virüsü, çözüm

Download sayısı: 610, Boyut: 0.04mb
Yorumlar :
mavimim77   11.11.2013 10:59 #15198  

Allah sizden razi olsun ...cok sukur kurtuldum

hemraz07   05.05.2013 21:18 #15086  

3 saattir uğraşıyorum hala çözemedim herserferinde atocad kitleniyorr. imleç çalışmıyor komutlartda çalışmıyor.
control alt delete tuşu ile kapatıyorum yardımcı olacak varmı??

agent_xwx   04.05.2013 09:33 #15082  

Allah razı olsun yapandan ve yayandan. Arkadaşlar çıkan dosyayı autocad açıkken siyah ekranın içerisine sürükleyin. Command penceresi açılıyor oraya "AcdDcCLr" yazın entere basın. Virüsten eser kalmıyor.

edalim_5590   18.07.2012 11:36 #14706  

Allah razı olsun yapandan emeğine eline koluna sağlık valla kafayı yiyecektim en sonunda saolasınn üstad :) herşey tıkırında sayende :D eksik olmayın diyorum :D

farhots   25.05.2012 07:15 #14649  

Hepsi iyi güzelde nasıl çalıştıracağımızı dosyayı nereye kopayalayacağımızı yazmamışsınız.

cemilc76   17.12.2011 13:26 #14416  

tekkürler emeğine sağlık kurtuldum

safakdur   09.09.2011 09:38 #14255  

teşekkürler emeğine sağlık

hgkyrl   24.08.2011 13:35 #14234  

Merhaba Üstad
elinize emeğinize sağlık,
bizim sistemdeki sorunda işe yaramadı malesef. Sanırım bizdeki başka bir virütik yazılım.
Yinede şansımı bir denemeliyim demiştim ...
Kolay gelsin

Copyright © 2004-2022 SQL: 0.044 saniye - Sorgu: 33 - Ortalama: 0.00133 saniye