정확한 메시지가 어떻게 나오는지 모르겠네요. 감염된 것을 어떻게 아셨는지, 어떤 프로그램, 어떤 메시지인지 궁금합니다.

그걸 안다고 해서 크게 도움될 것 같지는 않습니다만... mbr쪽 악성은 상대하기가 만만치 않습니다.

어떤 문제 상황에 접했을 때, 해결을 위한 여러 시나리가 있을 수 있습니다. 공부 삼아 이것 저것 만져보면서 해결을 시도할 수도 있구요.

보통 보면, OS를 살려두면서 문제해결를 시도하는 사용자가 많습니다. 공부 차원이라면 좋은 방법일 수도 있습니다.

하지만, 가장 빠른 시간 내에 원하는 결과를 보고 싶다면 얘기가 달라질 수도 있습니다.

OS를 살리면서 복구를 시도하는 시간이, OS를 새로 설치하고 각종 프로그램 설치하고 셋팅하는 시간보다 더 오래 걸릴 수 있다는 것입니다. 심지어 시간만 투자하고 결국은 문제 원인과 해결방법에 접근하지 못한채 끝날 수도 있습니다.

OS와 각종 드라이버, 프로그램들이 설치돼 있는 시스템 상태에서는 그만큼 수없이 많은 변수들이 내재해 있는 것이기 때문에 문제원인을 찾아내기가 그만큼 어려울 수 있다는 것입니다. 변수가 너무 많습니다.

보니까... 설치된 OS를 보존하면서, 치료만 하고 싶다. 그리고 원격지이다. 라는 말씀같은데요.

차라리 직접 손보시는게 결국은 시간을 덜 잡아먹을 것이라 예상해 봅니다.

MBR쪽은... 제 경험상 백업 이미지로 덮어써도 문제가 해결되지 않는 경우가 있었습니다. 해당 백업 이미지의 mbr 정보 역시 감염이 돼 있었던건지, 워낙 악성이라 그런건지는 모르겠지만 그렇더군요. 몇달 전 백업 이미지로 복구해도 마찬가지였으니 환장할 노릇... 

이 정도쯤 되고 보면, 새로 포맷하고 OS 설치를 새로 해도 마찬가지 결과일 가능성이 농후했습니다.

그때까지 백업 이미지로 복구도 해보고, 여러 도스 복구툴로 mbr fix도 해보고, Hiren BootCD도 써보고 했지만 별무소용... 이때까지 소모한 시간만도 1~2시간은 거뜬할 겁니다.

PE 복구툴이다 뭐다 어지간한거 다 소용없었습니다. 심지어 파티션 날리고 새로 파티션 잡고 포맷하고 백업 이미지로 복구해도 소용없더군요.

결국은, mbr을 원천적으로 날려버리자는 생각에 이르렀고, 디스크 공장 초기화를 시도합니다. 섹터를 0으로 쓰는 것은 너무 오래걸리니 diskpart 명령을 쓰기로 했습니다.

WinPE(또는 Win7 설치 DVD)로 부팅해서 diskpart의 clean 명령으로 OS용 SDD를 공장 초기화시켜 버립니다. 이렇게 하면 새 HDD를 구입해 연결하고 디스크 관리에 들어갔을 때처럼 "디스크 초기화" 창이 뜹니다. 즉 파티션 형식을 mbr로 잡을 것인지, GPT로 초기화할지 묻는 창이 뜨는 '디스크 초기화' 이전 상태로 만드는 것입니다.

mbr은 원천적으로 날아간 상태입니다. 디스크 초기화하고 파티션 잡습니다.

여기서 새로 설치할까 하다가, 백업 시점이 아주 오래전인 백업 이미지로 복구를 해보았습니다. mbr 정보는 제외하고 파티션 데이터만 복구했고 백신부터 필요한 프로그램을 하나씩 설치해 나갔는데 문제가 해결된 것 같더군요. 백신에서 메시지 창이 뜨지 않았습니다.

만약 원격으로 하신다면, 상대방에게 원격지원이 되는 WinPE 파일을 보내 굽거나해서 부팅하게하고 원격 연결해서 손을 보시는 방법이 있겠네요. 인터넷 속도가 느리거나 공CD나 USB가 없다면 어렵겠고요.

diskpart

list disk

sel disk #

clean

exit

-----------

그리고 디스크 관리에서 디스크 초기화 및 파티션닝, 포맷

또는, diskpart에 들어간 김에 한꺼번에 하고 나오자면,

diskpart
list disk
select disk #
clean
create partition primary
select partition 1
active
format fs=ntfs quick
list volume
assign
exit 

각 명령어는 앞에서 3글자씩만 써도 됩니다.

원격이 여의치 않다면, 직접 리얼머신을 상대하시는 것이 시간이 덜 걸릴 수 있습니다. 원격이 직접 오가는 시간보다 더 걸릴 수 있거든요.

PE와 만능고스트 이미지, 드라이버 팩 정도 준비하고 가시면 빨리 처리하실 수도 있을 것으로 봅니다.

--------------------------------------------------------

마지막으로 하나 더 덧붙입니다.

이 모든 과정을 뻘짓으로 만드는 허무한 사례인데요. 위에서 어떤 프로그램에서 어떤 메시지를 보셨는지 물은 이유이기도 합니다.

구글링해 보시면, false positive라는 용어를 많이 보시게 될 겁니다.

바로 백신의 오진입니다. 백신의 특정 바이러스 정의파일 DB에 문제가 있어서 정상적인 시스템을 "가짜 양성" 으로 판정하는 오류를 내는 경우가 있습니다. 해외 보안 관련 포럼에서 난리가 난 적이 몇번 있었지요. 특정 백신 사용자들의 문의가 쇄도...

제조사의 공식발표가 있었습니다. 특정 DB 파일에서 오진 문제를 확인했으며 다음 DB에서 수정될 것이라고요...

이런 가능성도 염두에 두시기 바랍니다. 해당 백신을 제거하고 다른 백신들을 하나씩 설치해서 테스트해보는 방법도 있겠습니다.

찜찜함을 남기지 않으려면 diskpart의 clean 명령을 추천합니다. mbr 싸그리 날려버립니다.

mbr감염 경우 완전복구 힘들지도 모르지만, 단순 치료만이라면 PE로 부트한 상태에서 검사하면 잡아낼껍니다

해당 하드로 부트하는경우에는 스텔스가 되겠지만, 부트시 PE상태에선 안 읽었으므로 무효화되니까요

MBR 루트킷의 치료는 거의 불가능하다고 알려졌습니다.

할수있는 방법이라곤 하드디스크 포맷.. OS재설치 뿐... 재 설치하실때 PE부팅말고 복구디스크나 설치DVD를 이용해서 재설치하셔야 합니다. 기존 이용중인 MBR이 변조된 상황이라 그거 그냥 놔두고 PE로 재설치하게 되면 하나마나 되는거죠.

부팅디스크 부터 싹 바꿔 줘야 합니다. 그리고 MBR만 제거하고 복구하면 되는게 아니예요. 원 바이러스데이타는 커널부에서 구동되는 하드웨어 드라이브나 시스탬 파일에 숨어 있기때문에 단순하게 MBR제거랑 복구는 의미가 없습니다.

하드디스크 몽땅.. 포맷해버리고 혹시 모르니깐 부팅디스크자체를 다른 디스크로 바꿔주시는게 가장 확실한 방법입니다.    

또한 아래 싸이트에 가시면 GMER최신버젼 및 MBR rootkit detector를 받으실 수 있습니다.

https://www.gmer.net/

카스퍼스키나 아비라 루트킷 검사 프로그램이 따로 있는걸로 알고 있네요.

카스퍼스키는 tdsskiller 아비라는 avira_antivir_antirootkit_en NOD32는 잘 모르겠네요.

여타 다른 백신들도 안티루트킷이 따로 있는걸로 알고 있습니다.

그리고 안티루트킷으로 해서 않될시에는 위에 이현우님 말씀처럼 설치 DVD나 혹은 컴터 구입시에 자체적으로 HDD에 깔려있는 복구영역으로 재설치를 하시면서 하드 자체를 초기화 해줘야 합니다. 복구 이미지(윈도자체 또는 아크로니스같은 이미지)는 전혀 효과 없어요. 포맷하기전에 가능하면 LAN선 분리를 권장하며 당연히 HDD의 전체 파티션을 초기화 해서 OS를 설치해보십시오. 

HDD 최신 펌웨어 업데이트를 해주는 방법도 효과를 볼수 있습니다.