| |
| Gut zu wissen: Hilfreiche Tipps und Tricks aus der Praxis prägnant, und auf den Punkt gebracht für Autodesk Produkte |
| |
| Effiziente Reinraumlösungen effizienter entwickeln - Ortner Reinraumtechnik GmbH, ein Anwenderbericht
|
Autor
|
Thema: ACAD.FAS-Virus ? (5952 mal gelesen)
|
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 07. Okt. 2010 13:37 <-- editieren / zitieren --> Unities abgeben:
Hallo, ich fürchte, wir haben uns einen AutoCAD-Virus eingefangen. In den Zeichnungsverzeichnissen tauchen von selbst Dateien namens acad.fas auf und AutoCAD läuft auf verschiedenen Rechnern ziemlich instabil. Ich habe mal ein bißchen gegoogelt, aber nichts befriedigendes gefunden. AutoDesk selbst verweist immer wieder auf den acad.vlx-Virus. Nach Anleitung auf der AutoDesk-Webseite (http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=123112&id=13717811&linkID=9240617 ) habe ich die acad2010.lsp mit einem Programmcode aufgehübscht. Allerdings habe ich keine Ahnung von LISP, deshalb meine erste Frage: kann ich die Zeile (setq lspfiles '("acad.vlx" "logo.gif")) straflos ummodeln in (setq lspfiles '("acad.vlx" "logo.gif" "acad.fas")) ? Und gleich die nächste Frage: hat jemand noch eine Idee, wie man der Sache Herr werden kann? AutoDesk verweist zwar noch auf TrendMirco (http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=ALS_CHENGWA.A ), aber diesen kostenlosen Programmen traue ich nicht so recht über den Weg. Vielen Dank für jegliche Hilfe! Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Geos Mitglied Vermessungstechniker i.R.
Beiträge: 1017 Registriert: 21.09.2001 ACAD Map 2010, Win 7 Pro eigene Lisp's<P>HW: Core i7 860, 2.8 GHz 3.3 GB, NVIDIA GeForce GTS 250
|
erstellt am: 07. Okt. 2010 15:19 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
CADchup Ehrenmitglied V.I.P. h.c.
Beiträge: 3336 Registriert: 14.03.2001 Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz
|
erstellt am: 07. Okt. 2010 15:21 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 07. Okt. 2010 15:29 <-- editieren / zitieren --> Unities abgeben:
Die Beiträge zum VLX-Virus habe ich schon selbst gefunden. Aber wenn ich Euch richtig verstehe, gibt es da eh keinen Unterschied bis auf die Dateiendung. Und was ist mit der Ergänzung der LISP-Zeile (siehe fetter Text)? Kann ich das so durchführen oder funktioniert das nicht? (In Sachen LISP guck ich rein wie eine Kuh ins Uhrwerk.) (defun cleanvirus( / lspfiles lspfile x) (setq lspfiles '("acad.vlx" "logo.gif" "acad.fas")) (foreach lspfile lspfiles (while (setq x (findfile lspfile)) (progn (vl-file-delete x) (princ "\nDeleted file ") (princ x) );progn );while );foreach ) (cleanvirus) Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
CADchup Ehrenmitglied V.I.P. h.c.
Beiträge: 3336 Registriert: 14.03.2001 Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz
|
erstellt am: 07. Okt. 2010 15:48 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 07. Okt. 2010 16:03 <-- editieren / zitieren --> Unities abgeben:
Zitat: Original erstellt von CADchup: Hast du's denn in den letzten beiden Stunden nicht schon ausprobiert?
Nee, zu feige. Zitat: Original erstellt von CADchup: Weiß man denn, wie das gute Stück überhaupt einfallen konnte?
Nach allem, was ich gelesen habe, kommt das nette Teil aus China und man holt es sich über infizierte DWGs. Da wir regen Datenaustausch mit unseren chinesischen Freunden betreiben, wird da wohl ein kleines Geschenk dabei gewesen sein. Da unser Virenprogramm bisher nie eine DWG angemeckert hat, scheint es für unseren "Schützer" unsichtbar zu sein. Eine andere Möglichkeit sollen infizierte Webseiten sein. Und da gibt es viele Möglichkeiten...
[Diese Nachricht wurde von Fanny CAD am 13. Okt. 2010 editiert.] Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Geos Mitglied Vermessungstechniker i.R.
Beiträge: 1017 Registriert: 21.09.2001 ACAD Map 2010, Win 7 Pro eigene Lisp's<P>HW: Core i7 860, 2.8 GHz 3.3 GB, NVIDIA GeForce GTS 250
|
erstellt am: 07. Okt. 2010 19:52 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Zitat: (setq lspfiles '("acad.vlx" "logo.gif" "acad.fas"))
Zu ACAD gehört sie meines Wissens nach nicht. Wenn sie also nicht selbst erzeugt wurde oder zu einer Applikation gehört, kannst sie löschen. Das Lisp löschst nur die angeführten Dateien. Im Zweifelsfall mach Dir eine Sicherungskopie (ausserhalb des ACAD-Pfades). ------------------ Schöne Grüße Ernst www.geopaint.at Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 08. Okt. 2010 11:26 <-- editieren / zitieren --> Unities abgeben:
Nein, die Datei acad.fas ist definitiv keine AutoCAD-Datei. Ich habe die o.g. Routine mal in die ACAD2010.lsp eingefügt: hilft nix, schadet nix. Der FAS-Virus ist ein anderes Kaliber als der VLX-Virus. Der AutoDesk-Support hat mir jetzt eine andere LISP-Routine zugemailt. Leider hat die zur Folge, dass der Rechner bei Start von AutoCAD sich nur noch mit sich selbst beschäftigt. Dieses Biest von Virus ist hartnäckig. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
CADchup Ehrenmitglied V.I.P. h.c.
Beiträge: 3336 Registriert: 14.03.2001 Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz
|
erstellt am: 08. Okt. 2010 13:06 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Hi, hast du denn auch mal die weiterführenden Links aus Ernst' und meinen Antworten gesichtet? Ganz heißer Tipp, weil naheliegend: Das sagt Autodesk dazu. Ein "Virus", den man nur durch ein paar popelige Lisp-Zeilen wieder entfernen kann, verdient diesen Namen nicht. Sein Verwandter acad.vlx baut laut Adesk die logo.gif ein und editiert ein paar Dateien, um aktiv bleiben zu können. Ich vermute mal, dass die FAS-Version nicht viel anders arbeitet... Gruß CADchup
------------------ CADmaro.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 08. Okt. 2010 13:39 <-- editieren / zitieren --> Unities abgeben:
Von dieser Seite habe ich ja die LISP-Routine, zu der ich ganz zu Anfang gefragt habe, ob ich die Ergänzung "acad.fas" straflos einfügen kann. Mittlerweile habe ich die Punkte von dieser Webseite abgearbeitet (mit meiner acad.fas-Ergänzung), aber das ist völlig sinnlos und bringt gar nichts. Die Umstellung der Variable ACADLSPASDOC auf den Wert 0 funktioniert bei infizierten Rechnern schon gleich gar nicht. Der Virus ändert den Wert sofort wieder auf 1. Mutig geworden im Experimentieren mit LSP habe ich daraufhin in den ACAD2010.lsp bzw. ACAD2011.lsp eine Routine (setvar "ACADLSPASDOC" 0) eingefügt. Auf nicht infizierten Rechnern funktioniert das auch einwandfrei: stellt man den Wert auf 1, ist er beim Öffnen einer Datei sofort wieder 0. Ich war stolz wie Oskar! Aber bei den infizierten Rechnern: Pustekuchen. Wie Du schon treffend gesagt hast: durch ein paar LSP-Routinen lässt sich ein echter Virus nicht aus der Fassung bringen. Die Datei logo.gif gibt es bei uns nicht. Auch andere Dateien, die im Zusammenhang mit dem acad.vlx-Virus genannt werden, wie acad.vlx, winfas.ini usw. konnte ich nicht finden. Ein Kollege dachte sich, er kann den Virus durch Zurücksetzen der Windows-System-Einstellungen auf den System-Stand von vor ein paar Monaten austricksen. Geht nicht. Das Zurücksetzen der Systemeinstellungen wird blockiert und einfach nicht durchgeführt. In irgendeinem Forum habe ich gelesen, dass es nur eine Möglichkeit gibt, den Virus zu entfernen: Rechner komplett formatieren und alles neu installieren. Tja, aber was ist mit unseren Daten, die wir ja auch weiterhin verwenden müssen? Falls der Virus tatsächlich in den DWG-Dateien steckt, ist Neuformatieren nur eine lustige Nebenbeschäftigung ohne Ergebnis. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
cadffm Moderator 良い精神
Beiträge: 22275 Registriert: 03.06.2002 System: F1 und Google
|
erstellt am: 09. Okt. 2010 18:16 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Ich würde mir mal die acaddoc.lsp ansehen an deiner Stelle, das wäre der einfachste Punkt um acad.lsp - unabhängig immer wieder reinpfuschen zu können.. (kann mehrer Dateien geben). User FAQ zu Acad.lsp und Acaddoc.lsp Und wegen dem "suchen" von Dateien, dafür kannst du ja auch einen Dateimanager beauftragen - WinExplorer sollte da ausreichen. Alle Laufwerke, suchen nach acad.fas <löschen>. Ich würde auch mal ein nackiges Profil verwenden, nicht das es an "Programmen" liegt welche du in Stunden mühevoll geschafft hast ans laufen zu bekommen vor ein paar Wochen SCNR . PS- Ich denke nicht das sowas aus DWGs, nicht mal aus China, kommen ------------------ CAD.de System-Angaben - CAD on demand - User:FAQ(Acad) Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Geos Mitglied Vermessungstechniker i.R.
Beiträge: 1017 Registriert: 21.09.2001 ACAD Map 2010, Win 7 Pro eigene Lisp's<P>HW: Core i7 860, 2.8 GHz 3.3 GB, NVIDIA GeForce GTS 250
|
erstellt am: 09. Okt. 2010 19:59 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Es könnte sich auch in den Dateien, die in dem von cadffm genannten Link angeführt sind, Schadcode verstecken oder von dort gestartet werden. Könnte vielleicht nicht schaden, diese alle zu checken (noch original?). Schau auch bei CUI > LISP-Dateien nach ob dort was nicht hingehört... ------------------ Schöne Grüße Ernst www.geopaint.at Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 11. Okt. 2010 09:13 <-- editieren / zitieren --> Unities abgeben:
Zitat: Original erstellt von cadffm: User FAQ zu Acad.lsp und Acaddoc.lsp
Danke für den Link! Jetzt weiß ich erst einmal, in welchen Dateien ich überhaupt herumpfusche... ;) Was meinst Du mit "nackigem" Profil? Meine Kollegen arbeiten eh mit den Standardeinstellungen von AutoCAD, da ist bis auf ein paar Werkzeugkästen nix geändert. Zitat: Original erstellt von cadffm: Alle Laufwerke, suchen nach acad.fas <löschen>.
Bin ich (mittlerweile) stündlich schon dabei. Aber kaum wird eine DWG von einem infizierten Rechner geöffnet bzw. bearbeitet, schon liegt wieder eine FAS-Datei drin. Und nach einer Weile beginnt die FAS-Datei zu streuen, also auch in anderen Verzeichnissen aufzutauchen. Das ist wie ein Kampf gegen Windmühlen. Die LSP-Routine von AutoDesk sollte eigentlich die FAS-Dateien von selbst löschen, aber davon merke ich gar nichts. Zitat: Original erstellt von cadffm: Ich denke nicht das sowas aus DWGs, nicht mal aus China
Wenn mein Rechner tatsächlich noch sauber sein sollte, reicht es zumindest nicht aus, eine infizierte DWG zu öffnen, um sich das Ekel einzufangen. Damit stellt sich aber erneut die Frage, wie kam es hier rein... Zitat: Original erstellt von Geos: Es könnte sich auch in den Dateien, die in dem von cadffm genannten Link angeführt sind, Schadcode verstecken oder von dort gestartet werden.
Ich habe alle MNL, FAS und LSP-Dateien von zwei infizierten Rechnern mit den Dateien auf meinem Rechner verglichen. Kein Unterschied. Entweder ist mein Rechner doch nicht mehr sauber (davon gehe ich aber aus, denn er produziert keine FAS-Dateien und die Variable acadlspasdoc steht immer noch auf 0) oder der Virus schreibt dort nicht mehr ein. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Geos Mitglied Vermessungstechniker i.R.
Beiträge: 1017 Registriert: 21.09.2001 ACAD Map 2010, Win 7 Pro eigene Lisp's<P>HW: Core i7 860, 2.8 GHz 3.3 GB, NVIDIA GeForce GTS 250
|
erstellt am: 11. Okt. 2010 12:20 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 11. Okt. 2010 12:36 <-- editieren / zitieren --> Unities abgeben:
|
Geos Mitglied Vermessungstechniker i.R.
Beiträge: 1017 Registriert: 21.09.2001 ACAD Map 2010, Win 7 Pro eigene Lisp's<P>HW: Core i7 860, 2.8 GHz 3.3 GB, NVIDIA GeForce GTS 250
|
erstellt am: 11. Okt. 2010 18:58 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Nun - atoms-family Returns a list of the currently defined symbols ... (siehe acad_alr.chm) Code: Befehl: (atoms-family 0) LIST_VALUE vla-get-TextBottomAttachmentType layerstate-rename ACTION_TILE acAlignmentBottomCenter vla-put-ZScaleFactor vla-put-JogAngle vla-get-Check acTableTopToBottom vla-GetBoundingBox vla-get-TextHeight vla-AttachToolbarToFlyout <= acTrue acLnWt200 vla-GetText :VLR-beginInsert TEST_STRING C:MATCH MAX SUBSTR acExternalReference vla-get-OverwritePropChanged vla-get-ForceLineInside vla-SelectSubRegion .....
das Ergebnis kannst Du mit dem anderer Rechner vergleichen ... etwas davon nur auf den befallenen Rechnern vorhanden? z.B. yxz-schadcode - dann such nach "(defun yxz-schadcode" in den entsprechenden Dateien (siehe Link von cadffm) - wäre zwar ein einfaches Versteck, aber immerhin...Acadinfo.lsp schreibt jede Menge mehr Infos in eine Datei - kann man auch vergleichen. Mit Reactoren kann man wahrscheinlich auch Schadcode starten - aber das können Dir die Profis besser erklären. Ich kenn mich da zu wenig aus. ------------------ Schöne Grüße Ernst www.geopaint.at Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Andreas Kraus Mitglied Elektrotechniker
Beiträge: 1455 Registriert: 11.01.2006 WIN 10 ACAD 2022 BricsCAD V23
|
erstellt am: 12. Okt. 2010 08:58 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Nur so ne Idee. Wenn in allen möglichen LSP oder Menüdateien nix zu finden ist, vergleich doch mal ALLE Dateien in ALLEN Unterverzeichnissen im Acad-Verzeichniss mit denen von einem unverseuchten Rechner. Gibts genug Freeware bei Google. Vieleicht findet sich ja was auffälliges. Viren verstecken sich doch normalerweise woanders (exe, dll, ...). ------------------ Gruß Andreas http://kraus-cad.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 12. Okt. 2010 09:51 <-- editieren / zitieren --> Unities abgeben:
Hab die Atoms-Family mal ausprobiert. Hm, was soll ich sagen: viel Text, keine Ahnung. Zwischen zwei Rechnern bestehen eine ganze Menge Unterschiede, aber was jetzt auf benutzerspezifische Anpassungen zurückzuführen ist und was tatsächlich dort nicht reingehört, da muss ich passen. Seltsame Zahlencodes oder irgendetwas komplett auffälliges kann ich so erst einmal nicht entdecken. Im Architecture 2011 sind z.B. folgende Zeilen zusätzlich zu meinem sauberen Rechner: vla-put-ColorMethod vla-get-StartDraftMagnitude AUTOARXLOAD OPEN ¶ VL-MEMBER-IF-NOT acVp1_64in_1ft vla-get-OlePlotQuality vla-get-GridOn ¶ AECRCP_ZZ_DXF vla-put-HistoryLines vla-SetXData vlaget-AutoSavePath ¶ Das einzige, was mich stutzig macht, ist der Befehl "AUTOARXLOAD OPEN". Die ARX-Dateien laden ja richtig zur Komandoübernahme in AutoCAD ein. Aber beim Vergleich der Ausgabe für Architecture 2010 wiederrum fehlt dieser Befehl. Zwischen den MNL- und LSP-Dateien besteht auf infizierten und nichtinfizierten Rechnern kein Unterschied. Einen Unterschied konnte ich nur in ARX-Dateien feststellen. Aber da des C++ ist, habe ich keine Chance, nach irgendwelchen Codes zu suchen. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
CADchup Ehrenmitglied V.I.P. h.c.
Beiträge: 3336 Registriert: 14.03.2001 Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz
|
erstellt am: 12. Okt. 2010 13:29 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Hi, autoarxload ist genau wie open eine Standard-AutoLISP-Funktion. Ein Vergleich verschiedener Versionen mit Applikation, zumal noch ACA, halte ich nicht für zielführend. Abhängig von geladener DWG und persönlicher Befindlichkeiten sind unterschiedlich geladene Module gang und gäbe. Ohne fundierte Kenntnisse der Ladevorgänge, AutoLISP, ACA und einem ProcessExplorer ist die Suche nach den viralen Daten reines Glücksspiel. Auch die dürftige Lisp-Routine von Autodesk (siehe PM) kann nicht alles finden, wenn sich das Baby an mehreren Stellen versteckt und selbst neu erzeugen kann. Fünf Tage sind's nun schon. Bei mir wäre vor vier Tagen schon höchste Zeit für Tabula Rasa gewesen. Eine ACA-Deinstallation lässt IMHO immer die modifizierten Acad-Dateien übrig. Bei wissenschaftlichem Interesse könntest du sie danach analysieren (lassen). Wenn das gute Stück aber auch in Windows- oder sonstigen Ordnern steckt, und das wirst du spätestens nach der Acad-Neuinstallation merken, müssen die Kisten komplett neu installiert werden! Gruß CADchup
------------------ CADmaro.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 13. Okt. 2010 12:31 <-- editieren / zitieren --> Unities abgeben:
Tja, alles platt machen ist leicht gesagt. Wenn sich dann der Virus zwischen den Serverdaten versteckt, war die ganze Arbeit umsonst. Und solange das Einfallstor nicht bekannt ist, ist es mit Sicherheit nur eine Frage der Zeit, bis das Elend wieder auftaucht. Denn Virenprogramm und Firewall haben es nicht verhindern können. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
runkelruebe Moderator Straßen- / Tiefbau
Beiträge: 8086 Registriert: 09.03.2006 Kinder, kauft Kämme! Es kommen lausige Zeiten.
|
erstellt am: 13. Okt. 2010 12:38 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Ex-Mitglied
|
erstellt am: 13. Okt. 2010 22:11 <-- editieren / zitieren -->
Hi, >> Wenn sich dann der Virus zwischen den Serverdaten versteckt Ohne mich jetzt in die grundsätzlichen Dinge obiger Meinungen etc hier einmischen bzw. verewigen zu wollen, ABER: Hängt der PC, auf welchem ein Virus diagnostiziert wurde, wirklich noch im Netzwerk. Sorry, da sind schon Grundregeln für Virenbekämpfung nicht eingehalten worden. Wenn das nicht der Fall ist, dann mach Dich mal auf diesem einen Gerät auf die Suche, eruiere die befallenen Dateien, dann hast Du ja die Namen, nach welchen Du dann am Server suchen (und handeln) kannst. - alfred - ------------------ www.hollaus.at |
charlieBV Ehrenmitglied V.I.P. h.c. Bauzeichnerin
Beiträge: 9319 Registriert: 28.08.2003
|
erstellt am: 14. Okt. 2010 07:23 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
Hi, mal eine andere Zwischenfrage: Du weißt nicht, wie du den Virus bekommen hast oder wie er sich verbreitet? Ich hoffe, dass ihr jeglichen Datenaustausch mit anderen Büros eingestellt habt? Und du hier auch keine Daten in der Zeit, bis du sicher bist, dass alles wieder sauber ist, uploadest? ------------------ Gruß Yvonne Inoffizielle ADT-Help-Site "Gehe nicht, wohin der Weg führen mag, sondern dorthin, wo kein Weg ist, und hinterlasse eine Spur." Jean Paul Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 14. Okt. 2010 08:53 <-- editieren / zitieren --> Unities abgeben:
Keine Sorge, ich uploade hier nichts mehr. Und die Dateien, die ich im letzten Monat eingestellt habe, habe ich bereits wieder gelöscht. Andere Büros kriegen nur noch Dateien, wenn sie unbedingt darauf bestehen, ein bißchen Spaß im Büroalltag zu haben. Zitat: Original erstellt von charlieBV: Du weißt nicht, wie du den Virus bekommen hast oder wie er sich verbreitet?
Nicht so richtig. Nach Analyse des Systemadministrator gehen wir davon aus, dass wir eine verseuchte Mail bekommen haben, entweder mit FAS-Datei oder irgendetwas anderem installationsfreudigem Unerwünschtem. Zur Verbreitung: eine verseuchte DWG zu öffnen reicht anscheinend nicht, eine DWG mit einer acad.fas im Verzeichnis zu öffnen anscheinend auch nicht. Beides habe ich getan und es ist nichts passiert: mein Rechner produziert keine FAS-Dateien und die Variable acadlspasdoc steht immer auf 0. Als Empfehlung für Unbedenklichkeit möchte ich das aber nicht geben, denn vielleicht ist bei mir ja zufällig nur irgendeine Einstellung so, dass es den Virus behindert. Oder es hat sich auf meinem Rechner etwas ganz anderes eingenistet. Im Gegensatz zu den meisten Antivirenprogrammen macht der Virus auch vor Serverlaufwerken nicht Halt, durchsucht alle Verzeichnisse selbständig nach DWG-Dateien und legt dort acad.fas-Dateien ab (auch in Verzeichnissen, die definitiv in den letzten Monaten nicht angefasst wurden). [Diese Nachricht wurde von Fanny CAD am 14. Okt. 2010 editiert.] Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
charlieBV Ehrenmitglied V.I.P. h.c. Bauzeichnerin
Beiträge: 9319 Registriert: 28.08.2003
|
erstellt am: 14. Okt. 2010 08:56 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Fanny CAD Mitglied
Beiträge: 338 Registriert: 22.01.2010 AutoCAD 2015 AutoCAD Mechanical 2013 WIN 7, MS Office 2010
|
erstellt am: 22. Nov. 2010 07:49 <-- editieren / zitieren --> Unities abgeben:
Endlich: Problem gelöst. Wir hatten zum einen ALS/Bursted, aber in einer neueren Variante, so dass die o.g. aufgeführten Links nicht mehr zutreffen. Auch der Registry-Eintrag ist jetzt völlig anders: HKEY_CURRENT_USER\SOFTWARE\FileKen\settings Dateien: acad.fas, isohztxt.shx, divx.fin Dazu kam noch ein neuer Virus, der erst seit September 2010 bekannt ist: ALS/Kenilfe. Den ausführlichsten Beitrag habe ich hier gefunden: http://www.symantec.com/security_response/writeup.jsp?docid=2010-090801-4502-99&tabid=2 Registryeinträge: HKEY_CURRENT_USER\Software\KenFiles\Settings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Setup\BEI_ZHU Dateien: acad.fas, isomianyi.shx, divx.fin Unter dem Link http://translate.googleusercontent.com/translate_c?hl=de&sl=zh-CN&tl=de&u=http://hi.baidu.com/xshrimp/blog/item/352639c7eb11e8d1d0006046.html&rurl=translate.google.de&usg=ALkJrhgYd UHNgVL02_OB2KEtZM_1RgD2wA habe ich noch mehr Dateien gefunden, die Kenilfe unter C:\WINDOWS\system32 anlegen soll: copyfile.vbs copy.sys shfr.cmd und den Registry-Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ sys: "C:\WINDOWS\system32\copyfile.vbs" Davon habe ich nur die shfr.cmd gefunden, allerdings weiß ich nicht, was unser Virenscanner mittlerweile schon weggeputzt hat. Der Kenilfe-Virus legt noch eine weitere SHX-Datei an, deren Name jedoch von Rechner zu Rechner variiert. Den Namen der Datei findet man unter dem Registry-Eintrag HKEY_CURRENT_USER\Software\KenFiles\Settings unter Punkt SHXN. Die üblichen, auf den meisten Websites beschriebenen Dateien haben wir überhaupt nicht gefunden: acad.sys, winfas.ini, winsys.ini, dwgrun.bat, dwgrun.exe, acad.lsp, acad.vlx, acadapp.lsp, logo.gif Die meisten Antivirenprogramme erkennen zwar die SHX-Dateien und eliminieren sie, aber das reicht nicht. Die restlichen o.g. Dateien mussten wir per Hand löschen und die Registry-Einträge selbst bereinigen. Die beiden Viren sollen keine DWG-Dateien zerstören oder modifizieren (das klingt gut), laden aber unkontrolliert Daten vom Web und versenden Daten (das klingt weniger gut). Wahrscheinlich funktioniert der Virus als Türöffner für eine Reihe von Trojanern, denn nach der Infektion mit dem Virus setzte ein wahres Feuerwerk an Trojanerfunden auf den Rechnern ein. Die acad.fas-Dateien legt der Virus in allen Verzeichnissen ab, in denen sich eine DWG-Datei findet. Zusätzlich liegt eine Datei im Support-Verzeichnis von AutoCAD und wird beim Start von AutoCAD automatisch mitgeladen. Im Gegenzug wird beim Laden die acad20xx.lsp weggelassen, weshalb sämtliche LISP-Routinen (wie sie in den obigen Links immer wieder beschrieben werden und die die acad.fas automatisch löschen sollen), komplett unwirksam sind. Trägt man die LISP-Routine in die acad20xxdoc.lsp ein, legt man AutoCAD komplett lahm, da die Löschaktion durch die LISP-Routine und die Wiederherstellungsfunktionen des Virus in eine Endlosschleife münden. Ich wünsche allen ein virenfreies Restjahr und nochmals vielen Dank an den AutoDesk-Support für seine Unterstützung! Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
cadffm Moderator 良い精神
Beiträge: 22275 Registriert: 03.06.2002 System: F1 und Google
|
erstellt am: 22. Nov. 2010 08:04 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
Dig15 Ehrenmitglied V.I.P. h.c. Dipl.-Ing. für Markscheidewesen und Geodäsie
Beiträge: 5833 Registriert: 27.02.2003 DWG TrueView 2014
|
erstellt am: 22. Nov. 2010 08:12 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|
CADchup Ehrenmitglied V.I.P. h.c.
Beiträge: 3336 Registriert: 14.03.2001 Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz
|
erstellt am: 22. Nov. 2010 08:55 <-- editieren / zitieren --> Unities abgeben: Nur für Fanny CAD
|