윈 도 우 특정주소에서 악성프로그램을 다운받아 자동설치가됩니다
2021.05.19 13:14
이벤트 1042 MsiInstaller
Windows Installer 트랜잭션 종료 중: http://78.37.27.188:17816/F12E5CE5.Png. 클라이언트 프로세스 ID: 1680.
이벤트 1040 MsiInstaller
Windows Installer 트랜잭션 시작 중: http://117.187.136.141:13405/3EBCE3A4.Png. 클라이언트 프로세스 ID: 5560.
이벤트 1005 MsiInstaller
Windows Installer가 'ORBvr'의 구성을 완료하거나 계속하기 위해 시스템을 다시 시작하도록 했습니다.
이벤트 1038 MsiInstaller
Windows Installer에서 시스템 다시 시작을 요구합니다. 제품 이름: ORBvr. 제품 버전: 2.0.0.0. 제품 언어: 2052. 제조 업체: ORBvr. 시스템 다시 시작 유형: 1. 다시 시작 이유: 0.
이벤트 1038 MsiInstaller
Windows Installer에서 시스템 다시 시작을 요구합니다. 제품 이름: 6AkGp. 제품 버전: 2.0.0.0. 제품 언어: 2052. 제조 업체: 6AkGp. 시스템 다시 시작 유형: 1. 다시 시작 이유: 0.
이벤트 1005 MsiInstaller
Windows Installer가 '6AkGp'의 구성을 완료하거나 계속하기 위해 시스템을 다시 시작하도록 했습니다.
이벤트 50037 Dhcp-Client
DHCPv4 클라이언트 서비스가 중지되었습니다. ShutDown 플래그 값은 1입니다.
이벤트 11707 MsiInstaller
产品: 6AkGp -- 成功地完成了安装。
위에 이벤트로그에서 처럼 http:// 주소에서 악성코드가 담겨있는 파일을 받아 실행한뒤
Windows Installer 에서 시스템을 다시시작하고 설치를 완료시키는데요
이 문제가 계속 반복되고있는데 OS를 다시설치하거나 마소에서 내려받은 클린버전을 설치해도 동일증상이있구요
Windows Installer 에서 재부팅 기능을 막거나
다운실행부분을 아예 막을방법이없을까요??
위에 주소파일을 받아서 검사했을때 악성코드가 나옵니다
실행로 다른컴에서 실행했을때 네트워크를 통해 엄청 퍼지구요
댓글 [8]
-
내꼬 2021.05.19 13:26 -
돈까발리 2021.05.20 09:57
이미지까지... 감사드립니다 저도 이게 검출이 안되다가 AVIRA 쓰니까 바로 악성뜨더라구요..
음.. 고민이네요 이걸
-
-0- 2021.05.19 16:36 윈도우를 다시 설치해도 동일 증상이라면 공유기도 오염될 수 있습니다.감염된 컴 인터넷 끊고,
공유기 설정 초기화 먼저 하고 관리자 비번 다시 설정하셔야 할 듯 합니다.
또 다른 것은 다른 하드도 감염되었을 수 있으니 포멧하는 것이 좋을 듯 합니다.
-
돈까발리 2021.05.20 09:58
일단 최대한 네트워크장치는 다 분리하고 해봤는데
한번더 제대로 진행해봐야겠네요
-
Geheimnis 2021.05.19 22:33 정확한 감염 경로와 시기를 알아야 하는데 알 수 없고 한 번 이상은 감염된 경로에 접근을 타의든 자의든 했을 겁니다.
포맷해도 계속 걸린다면 1/2/3번 사용자 환경에 의한 재감염으로 보입니다.
1. 공유기 사용시 초기화 및 재설정
2. 중요 자료 백업후 모든 드라이브 포멧 권장(중요한 자료 아니면 전부 지우길 권장)
3. 메일 혹은 첨부된 파일 다운로드시 공인된 사이트만 이용 권장
4. C:\Windows\System32\drivers\etc\hosts에 해당 아이피 추가 차단
78.37.27.188
117.187.136
5. 백신 사용 권장
-
DarknessAngel 2021.05.20 08:23
hosts로는 ip차단 못해요
방화벽 계열로 막아야 합니다 (기본 방화벽도 가능)
-
돈까발리 2021.05.20 10:52
IP나 파일명자체가 무작위로 계속 변경되어 들어오던데 포트도 계속 무작위구요
다만, 1가지 공통점은 다운받아지는 파일에 확장자가 PNG. 으로 고정인거구요
확장자만 따로 차단해주는 프로그램없을가요
-
원더키드2020 2021.05.27 22:17
공격포트를 알아낸다, 모두 막는다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 89368 | 하드웨어| 구형 사운드카드 WIN10 64BIT 드라이버 있는지요 [13] | 바다속에고래 | 594 | 05-20 |
| 89367 | 하드웨어| 노트북 쿨러 기름칠하기.. [4] | 현민지 | 513 | 05-20 |
| 89366 | 기 타| 케이스 뚜껑 안쪽에 컴퓨터 메쉬망에 자석테이프 붙여서 쓸... [5] | 펭수대스타11 | 1195 | 05-20 |
| 89365 | 윈 도 우| Windows 10 Version 21H1 Release ESD 질문 [2] | 퀵보드소년 | 399 | 05-20 |
| 89364 | 기 타| srt 자막파일을 smi로 변환시 티비에서 깨짐현상 해결법 아... [5] | Fivernova | 630 | 05-20 |
| 89363 | 윈 도 우| PE iso 에 파일넣기 질문입니다 (iodd) [1] | 고양이뜰채 | 313 | 05-20 |
| 89362 | 소프트웨어| egg 에서 시작프로그램입력ㄱ [1] | 허풍선 | 124 | 05-20 |
| 89361 | 윈 도 우| suk님 글 중에서 질문입니다. [5] | 양치기영감 | 299 | 05-20 |
| 89360 | 윈 도 우| 삼성SRS8 백업 실패 원인 [10] | 프리머스 | 629 | 05-20 |
| 89359 | 윈 도 우| 특정 확장자만 다운이나 설치를 막을수있을까요 [5] | 돈까발리 | 254 | 05-20 |
| 89358 | 기 타| 파워 서플라이 펜도 먼지제거를해야해요?? [12] | 펭수대스타11 | 531 | 05-20 |
| 89357 | 기 타| 하드 구성품에 메인보드 부저스피커 구성품있는데 필수구매... [3] | 펭수대스타11 | 431 | 05-20 |
| 89356 | 윈 도 우| 윈도우 종료시 네트워크드라이브 연결해제.. [9] | 우라라챠 | 523 | 05-19 |
| 89355 | 윈 도 우| 문의 [3] | 농심신난년 | 352 | 05-19 |
| 89354 | 윈 도 우| 서비스 스택 찿는법 부탁합니다. [2] | 타임머신 | 225 | 05-19 |
| 89353 | 기 타| 사진의 저항 어떤 값을 가진 저항인가요 [8] | SYM | 435 | 05-19 |
| » | 윈 도 우| 특정주소에서 악성프로그램을 다운받아 자동설치가됩니다 [8] | 돈까발리 | 802 | 05-19 |
| 89351 | 소프트웨어| 트루이미지 부팅 미디어 | 신라인 | 259 | 05-19 |
| 89350 | 윈 도 우| 21H1 설치파일 크기가 다른데 뭐가 차이있나요. [4] | 엔냐 | 762 | 05-19 |
| 89349 | 윈 도 우| 폴더 공유일때 와이파이 접속방법. [2] | 밭농사10년 | 268 | 05-19 |
png를 가장한 바이러스 맞네요.
윈도우 재설치 하시기 바랍니다.
심각한 상태입니다.
v3,defender 감지 안함
eset 감지