보안 / 해킹 [펌글]WIN32.DLL IMM32.DLL 치료후 PF증가시 [SE7EN]
2011.06.13 12:37
후. V3Lite를 쓰면서 별다른 큰 바이러스에 안걸린다고 안심하다가 된통 당했습니다.
DC를 비롯한 다양한 사이트에서 감염된 것으로 보이는 바이러스/악성코드로 imm32.dll을 변경하는 녀석입니다.
치료는 안철수 연구소에서 제공하는 전용 백신으로 치료가 가능합니다.
하지만 치료를 해도 V3lite의 실시간 기능이 정상화되지 않는 경우에 제가 걸린겁니다 -_ -;
다시 깔아보고 하드 검사도 해보고 별수를 다써도 안돼서 결국 V3lite를 포기하고 네이버 백신으로 갈아탔습니다.
아 이제 됐구나 싶었지만...이 상태에서도 익스플로러는 링크/사이트 이동시 죽어버리는 일이 발생했습니다.
그래도 깔려있는 네이버 백신을 믿고 단순히 윈도우가 꼬였구나 싶어 놔뒀습니다. 어차피 주로 쓰는건 파폭!
이제 다른 문제가 발생했습니다.
가상메모리/페이지 파일 즉,PF의 사용량이 급상승한겁니다.
거의 3~4배 정도의 양을 꾸역꾸역 먹어치우더군요.
역시 이걸 해결하려고 일요일 하루를 다 소모했습니다 -_ -;
단순히 오작동을 생각해 가상메모리 만지기 시전 -> 불가. 여전함
바이러스 재검사 -> 불가, 여전함
이렇게 포기하려는 순간 생각난게 외국 백신류.
국산 백신 프로그램이 무료이고 국내 사정에 좋을것 같아 쓰고 있지만 믿을 수 없다는 생각을 쭉해오던 차에 이런 일을 당하고 보고 생각나는건 그것뿐이더군요. 더구나 주말은 쉬어서인지 이런 바이러스(아마 변종?)가 있음에도 별다른 이야기가 없어서 말입니다.
더구나 실시간 검사중에도 걸려서 이모양이 됐으니...
처음 만진게 Malwarebyte(멀웨어 바이트)입니다.
그리고 결과는 원샷. 예~
메모리 모듈 감염:
c:\WINDOWS\system32\lpk.dll (Trojan.Patched) -> Delete on reboot.
레지스트리 키 감염:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5F1ABCDB-A875-46c1-8345-B72A4567E486} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a19ef336-01d4-48e6-926a-fe7e1c747aed} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
...
허탈하기까지 하더군요.
지금 이글을 쓰고 있는 현재 PF가 정상 수치(또는 그정도)로 내려 앉았습니다.
혹시라도 imm32.dll 변경 바이러스에 걸리신분 중
지금 이런 상태를 겪고 계시는 분이 있다면 멀웨어 바이트를 깔아서 검사해보시기를 권합니다.
V3나 네이버 백신에서는 내일 추가 되려나 -_ - 젠장...
:: 멀웨어 바이트 홈페이지 :: <- 지금 나에게 있어서 구세주.
무료 버전도 있으나 실시간과 휴리스틱 진단을 진원하지 않는다. 집에서는 가끔 프로 트라이얼 버전을 받아 써주는게 좋을 듯.
:: 안철수 연구소 :: <- 개인적으로 믿음이 한단계 더 내려간 V3...
믿었다가 고생한...OTL 그래도 아예 없는 것보다는 좋다고 말하고 싶다.
:: 네이버 백신 :: <- 전보다 좀 좋아져보이는 녀석
엔진이 하누리와 안철수 퓨전인가? 어쨌든 예전보다는 깔끔해보이는 인터페이스는 마음에 든다.
:: MSE :: <- 기본적으로 쓸만해보인다. 일단 쉬고 있을때마다 하드를 긁는 것 때문에 포기한 녀석.
국산 무료 백신이 이도저도 싫고 무료를 원하면 이녀석을 쓰는 것도 좋을 것 같다.
펌글입니다.
일단 테스트해봐야할거같습니다.
출저:https://infantry0.egloos.com/2811870
외 최신정보:https://rdsong.com/257
댓글 [8]
-
다빈치코드 2011.06.13 15:06
-
블루블루 2011.06.13 15:26
저도 멀웨어 바이트로 검사해보면 바이러스는 없는데 위와 동일한 레지스트리 키 감염이 있네요.
다른 백신으로도 바이러스는 안 나오는데 삭제해도 주기적으로 키를 생성합니다.
가끔씩 레지스트리 키를 지워주는 정도로 반 포기상태네요.
-
블루블루 2011.06.13 15:29
멀웨어 바이트 검사 후 로그파일 내용입니다.검사 방식: 빠른 검사검사 대상: 176840경과 시간: 1 분, 18 초메모리 프로세스 감염: 0메모리 모듈 감염: 0레지스트리 키 감염: 5레지스트리 값 감염: 0레지스트리 데이터 항목 감염: 0폴드 감염: 0파일 감염: 0메모리 프로세스 감염:(탐지된 악성 항목이 없음)메모리 모듈 감염:(탐지된 악성 항목이 없음)레지스트리 키 감염:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5F1ABCDB-A875-46c1-8345-B72A4567E486} (Adware.ISTBar) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} (Trojan.BHO) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a19ef336-01d4-48e6-926a-fe7e1c747aed} (Trojan.FakeAlert) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully. -
cuverin 2011.06.13 22:48
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0Memory Processes Infected:
(No malicious items detected)Memory Modules Infected:
(No malicious items detected)Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5F1ABCDB-A875-46c1-8345-B72A4567E486} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a19ef336-01d4-48e6-926a-fe7e1c747aed} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.아나....
-
freekorea 2011.06.13 23:38
저도 레지스트리키가 8개나(webcompas 인가 8개나 나오네요)... 화일은 오래전에 이미 삭제한건데 레지스트리엔 남아있었나 봅니다.
-
꼬비꼬비™ 2011.06.14 09:54
어제 저녁 저의가 납품한 가정집에서 연락이와 방문(저의실장님 친구분집)PC실행이나 그외 백신작동안되신다고하심
퇴근길에 방문드리겠다고하고 저녁시간 약속잡고 방문.....역시 예상되로 바이러스 걸렸음
점검결과 imm32.dll 파일 손상( 원본파일 찾아 보니...0바이트)프로세서 작동중....바로 정상파일과 교체작업진입
교체 실패>이유 앞서 말씀드렸지만 프로세서에서 사용중인 파일 그래서 !! imm321.dll<<원본파일 이름변경후
imm32.dll파일 교체후 재부팅하고 테스트 오류라던지 그외 문제 없음...자이제 바이러스 검사하자..
v3실행 <<안됨...먼가했떠니 백신 프로그램 파일손상 <<지웠다 다시 설치후 작동 검사시작...
바이러스 2개 발견 <<트로이목마 치료안되고 삭제했음...그후 1시간가량 테스트 진행 이상없다 판단후 사용자께 인도후
사용해보시고 잘되신다고하셔서 철수!!! imm32.dll 파일 인터넷에 검색하시면 나오니 정상파일 교체후 백신 다시설치후
검사해보세요 해결됨/...
-
호나우동 2011.06.14 22:39 님 덕분에 살았습니다. 제 직업이 SI 쪽인데 작업용 놋북이 저거에 걸려갖고 큰일날뻔했는데 덕분에 해결했네요.
참고로, 국내에선 저 바이러스 근원이 디시인사이드 인 것 같네요. 외국서 디시쪽에 퍼뜨린게 아닌가 싶더군요.
-
SE7EN 2011.06.18 17:28
Adobe Flash Player 를 즉시 최신버전으로 업데이트바랍니다.
잡아도잡아도 계속잡힙니다.
지난주에 XP 2대 걸려서 둘다 밀었습니다...