[3040] 이상한 애니콜센터 피씨와 이상한 삼성 노트북

[타임투]

 수원 시청 근처의 애니콜 서비스 센터에서 핸드폰에 든 살해협박 동영상을 다운

받으로 갔더니, 핸드폰에는 문제가 없고, 다운 받아 줄수 있냐고 물으니 인캅스 인가

하는 보안 프로그램이 깔려 있고, 보안 내용이 들어갈 수 있다나 어쨌다나 아무튼

안 된다고 해서 , 서비스 기다리면서 사람들이 사용할 수 있도록 진열해 놓은 맞은편

피씨에서 살해협박 동영상을 다운 받으려고 했다(대략 90편 정도 된다)

케이블은 센터에서 빌려 줬다.



핸드폰에 케이블을 연결하고 동영상을 다운 받는 중, 혹시나 해서

작업 관리자를 모니터링 해 봤더니,



RedirSvc.exe, ctfmon.exe (내가 가는 피씨방마다 깔려있네, 상황실에도 돌아가고 있던데),

HWAPI.exe, winlogon.exe, System, servieces.exe, csrss.exe, taskmgr.exe 가 돌고 있어

RedirSvc.exe 를 계속 중단시켰는데도 계속 다시 돌아가는 것이었다.





그리고 어쩌다 저장된 사용자 이름 및 암호를 보았는데,

chamlingKahar@hotmail.com(Passport)

donghoon@hotmail.com(Passport)

euzhen@hotmail.com(Passport)

hosgirl@hanmail.net(Passport)

leo_ko828@hotmail.com(Passport)

pandoron6@hotmail.com(Passport)

Passport.Net\.xcp

sysylim@live.co.kr(Passport) - 어디서 많이 본 아이디 다.



그리고 svchost.exe가 여러개가 돌아가고 있어서 그중 하나를 중지 시켰더니 컴이 재부팅되어 버렸다.



그리고 삼성 노트북을 고치러

삼성전자서비스 서수원센터 에 들러

내가 지웠는데 저절로 다시 생긴 MMGH라는 계정을 지워 달라는 것,

Bluetooth 장치를 안 돌아가게 해 달라는 것,

화면이 좀 어두워 졌다는 것,

자녀보호 프로그램 선택 해달라는 것,



이었는데, MMGH 계정은 지웠고, 화면은 밝아 졌고,

표준 사용자 계정인 aned25 에서 Bluetooth 장치 안 돌아가게 해 주었고,

근데, 자녀보호프로그램으로 중지 된다는 메시지를 엔지니어도 봤다고 한다.



그리고 집에 와서 애니콜에 든 동영상 다운 받으려고 했더니,

혹시 몰라 작업 관리자 뛰어 놓고 실해 했었는데,

dllhost.exe, sidebar.exe (막아 놓은 프로그램) , dwm.exe 데스크 돕 관리자 (메모리 사용 변함.

사용중단 시켰는데 다시 돌아감), Ati2evxx.exe ATI External Event EXE Module (ATI 관련 프로그램도

다 막아 놓았는데)

npnj5Agent.exe 메모리 사용 변함.

taskeng.exe 작업 스케줄러 엔진 (메모리 사용 변함)

winlogon.exe 메모리 사용 변함.

explorer.exe Window 탐색기 (메모리 사용 변함. 탐색기 안 뛰어 놓았는데)

csrss.exe 메모리 사용 변함.

EasyBatteryMgr3.exe Easy Battery Manager3 (메모리 사용 변함)



자녀 보호 -> 사용자 제어 -> 작업 뷰어



응용프로그램



실행한 응용 프로그램 수

CLIStart.exe

MagicDoctorKbdHk.exe (이것도 막아 놓았는데)

Window Media Player (이것도 막아 놓았는데)

SynTPEnh.exe

Window 사이드 바 (이것도 막아 놓았는데)

safetray.exe

safeinternet.exe

Window 탐색기

safeinternetup.exe

IE 크래시 감시

Easy Display Manager



시스템

로그온 시간

6번 로그온 -총 시간:1분 24분 :2009-02-12-2009-02-13



일반시스템

시스템 클럭 변경 사항

LOCAL SERVICE 계정 -

오후 11:24:42 2009-02-12 에서

오후 11:25:07 2009-02-12(으)로 시간 변경



설정 변경 사항

2009-02-13 오전 12:27:14 변경한 사람 hwseo(hwseo로 로그인 한 적 없음)

웹 다운로드 차단됨 설정, 이전설정 - 끄기

2009-02-12 오후11:54:00 변경한 사람 hwseo (hwseo로 로그인 한 적 없음)

모든 사용자 URL 예외 목록

http://services.wmdrm.windowsmedia.com

http://preview.services.wmdrm.windowmedia.com

http://drmlicense.one.microsoft.com



HTTP 예외 목록

C:\Program Files\Window Media Player\Wmprph.exe 이전설정-없음 

                                                                 \Wmlaunch.exe

                                                                 \Wmpenc.exe

                                                                 \wmplayer.exe



오후 11:53:59

                                                                \Wmpsideshowgadget.exe

                                                               \Wmpnetwk.exe

                                                               \Wmpconfig.exe



실패한 로그온 횟수

2009-02-12 오후 11:27:28 aned25

오후 11:27:58 hwseo (hwseo 계정으로 로그인 시도한적 없음)



그리고 aned25 표준 사용자 계정 Internet Explorer 사용 안 됨.

첨엔 됐었음

SKY 폰에 든 살해협박 동영상은 SKY 서비스센터에서 친절하게도 USB 메모리 5개에 저장해 주었다 (15개)