하드웨어 바이러스때문에 고생중입니다...
2010.07.15 09:35
최근에 컴터에 갑자기 생긴 악성코드때문에 고민입니다...
(모기에 시달리다 모기퇴치프로그램을 인터넷에서 받아서 실행하다 걸린 것이라고 추정합니다만..)
MSE에서는 Trojan:Win32/Malex.gen!E 라고 진단을 합니다. v3계열, nod32에서는 검색을 못하네요.
문제는 지우고 지워도 재부팅시 계속 반복 간염되어버리는데요..
대충 프로세스를 조사해보니..
1. 윈도우 로그인시 어떤 프로세스실행
2. C:\windows\temp 에 ~DFGRD.tmp 와 같은 류의 랜덤이름의 파일 2개 생성
3. 이 파일들을 C:\winodws\SYSWOW64\0306\ 폴더(Windows7 64사용중입니다.) 에 svchost.exe, ckass.dll 로 복사
4. 다시 이 파일을 Net Authentication Manager 라는 서비스로 등록.
같은 형태같습니다.
MSE, Avast, Kaspersky 등등 여러가지 백신에서는 2~3번까지는 차단을 하는데.
1번 프로세스를 검출을 못하네요..
시작프로세스를 전부 조사해봐도 Full Scan을 때려봐도, 의심 가는 놈을 못찾겠으니... 환장하겠습니다..
그래서 생각해 본 것이.. (여기부터가 결론입니다.)
그 바이러스가 실행시 무조건 c:\windows\temp에 파일을 만들고 있으니..
c:\windows\temp 에 억세스하는 프로그램이나 프로세스 목록을 감시할 수 있으면, 범인을 잡을 수 있을 거라 생각을 하는데요..
특정 폴더에 억세스하는 프로세스를 실시간으로 감시할 수 있는 방법 없을까요??
p.s. 참고로 저 위 링크에 나온 별칭들
Trojan.Win32.Agent.cjgo (Kaspersky)
각 사이트에서 조사를 해봤는데 제가 걸린 바이러스와는 상당히 다릅니다. 그래서 저기나오는 수동 해결법으로는 해결불가네요..
댓글 [4]
-
요즘넌 2010.07.15 13:17 -
스마트 2010.07.15 13:22 모기퇴치 프로그램으로 바이러스 걸렸다는 말을 들어본 적 있습니다.
저는 사용해본적 없어서 잘 모르겠지만요.
예전에 잘 치료되지 않는 바이러스를 노드 + 알약 + AVG 조합으로 퇴치한 적이 있습니다.
요점은 다른 백신으로도 한번 전체 검사 한 번 해보시길 바랍니다. (avira 추천합니다.)
구글이나 www.cnet.com 등에서 검색하셔서 백신 다운하시기 바랍니다.
-
아이스언맨 2010.07.15 14:59
임시파일 지워주는 프로그램으로 임시파일을 지워주고나서 바이러스 치료해보세요.
전에 카조님이 올리셨던 임시파일제거기로 한번 해보세요. 파일 첨부합니다.
-
주주주 2010.07.15 15:19
답변 감사드려요..
알만한 백신은 거의 다 테스트해봤지만.. 절반정도는 아예 검출도 못하고
나머지 절반은 근본적인 치료를 못합니다...
심지어는.. 카조님의 임시파일 제거기도 사용해 봤었고요..
검색중에
https://blogs.technet.com/b/sankim/archive/2007/06/14/process-monitor-for-filemon.aspx
이런 놈을 발견했는데..
집에가서 테스트함 해봐야겠습니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 19201 | 하드웨어| 문의)) 개조 바이오스와 가상 바이오스에 대해 여쭈어 봅니... [1] | Chobits0914 | 2830 | 06-16 |
| 19200 | 윈 도 우| 파일 삭제후 하드 용량 표시 문제 [5] | papple | 2830 | 07-20 |
| 19199 | 윈 도 우| 고스트 복원용 하드 만들기 | 꿈을찾아 | 2830 | 11-08 |
| 19198 | 윈 도 우| 만능 고스트 활용시 시스템 예약 파티션이 있습니다. [ 결론 ] [3] | ToFinder | 2830 | 01-04 |
| 19197 | 서버 / IT| 윈도우 서버 기초적인 질문입니다. [5] | 아아유 | 2830 | 02-14 |
| 19196 | 윈 도 우| 정품인증후.... [3] | Superbbbbb | 2830 | 05-13 |
| 19195 | 하드웨어| 컴퓨터 2대 활용법 질문입니다. [6] | waa | 2830 | 12-08 |
| 19194 | 기 타| 이북/ 전자책 추천해 주세요 [2] | name | 2830 | 03-30 |
| 19193 | 윈 도 우| win7 영문 [3] | 홍초리 | 2830 | 05-31 |
| 19192 | 기 타| 파란닷컴의 폐쇄에 따른 블로그 이전~ [8] | hwasung | 2830 | 06-13 |
| 19191 | 윈 도 우| avast 아무 문제없이 사용하시나요? [8] | 박군 | 2830 | 02-14 |
| 19190 | 푸바2000 [5] | 언제나 초 | 2831 | 01-08 |
| 19189 | 하나로 쓰시는분 디지털네임즈 강제 검색 할당? [2] | 서재민 | 2831 | 03-17 |
| 19188 | 윈7 깔고 사진뷰어는 어떤걸 쓰시나요? [6] | 연봉스나이퍼 | 2831 | 08-28 |
| 19187 | 파워에서 소리가 심해요 [3] | 어흥흥 | 2831 | 09-27 |
| 19186 | 윈 도 우| (수정) Windows7 RC를 계속 사용하는 방법이 있나요? [3] | 지에스 | 2831 | 11-22 |
| 19185 | 윈 도 우| AI는 어떻게 만들어 졌나요?? [4] | 뻐드렁니 | 2831 | 11-24 |
| 19184 | 윈 도 우| GIFT7_T+S+$OEM$ 질문 입니다. [2] | 팬더곰 | 2831 | 12-22 |
| 19183 | 윈 도 우| 윈도우7에서 윈도우키 누를때 윈도우XP처럼 변경 가능한가요? [2] | 도후스 | 2831 | 12-30 |
| 19182 | 윈 도 우| 인증관련질문이요,, 계속 안되서리, [2] | jomgkn | 2831 | 01-19 |
계속 재감염이 되시면 안전모드로도 부팅해서도 한 번 검사해 보세요. 안전모드는 운영체가 필요한 기본적인 시스템파일이나 서비스만 가지고 로드되기때문에 진단에 좀 더 효율적일 수도 있어요. 전용 백신이 있으면 좋겠지만 이미 다 찾고 치료 해보신듯 하니...
잡으라는 모기는 안잡고 괜한 컴만 잡고 있는 나쁜 프로그램이네요...