윈 도 우 특정주소에서 악성프로그램을 다운받아 자동설치가됩니다
2021.05.19 13:14
이벤트 1042 MsiInstaller
Windows Installer 트랜잭션 종료 중: http://78.37.27.188:17816/F12E5CE5.Png. 클라이언트 프로세스 ID: 1680.
이벤트 1040 MsiInstaller
Windows Installer 트랜잭션 시작 중: http://117.187.136.141:13405/3EBCE3A4.Png. 클라이언트 프로세스 ID: 5560.
이벤트 1005 MsiInstaller
Windows Installer가 'ORBvr'의 구성을 완료하거나 계속하기 위해 시스템을 다시 시작하도록 했습니다.
이벤트 1038 MsiInstaller
Windows Installer에서 시스템 다시 시작을 요구합니다. 제품 이름: ORBvr. 제품 버전: 2.0.0.0. 제품 언어: 2052. 제조 업체: ORBvr. 시스템 다시 시작 유형: 1. 다시 시작 이유: 0.
이벤트 1038 MsiInstaller
Windows Installer에서 시스템 다시 시작을 요구합니다. 제품 이름: 6AkGp. 제품 버전: 2.0.0.0. 제품 언어: 2052. 제조 업체: 6AkGp. 시스템 다시 시작 유형: 1. 다시 시작 이유: 0.
이벤트 1005 MsiInstaller
Windows Installer가 '6AkGp'의 구성을 완료하거나 계속하기 위해 시스템을 다시 시작하도록 했습니다.
이벤트 50037 Dhcp-Client
DHCPv4 클라이언트 서비스가 중지되었습니다. ShutDown 플래그 값은 1입니다.
이벤트 11707 MsiInstaller
产品: 6AkGp -- 成功地完成了安装。
위에 이벤트로그에서 처럼 http:// 주소에서 악성코드가 담겨있는 파일을 받아 실행한뒤
Windows Installer 에서 시스템을 다시시작하고 설치를 완료시키는데요
이 문제가 계속 반복되고있는데 OS를 다시설치하거나 마소에서 내려받은 클린버전을 설치해도 동일증상이있구요
Windows Installer 에서 재부팅 기능을 막거나
다운실행부분을 아예 막을방법이없을까요??
위에 주소파일을 받아서 검사했을때 악성코드가 나옵니다
실행로 다른컴에서 실행했을때 네트워크를 통해 엄청 퍼지구요
댓글 [8]
-
내꼬 2021.05.19 13:26 -
돈까발리 2021.05.20 09:57
이미지까지... 감사드립니다 저도 이게 검출이 안되다가 AVIRA 쓰니까 바로 악성뜨더라구요..
음.. 고민이네요 이걸
-
-0- 2021.05.19 16:36 윈도우를 다시 설치해도 동일 증상이라면 공유기도 오염될 수 있습니다.감염된 컴 인터넷 끊고,
공유기 설정 초기화 먼저 하고 관리자 비번 다시 설정하셔야 할 듯 합니다.
또 다른 것은 다른 하드도 감염되었을 수 있으니 포멧하는 것이 좋을 듯 합니다.
-
돈까발리 2021.05.20 09:58
일단 최대한 네트워크장치는 다 분리하고 해봤는데
한번더 제대로 진행해봐야겠네요
-
Geheimnis 2021.05.19 22:33 정확한 감염 경로와 시기를 알아야 하는데 알 수 없고 한 번 이상은 감염된 경로에 접근을 타의든 자의든 했을 겁니다.
포맷해도 계속 걸린다면 1/2/3번 사용자 환경에 의한 재감염으로 보입니다.
1. 공유기 사용시 초기화 및 재설정
2. 중요 자료 백업후 모든 드라이브 포멧 권장(중요한 자료 아니면 전부 지우길 권장)
3. 메일 혹은 첨부된 파일 다운로드시 공인된 사이트만 이용 권장
4. C:\Windows\System32\drivers\etc\hosts에 해당 아이피 추가 차단
78.37.27.188
117.187.136
5. 백신 사용 권장
-
DarknessAngel 2021.05.20 08:23
hosts로는 ip차단 못해요
방화벽 계열로 막아야 합니다 (기본 방화벽도 가능)
-
돈까발리 2021.05.20 10:52
IP나 파일명자체가 무작위로 계속 변경되어 들어오던데 포트도 계속 무작위구요
다만, 1가지 공통점은 다운받아지는 파일에 확장자가 PNG. 으로 고정인거구요
확장자만 따로 차단해주는 프로그램없을가요
-
원더키드2020 2021.05.27 22:17
공격포트를 알아낸다, 모두 막는다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| » | 윈 도 우| 특정주소에서 악성프로그램을 다운받아 자동설치가됩니다 [8] | 돈까발리 | 826 | 05-19 |
| 89351 | 소프트웨어| 트루이미지 부팅 미디어 | 신라인 | 282 | 05-19 |
| 89350 | 윈 도 우| 21H1 설치파일 크기가 다른데 뭐가 차이있나요. [4] | 엔냐 | 792 | 05-19 |
| 89349 | 윈 도 우| 폴더 공유일때 와이파이 접속방법. [2] | 밭농사10년 | 307 | 05-19 |
| 89348 | 윈 도 우| install.wim 파일 usb굽기 질문입니다 [2] | 프리티맨 | 449 | 05-19 |
| 89347 | 윈 도 우| 공식 윈도우10 ISO 풀네임(?) 파일명이 뭔가요? [4] | windowsandromeda | 503 | 05-18 |
| 89346 | 윈 도 우| 윈10 시스템 언어 교체 [2] | none | 394 | 05-18 |
| 89345 | 소프트웨어| foobar2000 [6] | 세븐좋아 | 511 | 05-18 |
| 89344 | 윈 도 우| install.wim파일 usb애 넣어 굽기 방법 가르쳐 주십시요 [1] | 프리티맨 | 653 | 05-18 |
| 89343 | 윈 도 우| 재부팅기능을 없앨수는 없나요??? [14] | 돈까발리 | 575 | 05-18 |
| 89342 | 하드웨어| 퍼포스 프록시 서버 스펙관련 질문드립니다. | 박성말 | 164 | 05-18 |
| 89341 | 윈 도 우| LTSB 2016 구매를 어떻게 해야 하나요? | 매일 | 205 | 05-18 |
| 89340 | 윈 도 우| 관리자 명령 프롬프트 바로가기 생성 [2] | 소녀시대 | 355 | 05-18 |
| 89339 | 윈 도 우| 윈도우10 편집프로그램 인쇄오류 이상증상 문의 드립니다 [6] | 현준윤 | 306 | 05-18 |
| 89338 | 윈 도 우| 윈도우 작업스케줄러에서... [7] | 삼시세끼 | 362 | 05-18 |
| 89337 | 소프트웨어| 혹시 동영상 프리셋 부탁 드려도 되나요 [3] | kv | 261 | 05-18 |
| 89336 | 윈 도 우| IE 인터넷옵션의 보안탭 설정 관련 궁금증 하나 [1] | 세이군 | 256 | 05-18 |
| 89335 | 기 타| 无忧启动论坛 사이트 진입 [1] | 못말리는짱 | 414 | 05-18 |
| 89334 | 윈 도 우| WIM윈도우설치시 MBR 파티션생성방법질문입니다 [6] | 고양이뜰채 | 279 | 05-18 |
| 89333 | 윈 도 우| wim파일은 usb에 구을 수 없나요? [8] | 프리티맨 | 838 | 05-18 |
png를 가장한 바이러스 맞네요.
윈도우 재설치 하시기 바랍니다.
심각한 상태입니다.
v3,defender 감지 안함
eset 감지