스크랩 마우스클릭이 잘 안될때(트로이목마 바이러스 삭제)펌

[김원기]

컴퓨터를 쓰다보면 갑자기 마우스 클릭이 잘 안될때가 있습니다.

마우스 커서의 움직임이 느려졌다거나 클릭을 두세번해야 된다던가 하는 문제가 발생했을 때,

대부분의 유저들은 마우스가 고장났다고

생각해서 새 마우스를 구입합니다

그런데 마우스를 새로 사서 붙였는데도 클릭 잘 안되는 증상이 그대로라면?

메인보드와의 접촉 불량일수도 있겠으나 그전에 먼저 바이러스를 의심해 봅시다

rundll32.exe에 감염되는 트로이목마 바이러스
자기분열을 하는 트로이목마이기 때문에 표면적으로 있는 파일을 지워도 계속 생깁니다; 그래서 레지스트리에서 삭제해줘야 합니다

원래 정상적인 rundll32.exe파일은 윈도우 응용 프로그램을 실행할 때 필요한 공유파일을 메모리로 불러오는 기능을 수행하는 중요한

파일입니다.

일반적인 rundll32.exe의 위치는 C:\WINDOWS\system32 입니다
한번 rundll32.exe를 del키를 눌러서 지워 봅시다. 가만히 있으면 1초만에 다시 생성되는 것을 확인할수 있습니다
* 이 파일이 고장났을 경우 정상적인 rundll32.exe을 다운 받은 뒤, 복사 붙여넣기를 해서 대체하는 것만으로도 웬만한 오류는 해결할수 있습니다

그런데 이 파일이 바이러스 감염으로 인해 컴퓨터 사용자 정보를 빼낸다거나 프로그램 충돌을 일으켜 rundll32 오류를 일으키키도

합니다.
정상적인 경우라면 rundll32.exe을 삭제해도 다시 생성되지만, 혹시 그렇지 않을수도 있으니 아래의 작업을 수행하기 전에 네이버에서 정상적인 rundll32.exe 파일을 다운받아서 미리 저장하시기 바랍니다
(첨부된 파일은 네이버에서 다운받은 윈도우 XP의 rundll32.exe 파일)

마우스 클릭이 잘 되지 않아서 두세번 클릭해야 클릭이 될때 해결법입니다. 해당 증상은 아래와 같은 방법으로 해결할수 있습니다

주의: 이제부터 하는 작업은 랜선을 뽑아서 인터넷이 연결되지 않은 상태에서 하도록 해야합니다

먼저 아무 것도 하지 않는 상태에서 ctrl+alt+del 키를 눌러서 윈도우 작업관리자를 봅시다
프로세스에서 rundll32.exe가 있으면 프로세스 끝내기를 눌러 종료시킵니다
아무 것도 하지 않고 있는데 이게 프로세스에 있다는 것 자체가 이상한 것입니다. rundll32.exe가 트로이목마에 감염되서 이용되고

있다는 뜻입니다. 때로는 rundll32.exe가 여러개 있을수도 있는데, 그렇다면 조만간 rundll32 오류를 경험하게 되실 것입니다 ㅋ
(프로세스에 rundll32.exe가 없다면 아래의 링크로 들어가서 문제를 해결하세요)

http://kin.naver.com/knowhow/detail.nhn?docId=214234

프로세스에서 rundll32.exe를 종료한뒤 내 컴퓨터-C드라이브로 들어가서 아래와 같은 파일이 있다면 삭제합시다
C:\windows\system32\dllhost.exe

(dllhost가 있다면 삭제한다)

시작-실행-msconfig를 해서 시스템 구성 유틸리티-시작프로그램을 봅시다
rundll32 어쩌고가 여러개 있으면 몽땅 체크해제해서 사용안함으로 바꿉니다. 그런뒤 컴퓨터를 재부팅합니다.

* Rundll32가 요상한 것에 감염되어 있는 경우, 컴퓨터 바이러스가 되어 시작프로그램에 자동으로 들어가있음

모두 체크해제 한뒤 확인을 눌러서 재부팅합니다

재부팅하고나서 다시 msconfig를 해서 시작프로그램에 rundll32가 있나 살펴봅시다
NvCpl 이라고 쓰인 것 말고는 전부 체크해제 되었을 것입니다

(NVIDIA 그래픽 카드를 쓰는 컴퓨터에 있습니다)

요놈은 좀더 작업을 해야 없어지니까 일단 이걸 확인한뒤 창을 닫습니다

이렇게 하고나서 시작-실행-regedit을 쳐서 레지스트리 편집기로 들어갑니다

(레지스트리 편집기 창)

레지스트리의 제일 상위 폴더는 당연히 '내 컴퓨터'입니다
내 컴퓨터를 클릭하고 키보드의 F3을 누릅니다.(또는 편집-다음 찾기)

찾기 창이 나오면 검색창에 rundll32 라고 씁니다. 그리고나서 다음찾기를 누르면 rundll32 값을 가지는 레지스트리가 나옵니다
그뒤 F3을 누르면 rundll32을 가진 값이 자동으로 검색이 되는데,

F3을 계속 눌러서 rundll32 값을 찾아서 나오는 것을 몽땅 del키를 눌러서 삭제합니다
모르긴해도 몇십개 나올텐데, 몽땅 삭제하세요. F3누를때마다 자동으로 찾아지는데 나오는걸 다 삭제합니다

(과감하게 삭제해준다)

검색을 몇번이나 해서 다 삭제해야 함
레지스트리에서 rundll32 나오는 것을 전부 삭제한뒤, 레지스트리 창을 닫습니다

이번에는 시작-검색-모든 파일 및 폴더에서 rundll32을 검색합니다
검색해서 나오는 것을 모두 삭제합니다
system32 폴더에 있는것과 Prefetch 폴더에 있는것이 있는데, 모두 삭제합니다

그리고나서 컴퓨터를 재부팅합니다

컴퓨터를 재부팅한 뒤 ctrl+alt+del 키를 눌러서 프로세스에 rundll32.exe이 있나 확인합시다
없는 것을 확인할수 있습니다

하지만 시작-실행-msconfig에서 시작프로그램보면 NvCpl의 rundll32가 실행되고 있는것을 볼수있습니다. 분명히 체크해제하고 레지스트리에서도 삭제했는데 어느새 실행되어 있습니다.

시작-실행-regedit을 친뒤

HKEY_LOCAL MACHINE/Software/microsoft/windows/CurruntVersion/run

폴더로 들어가시면, 컴퓨터를 부팅할때 자동으로 실행되는 시작프로그램 목록의 레지스트리를 확인할수 있는데

분명히 삭제했음에도 불구하고 이 실행목록에서 NvCpl의 rundll32를 확인할수 있습니다

일단 이것을 삭제하면, 시작-실행-msconfig에서 NvCpl 이 자동으로 해제됩니다

다운받은 정상적인 rundll32.exe 파일을 C:\WINDOWS\system32 폴더에 복사-붙여넣기 합니다

그리고나서 재부팅합니다.

이렇게 하고나면 마우스 클릭이 아주 잘 될 것입니다 ㅎ

** 이렇게 하더라도 NvCpl 자체는 안 없어지는데(재부팅하면 또생김;), NVIDIA 그래픽 카드 관련 실행서비스이므로

시작 > 실행 > msconfig 입력 >  서비스 탭으로 이동 > 밑에줄에 '모든 microsoft 서비스 숨기기' 체크 >  nvidia display driver service 체크해제 > 시작프로그램 탭으로 이동 > nvcpl체크해제 > 재부팅

하면 사라지지만... 이렇게까지 해서 억지로 없앨 필요는 없습니다; 그냥 두세요 ㅋ

여기까지 했는데도 마우스 클릭이 잘 안되는 문제가 해결되지 않는다면 아래의 링크로 들어가서 해결을 시도해 보시기 바랍니다

http://kin.naver.com/knowhow/detail.nhn?docId=214234

 

위주소의 문제해결 

마우스 클릭이 잘 안 될 때

증상 : 인터넷을 돌아다닐때 그림이나 제목등을 클릭하면 바로바로 넘어가야 됨에도불구하고 마우스가 한번만 클릭하면 되던것이 2~10번 정도 클릭해야 넘어가질때.

문제원인 : 트로이목마 바이러스 파일인 svhost32.exe,explorer.exe, rundl132.dll (외 다수)등등의 파일 때문입니다.

원인확인 : 지금즉시 Ctrl + Alt + Del 키를 한번 눌러서 [작업관리자] 창을 띄우세요

그럼 [프로세스] 메뉴로 가있을것입니다. 그리고 실행중인 프로세스 목록이 뜰건데요,

이중에 svhost32.exe,explorer.exe, rundl132.dll,rund1132.dll 또는 0sy.exe, 1sy.exe 2sy.exe.... 숫자sy.exe 형태로 된파일이 보일겁니다.(안걸렸더라도 있을 수 있음)

이걸 나중에 v3로 검사해보면 lineagehacking 파일이라고 뜰거에요

이파일들이 문제입니다.

원인제거 : 이제 치료를 해야겠죠? 먼저 제가 직접 악성코드를 제거하는 프로그램을 만들었

으니 이걸 써보세요. 필자의 홈페이지 (클릭) - 게시판을 가시면 프로그램이 있습니다.

만약 그래도 안된다면 아래 글을 보고 따라하세요.

현존하는 악성프로그램 치료 프로그램이나, 안철수 백신등등은 사용해본분들이 별 효과가 없다고 하시는군요. 그래서 우리는 이파일들을 직접 지우

기로 하겠습니다. 이 파일들은 확산성이 없기 때문에 단순히 지워주는것만으로도 해결할 수

있습니다. 단, 주의할점은 이 파일들은 파일이 사라질 경우 서버로부터 자동으로 다시 다운

로드 받아서 재생성되니 이파일들을 지우는 동안에는 꼭 랜선을 뽑아주세요.

이제 본격적으로 지워야 될 파일을 찾아서 없애버립시다.

1. 랜선을 뽑는다.

2. 그다음에는 사용중인 악성 파일들을 종료시켜줘야 합니다.

ctrl + alt + del 키를 누르면 windows 작업관리자창이 뜨는데 프로세스 메뉴로 가면

현재 실행중인 프로그램들이 뜹니다. 그중에 이 파일들을 종료시켜 주어야합니다.

svhost32.exe, svhost.exe 또는 0sy.exe, 1sy.exe 2sy.exe 3sy.exe (숫자만 증가된 파일)

3. 문제의 파일들입니다. 지워지지 않는 프로그램도 있으니 그사항은 아래를 참고합시다.

먼저 windows 작업관리자창의 프로세스 메뉴에서 explorer.exe 두개정도가 있다면

메모리를 작게 사용하는 놈을 프로세스 끝내기 해주세요. 그리고 프로세스 중에 아래 목록에 해당하는것이 있다면 종료시켜주세요.

 0.exe

 1.exe

 2.exe

 3.exe

 4.exe

 dllhost.exe

 t1.exe

 r2.exe

 svhost32.exe

 rundll32.exe

 rund1132.exe

 svhost.exe

 rundl132.dll

 e0.exe

 e1.exe

 e2.exe

 0Sy.exe

 1Sy.exe

 2Sy.exe

 explorer.exe

c:\program files\svhost32.exe

c:\program files\config\svhost32.exe

C:\WINDOWS\down\rundll32.exe

c:\windows\prefetch\RUND1132.EXE-1B4E5CF4.pf

c:\windows\system32\dllhost.exe (8kb)

C:\windows\system32\r2dll.dll

C:\windows\system32\hhdll.dll

C:\windows\system32\t1.exe

C:\windows\system32\r2.exe

C:\windows\system32\svhost32.exe

C:\WINDOWS\addins\rundll32.exe (메모장아이콘을 쓰고있음)

C:\windows\system32\svhost.exe

C:\windows\system32\explorer.exe (메모장 아이콘을 쓰고있음)

C:\windows\system32\rundl132.dll

C:\windows\system32\r2dll.dll

C:\windows\system32\dab1.dll

C:\windows\system32\hhsetup.dll

C:\windows\inf\explorer.exe

C:\windows\inf\rundll32.exe

c:\logo.dat

C:\windows\dll.dll

C:\WINDOWS\rundl132.exe

2.exe, 3.exe, e0.exe, e1.exe (버섯모양 아이콘),0sy.exe ...경로를 잘몰겠네요 윈도우키 + F 를 눌리면 파일 찾는 프로그램이 뜹니다. 없으신분은 [시작] >[검색]>[파일또는 폴더]선택하시구요,

e0.exe e1.exe,e2,exe,0sy.exe 치셔서 검색후 삭제해주세요.

*잘 안지워지는 파일: dab1.dll,hhdll.dll 같은 파일의 경우는 잘 지워지지 않습니다. 이때는

필자의 홈페이지(클릭!) -> 게시판 으로가셔서 unlocker.exe 파일을 다운받은 후 설치하여 안지워지는 파일들에 오른쪽 마우스 클릭을 하면 해제시키는 메뉴가 있습니다.

 c:\windows\system32 폴더에 dab1.dll 파일이 잘안지워질수 있는데, 같은폴더에 메모장 아이콘을 가진 explorer.exe파일을 삭제한뒤 재부팅 하고 최대한 빨리 windows/system32 폴더로 들어가 삭제하세요 이파일은 일정시간 지나면 못지우니까 바로삭제하셔야 되요

그리고 마지막으로 레지스트에 추가된걸 지워주셔야 합니다.

1. 시작 -> 실행 -> regedit를 입력하시면

레지스트 편집기 창이 뜨게됩니다.

마치 윈도우 탐색기같이 생겼지만 내용은 전혀 생소한 것들이 뜨는데요.

최 상위폴더에는 HKEY_ ... 로 시작하는것들이 다섯개정도 뜹니다.

2. HKEY_Local machine/sonftware/microsoft/windows/currentversion/run

경로로 들어가보세요.

그러면 윈도우 부팅했을때 뜨는 프로그램들이 있는데 여기서

윈도우 xp 사용자의 경우 ctfmon 이라는 목록이 있을겁니다.

그외에 필요없다고 생각하는건 모두 지워주세요.

거기있는걸 지운다해도 문제가 되는건 부팅했을때 시작이 안된다뿐이고,

다른문제는 없습니다.

5. 다시 랜선을 꽂은 후 클릭을 10번정도 실행하여 잘 되는지

확인해본다. 행운을 빕니다 ^^

그리고 위의 바이러스 파일을 가지고 계신분은 저한테 압축해서 메일로 보내주세요~

바이러스 연구해야되는데 직접 안걸리니깐 힘드네요.