증상 : 인터넷을 돌아다닐때 그림이나 제목등을 클릭하면 바로바로 넘어가야 됨에도불구하고 마우스가 한번만 클릭하면 되던것이 2~10번 정도 클릭해야 넘어가질때.
문제원인 : 트로이목마 바이러스 파일인 svhost32.exe,explorer.exe, rundl132.dll (외 다수)등등의 파일 때문입니다.
원인확인 : 지금즉시 Ctrl + Alt + Del 키를 한번 눌러서 [작업관리자] 창을 띄우세요
그럼 [프로세스] 메뉴로 가있을것입니다. 그리고 실행중인 프로세스 목록이 뜰건데요,
이중에 svhost32.exe,explorer.exe, rundl132.dll,rund1132.dll 또는 0sy.exe, 1sy.exe 2sy.exe.... 숫자sy.exe 형태로 된파일이 보일겁니다.(안걸렸더라도 있을 수 있음)
이걸 나중에 v3로 검사해보면 lineagehacking 파일이라고 뜰거에요
이파일들이 문제입니다.
원인제거 : 이제 치료를 해야겠죠? 먼저 제가 직접 악성코드를 제거하는 프로그램을 만들었
으니 이걸 써보세요. 필자의 홈페이지 (클릭) - 게시판을 가시면 프로그램이 있습니다.
만약 그래도 안된다면 아래 글을 보고 따라하세요.
현존하는 악성프로그램 치료 프로그램이나, 안철수 백신등등은 사용해본분들이 별 효과가 없다고 하시는군요. 그래서 우리는 이파일들을 직접 지우
기로 하겠습니다. 이 파일들은 확산성이 없기 때문에 단순히 지워주는것만으로도 해결할 수
있습니다. 단, 주의할점은 이 파일들은 파일이 사라질 경우 서버로부터 자동으로 다시 다운
로드 받아서 재생성되니 이파일들을 지우는 동안에는 꼭 랜선을 뽑아주세요.
이제 본격적으로 지워야 될 파일을 찾아서 없애버립시다.
1. 랜선을 뽑는다.
2. 그다음에는 사용중인 악성 파일들을 종료시켜줘야 합니다.
ctrl + alt + del 키를 누르면 windows 작업관리자창이 뜨는데 프로세스 메뉴로 가면
현재 실행중인 프로그램들이 뜹니다. 그중에 이 파일들을 종료시켜 주어야합니다.
svhost32.exe, svhost.exe 또는 0sy.exe, 1sy.exe 2sy.exe 3sy.exe (숫자만 증가된 파일)
3. 문제의 파일들입니다. 지워지지 않는 프로그램도 있으니 그사항은 아래를 참고합시다.
먼저 windows 작업관리자창의 프로세스 메뉴에서 explorer.exe 두개정도가 있다면
메모리를 작게 사용하는 놈을 프로세스 끝내기 해주세요. 그리고 프로세스 중에 아래 목록에 해당하는것이 있다면 종료시켜주세요.
0.exe
1.exe
2.exe
3.exe
4.exe
dllhost.exe
t1.exe
r2.exe
svhost32.exe
rundll32.exe
rund1132.exe
svhost.exe
rundl132.dll
e0.exe
e1.exe
e2.exe
0Sy.exe
1Sy.exe
2Sy.exe
explorer.exe
c:\program files\svhost32.exe
c:\program files\config\svhost32.exe
C:\WINDOWS\down\rundll32.exe
c:\windows\prefetch\RUND1132.EXE-1B4E5CF4.pf
c:\windows\system32\dllhost.exe (8kb)
C:\windows\system32\r2dll.dll
C:\windows\system32\hhdll.dll
C:\windows\system32\t1.exe
C:\windows\system32\r2.exe
C:\windows\system32\svhost32.exe
C:\WINDOWS\addins\rundll32.exe (메모장아이콘을 쓰고있음)
C:\windows\system32\svhost.exe
C:\windows\system32\explorer.exe (메모장 아이콘을 쓰고있음)
C:\windows\system32\rundl132.dll
C:\windows\system32\r2dll.dll
C:\windows\system32\dab1.dll
C:\windows\system32\hhsetup.dll
C:\windows\inf\explorer.exe
C:\windows\inf\rundll32.exe
c:\logo.dat
C:\windows\dll.dll
C:\WINDOWS\rundl132.exe
2.exe, 3.exe, e0.exe, e1.exe (버섯모양 아이콘),0sy.exe ...경로를 잘몰겠네요 윈도우키 + F 를 눌리면 파일 찾는 프로그램이 뜹니다. 없으신분은 [시작] >[검색]>[파일또는 폴더]선택하시구요,
e0.exe e1.exe,e2,exe,0sy.exe 치셔서 검색후 삭제해주세요.
*잘 안지워지는 파일: dab1.dll,hhdll.dll 같은 파일의 경우는 잘 지워지지 않습니다. 이때는
필자의 홈페이지(클릭!) -> 게시판 으로가셔서 unlocker.exe 파일을 다운받은 후 설치하여 안지워지는 파일들에 오른쪽 마우스 클릭을 하면 해제시키는 메뉴가 있습니다.
c:\windows\system32 폴더에 dab1.dll 파일이 잘안지워질수 있는데, 같은폴더에 메모장 아이콘을 가진 explorer.exe파일을 삭제한뒤 재부팅 하고 최대한 빨리 windows/system32 폴더로 들어가 삭제하세요 이파일은 일정시간 지나면 못지우니까 바로삭제하셔야 되요
그리고 마지막으로 레지스트에 추가된걸 지워주셔야 합니다.
1. 시작 -> 실행 -> regedit를 입력하시면
레지스트 편집기 창이 뜨게됩니다.
마치 윈도우 탐색기같이 생겼지만 내용은 전혀 생소한 것들이 뜨는데요.
최 상위폴더에는 HKEY_ ... 로 시작하는것들이 다섯개정도 뜹니다.
2. HKEY_Local machine/sonftware/microsoft/windows/currentversion/run
경로로 들어가보세요.
그러면 윈도우 부팅했을때 뜨는 프로그램들이 있는데 여기서
윈도우 xp 사용자의 경우 ctfmon 이라는 목록이 있을겁니다.
그외에 필요없다고 생각하는건 모두 지워주세요.
거기있는걸 지운다해도 문제가 되는건 부팅했을때 시작이 안된다뿐이고,
다른문제는 없습니다.
5. 다시 랜선을 꽂은 후 클릭을 10번정도 실행하여 잘 되는지
확인해본다. 행운을 빕니다 ^^
그리고 위의 바이러스 파일을 가지고 계신분은 저한테 압축해서 메일로 보내주세요~
바이러스 연구해야되는데 직접 안걸리니깐 힘드네요.