하드웨어 바이러스때문에 고생중입니다...
2010.07.15 09:35
최근에 컴터에 갑자기 생긴 악성코드때문에 고민입니다...
(모기에 시달리다 모기퇴치프로그램을 인터넷에서 받아서 실행하다 걸린 것이라고 추정합니다만..)
MSE에서는 Trojan:Win32/Malex.gen!E 라고 진단을 합니다. v3계열, nod32에서는 검색을 못하네요.
문제는 지우고 지워도 재부팅시 계속 반복 간염되어버리는데요..
대충 프로세스를 조사해보니..
1. 윈도우 로그인시 어떤 프로세스실행
2. C:\windows\temp 에 ~DFGRD.tmp 와 같은 류의 랜덤이름의 파일 2개 생성
3. 이 파일들을 C:\winodws\SYSWOW64\0306\ 폴더(Windows7 64사용중입니다.) 에 svchost.exe, ckass.dll 로 복사
4. 다시 이 파일을 Net Authentication Manager 라는 서비스로 등록.
같은 형태같습니다.
MSE, Avast, Kaspersky 등등 여러가지 백신에서는 2~3번까지는 차단을 하는데.
1번 프로세스를 검출을 못하네요..
시작프로세스를 전부 조사해봐도 Full Scan을 때려봐도, 의심 가는 놈을 못찾겠으니... 환장하겠습니다..
그래서 생각해 본 것이.. (여기부터가 결론입니다.)
그 바이러스가 실행시 무조건 c:\windows\temp에 파일을 만들고 있으니..
c:\windows\temp 에 억세스하는 프로그램이나 프로세스 목록을 감시할 수 있으면, 범인을 잡을 수 있을 거라 생각을 하는데요..
특정 폴더에 억세스하는 프로세스를 실시간으로 감시할 수 있는 방법 없을까요??
p.s. 참고로 저 위 링크에 나온 별칭들
Trojan.Win32.Agent.cjgo (Kaspersky)
각 사이트에서 조사를 해봤는데 제가 걸린 바이러스와는 상당히 다릅니다. 그래서 저기나오는 수동 해결법으로는 해결불가네요..
댓글 [4]
-
요즘넌 2010.07.15 13:17 -
스마트 2010.07.15 13:22 모기퇴치 프로그램으로 바이러스 걸렸다는 말을 들어본 적 있습니다.
저는 사용해본적 없어서 잘 모르겠지만요.
예전에 잘 치료되지 않는 바이러스를 노드 + 알약 + AVG 조합으로 퇴치한 적이 있습니다.
요점은 다른 백신으로도 한번 전체 검사 한 번 해보시길 바랍니다. (avira 추천합니다.)
구글이나 www.cnet.com 등에서 검색하셔서 백신 다운하시기 바랍니다.
-
아이스언맨 2010.07.15 14:59
임시파일 지워주는 프로그램으로 임시파일을 지워주고나서 바이러스 치료해보세요.
전에 카조님이 올리셨던 임시파일제거기로 한번 해보세요. 파일 첨부합니다.
-
주주주 2010.07.15 15:19
답변 감사드려요..
알만한 백신은 거의 다 테스트해봤지만.. 절반정도는 아예 검출도 못하고
나머지 절반은 근본적인 치료를 못합니다...
심지어는.. 카조님의 임시파일 제거기도 사용해 봤었고요..
검색중에
https://blogs.technet.com/b/sankim/archive/2007/06/14/process-monitor-for-filemon.aspx
이런 놈을 발견했는데..
집에가서 테스트함 해봐야겠습니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 15705 | 윈 도 우| 홈베이직 VS XP [19] | 별군 | 2909 | 07-15 |
| » | 하드웨어| 바이러스때문에 고생중입니다... [4] | 주주주 | 2864 | 07-15 |
| 15703 | 윈 도 우| 7diet2_fix_update 설치 후 이미지 백업 문제 [3] | 강민호 | 2263 | 07-15 |
| 15702 | 윈 도 우| 바탕화면 구성시 질문입니다. [1] | 충격포 | 2426 | 07-15 |
| 15701 | 윈 도 우| 윈도우7 포레버 인증에 관한 질문입니다 [2] | -우주- | 3797 | 07-15 |
| 15700 | 하드웨어| 하드에 자료보관 방법.......???? [1] | 깡통 | 2285 | 07-15 |
| 15699 | 윈 도 우| 업데이트 멋대로 설치 ㅡㅡ; [2] | 꼬리곰탕 | 2484 | 07-15 |
| 15698 | 윈 도 우| OEM 인증 시도했는데 이거 인증이 된 상태인가요? [3] | 공피 | 3028 | 07-15 |
| 15697 | 하드웨어| 트루 이미지 백업 방식 질문 드립니다. [5] | 크루세이더 | 2294 | 07-15 |
| 15696 | 윈 도 우| 제어판 -> 시스템에서 Windows 정품인증 문제 [3] | 거시기 | 4632 | 07-15 |
| 15695 | 윈 도 우| 나데시코님,,,카리스마 조님 논사리님 설치 후 인증문제입... [4] | 미코 | 2760 | 07-14 |
| 15694 | 윈 도 우| 윈도우 7 얼티메이트와 KMS 인증에 관한 질문입니다. [1] | 공피 | 9029 | 07-14 |
| 15693 | 윈 도 우| 요 폴더는 어떤 용도로 계속 만들어 지는지 궁금합니다 [6] | 가로등 | 2598 | 07-14 |
| 15692 | 윈 도 우| cpu 오버클럭을 했는데 이상한게 몇개있습니다 [4] | 윈도우77 | 2572 | 07-14 |
| 15691 | 윈 도 우| 윈도우7 바탕화면 아이콘 자동정렬 이상해요!!! [3] | 스피디 | 8794 | 07-14 |
| 15690 | 하드웨어| 트루이미지에서 백업 경로 및 이름이 바뀝니다. [2] | 크루세이더 | 2181 | 07-14 |
| 15689 | 윈 도 우| 개조바이오스프로그램강좌 [2] | 정호님 | 3064 | 07-14 |
| 15688 | 윈 도 우| 고수님들, 가능할까요? [2] | 우금티 | 2035 | 07-14 |
| 15687 | 윈 도 우| 윈도우7 얼티메이텀 64bit->홈프리미엄 64bit 포맷없이 ... [3] | 쿠므 | 3545 | 07-14 |
| 15686 | 서버 / IT| 1TB 구입하려고합니다. [3] | ImI | 3315 | 07-14 |
계속 재감염이 되시면 안전모드로도 부팅해서도 한 번 검사해 보세요. 안전모드는 운영체가 필요한 기본적인 시스템파일이나 서비스만 가지고 로드되기때문에 진단에 좀 더 효율적일 수도 있어요. 전용 백신이 있으면 좋겠지만 이미 다 찾고 치료 해보신듯 하니...
잡으라는 모기는 안잡고 괜한 컴만 잡고 있는 나쁜 프로그램이네요...