투게더 엔젤 홈페이지 연극정보
http://togetherangel.co.kr/?partner_id=busgnod
2010년 9월 9일 목요일
[펌]2009바이러스
[펌]
2090 바이러스 포맷해도 살아나는 이유는?
바이러스/백신 2009/02/10 17:57
요즘 kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스 때문에 숨김 속성을 가진 자료를 볼 수가 없고, 컴퓨터가 많이 느리고 멈추는 증상이 나타나고 있다.
이 바이러스는 usb 등 이동식 저장 장치를 자주 사용하는 컴퓨터에서 발생할 수 있다.
주로나타나는 증상은 아래와 같다.
1. 바탕화면의 내 컴퓨터 아이콘을 더블클릭하면, 연결 프로그램을 묻는 창이 뜬다.
2. 폴더 옵션에서 숨김파일 보기 설정이 바뀌지 않아서 숨김파일이 보이지 않는다.
3. 시스템이 거의 움직이지 않을 정도로 느리거나 멈추는 증상이 있다.
4. 인터넷을 실행하면 창이 떴다가 바로 종료된다.
5.시작프로그램에 등록(kxvo0.dll kxvo1.dll kavo.exe 등)된 것들이 컴퓨터를 껏다 켜면 다시 등록되어 실행된다.
위와 같은 증상이 있는 컴퓨터는 kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스에 감염 된 것이다.
이 바이러스에 감염이 되면 모든 드라이브 루트에 아래의 파일이 자동으로 생성되며, 속성은 숨김, 읽기전용 등으로 실행되어 찾아서 지우기가 쉽지않다.
아래에 열거한 파일 이름들이 다른 것으로 변형되어 작동하기도 한다.
autorun.inf, fool1.dll, ntdeIect.com, kavo.exe, kavo1.exe 등 다양하다.
윈도우 시스템 폴더에 (윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32)에 아래와 같은 파일들이 저장된다.
파일 이름은 다른 것으로 변형될 수 있다.
kavo1.dll, 2wpypke.dll, kjiiacn.dll, kxvo0.dll, kxvo1.dll, kavo.exe, fool0.dll, fool1.dll, fool1.dll, ieso0.dll, xpnvh.dll 등...
바이러스 변형이 계속해서 발견이 되고 있어서 치료하기가 상당히 까다롭다.
또한 이동식 저장장치를 같이 치료하지 않으면 나중에 그 장치를 사용하는 컴퓨를 다시 감염시키디 때문에 피해가 심한 편이다.
현재 대부분의 바이러스 백신으로 치료가 완벽하게 되질 않는다.
가장 일반적인 치료방법을 알아보기로 한다.
아래에 제시한 치료 방법은 가능한 안전모드에서 실행하는 것이 좋다.
안전모드는 컴퓨터 부팅시 윈도우 로고 나오기전에 키보드의 F8 키를 가볍게 두들기고 있으면 부팅 매뉴가 나오는데 그 곳에서 안전모드를 선택하면 된다.
명령창은 실행-cmd 엔터를 입력하면 된다.
아래 그림은 깨끗한 상태의 윈도우 xp 파일들이다. 노란색 테투리 안의 파일들은 운영체제에 꼭 필요한 시스템 파일들로서 만약 이 파일들을 지우면 다시는 윈도우 화면을 보지 못 할 수도있다. 건드리지 말 것.
최상위(루트) 폴더로 가기위해서 cd:\를 입력하고 엔터를 친다.
숨김파일 보기 옵션으로 파일이 보이기는 하지만 지우려하자 파일이 없다고 한다.
숨김파일 속성과 읽기 속성을 해제하고 지워야한다.
attrib -r -h autorun.inf을 실행하고 난 다음에 다시 시도하자 삭제가 되었다.
바이러스 파일 전부을 위와 같이 속성을 해제하고 삭제한다.
[attrib -r은 읽기 속성 해제, -h는 숨김 속성 해제, +를 앞에 붙이면 반대로 속성을 지정한다]
이제 시스템 폴더로 이동한다. c:\cd windows\system32를 입력하고 엔터.
마찬가지로 dir/ah를 입력하여 숨어있는 바이러스 파일을 나타나게 한다.
위에서와 마찬가지로 attrib -h -r fool1.dll과 같이 속성을 해제하여 삭제한다.
2010년 5월 29일 토요일
task bar initialization- 작업표시줄 초기화
작업표시줄(task bar)에 현재 열려있는 창이 안뜬다.
microsoft에서 찾아봤는데 기본적인 숨기기를 업애라는 말뿐이다.
말도 안되는 소리 집어치우고, 초기화를 찾아봤다.
역시 파일은 있다.ㅋ
바로 초기화 레지스트리적용시키니깐 해결.
xp_seotaekoh-kj1185.vbs파일을 실행시키면 아래와 같은 메세지가 나온다.
[예 yes] 클릭.
레지스트리 추가
[예 yes]클릭
그럼 바로 해결된다.
즐~
2010년 5월 26일 수요일
인도 여배우 'ASIN THOTTUMKAL' 15분만 기억하는 남자의 이야기..
얼마전 영화를 보다 인도 영화배우가 인상 깊어 난생 첨으로 해외 배우 검색해봤다.
ASIN THOTTUMKAL 발음이 힘들다. '아신 토툼칼'....
영화는 '나는 15분전 일을 기억못한다.' 한국식으로 임의로 이름을 붙인것같다.
인도의 젊고 유망한 CEO인 주인공이 우연히 자기와 연인이라고 본의아니게 거짓말한 여성과 얽히는 사랑이야기다.
남자주인공은 자기와 연인이라고 사칭을 한 여성을 찾으러 갔고 그러다 우연히 여인의 착한마음씨에 반하게 된다.
여인의 안타까운 죽음앞에 속수무책으로 당해야만 했던 남자주인공은 자기 눈앞에서 살해되는 연인을 봐야 했고 자신도 큰 부상을 당해 단기 기억상실증에 걸린다. 자신이 기억하는 것은 오직 15분. 15분이지나면 기억이 사라지고만다.
그는 기억을 잃어 버렸을 때 자신이 무엇을 해야 하는지를 자기 몸에 스스로 문신을 해서 새겨놓았다.
기억하고 싶지 않겠지만 남자는 원수를 갚기 위해 안간힘쓰는게 내심 안타깝기도 하고 그녀를 사랑했던 마음이 얼마나 깊었는지 내심 감동도 있었던 것 같다.
영화는 3시간짜리 좀 길다... 약간 지루한면이 없진 않았지만 나름 볼만했던것같다.
2010년 5월 7일 금요일
수동 virus 제거;;;;; cyban.dll_ softqq.dll_ AhnRpta.exe 등등
짜증이 퐉~난다…왜이따구 뷩신짓을 내가 하고있는지 모르겠다….아….
이틀전부터 컴터 인터넷이 안됬다..이상하게 아웃룩도 자꾸 뭔가가뜨고있었다.
맨처음 컴터 포맷했을 때 나타나던 현상이 다시 나타나기시작한것이다. 찜찜했다.
흠…
여러 번 부팅을 했다. 그러면서 MacAfee도 여러 번 검사하고 업데이트했다.
드디어 뷩신이 뭔가 찾은듯 했다. mdf6.exe 뭐냐이건..
구글을 뒤졌다. 이상 잡다구레한 프로그램들이 떳다. 욕나왔다…
나한테는 전혀 시잘때기 없는 플그램들..
(지금 내가 이렇게 한가하게 딴짓거리할 시간이 없는디..)
포맷이 가장 훌륭한 해결책이다. 근데 지금 못한다. 씨…8월달에 돌아가는데 언제 하냐… 그래서 기어이 문제를 찾아야겠다는 생각이 머리를 머리통을 조여온다. 회사 프로그램들 언제 구해서 언제 설치하고 언제 셋팅하냐..짜증이 팍~~!!!!!!몰려온다.
이상 서론끝!
몇일을 찾았다…도데체 뭐가 문제일까
[증상]
1. 아웃룩에서 메일내용이 드래그가 안된다. 복구시도했다. 안된다. 설치파일 넣으랜다.
파일없다. . 회사에서 깔아줄 때 지웠나보다. 아놔~!
2. 익스플로러창에 입력이 안된다. 커서가 안보인다. 마우스 우측키 안먹힌다. 오~!!!!이~!!!! 이런 미친 개XXX~~~~!!! 뭐냐이건.
3. 윈도우, 익스플로러 업데이트 시도했다. 소용없다. 인터넷익스플로러 업그레이드 안된다. 무슨이유일까? .
4. 그래서 firefox깔았다. 된다~!!!!!! 된다!! 된다! 근데 구동이 짜증난다. 나한테는 익숙하지가 않다… 다시 익스플로러에게 욕한다. .
5. 익스플로러 열어본다. 에러 번호 157과 127. 이런……
이제는 메모리도 맛갔다고 말해준다. 미치겠구만..
6. 폴더 익스플로러열어본다. 돌아가시겠다. 에러창나오면서 닫힌다. 흠.
슬슬 악발이 생긴다……………………………….
찾아서 조사뿐다.!!!!!!!!!!!
안되는 머리 쥐어짜서 찾고 또 찾았다. 100%고칠수있다고 장담못하지만. 어쨌든 찾을때까지 찾아봤다.
1. 시작 - 실행 - "cmd"
2. cd\WINDOWS\system32 친다
3. dir/ah 라고 치시면 몇개의 숨겨진 파일들이 뜬다.
4. ieban이라던가 cyban 뭐시기들..
5. "attrib -s -h -r 파일이름.확장자" 친다.
6. "del 파일이름.확장자" 치면 지워진다.
7. 독한놈들은 안지워진다. 우짜지????
그래도 혹시나해서 백신프로그램하나 깔아서 스캔했다.
아니나 다를까 뷩신 MacAfee가 못잡는거 찾고있다. 허…..참…
루트를 찾아가보니 ..앵????!!!!! 없는디?
아하…이노무 쉐키들은 안보인다.
폴더옵션으로 설정해도 설정이 안먹히지!!
그래서 flyfolder로 보이게 했더니 보인다! 지워야지!!! 안지워진다. …ㅡㅡ;
Prevx녀석이 찾는동안 이 뷩신 메가피는 키젠이나 찾고 앉았다…
찾은건 있다. A0047500.exe, A0047504.exe이놈들은 레지스트리에 잠식해서 자신을 자꾸 복사하고 옮긴다. 미친 개XXX
그동안 문제의 ieban(숫자).dll , cyban.exe 찾아서 지우고 나니 이제서야 메가피녀석이 지운거 찾아낸다. 지우니까 다른이름으로 나타나네…ㅋㅋㅋ
그래서 알약도 깔아본다.
이놈은 뭔데 자꾸 뜨냐…
지우자 지우자…
Start/ run/ cmd
C:
dir/ah
아하.. 이런 시부렁새들 요기 숨어있다.
C:\>notepad autorun.inf
메모장이 열리면서 autorun=1wx.exe가 나온다. ß 개미친xxx 머리좋네..ㅡㅡ
지우려해도 안지워진다.
그럼 파일속성을 해제시키고 접근한다.
Attrib –s –h –r autorun.inf
Attrib –s –h –r 1wx.exe
지웠다. ㅎㅎ
확인사살
또 생겼다. 지우자..지우자..
D:
dir/ah
확인사살
이제는 좀 끝내자..!!! 힘들다..지친다..
참고로 혹시나 regedit에서 zhido.exe 도 검색해본다. 있으면 삭제.
그리고 도스에서도 각 드라이버별로 숨김파일 검색해서 있으면 삭제.
이 파일들을 바로 지울수는 없고(숨김파일이나 시스템 파일은 그 속성을 해제해 줘야 삭제된다),
c:\windows\system32>attrib -s -h -r 파일명
명령으로 속성을 해제한후 삭제하니 삭제가 되었다.
c:\windows\system32>del 파일명
폴더옵션에서 '숨김파일 및 폴더 표시','보호된 운영 체제 파일 숨기기(권장)' 항목을 체크해도,다시 열어보면 체크가 항상 해제되더라. 이 바이러스가 얼마나 강력한지 이런 사용자 옵션을 방해해서 숨김파일을 보지 못하도록 막는것이다.
그전에 감염되었던 USB 메모리로의 감염파일은 이런 설정까지 막지는 못했다. 폴더나 파일의 숨김파일 보기를 체크해서 보면 보였었는데, 이번 바이러스는 이 설정을 아예 막아버려서, 설정한후 '적용','확인' 해줘도, 다시 열어보면 원위치 되어버린다.(즉, 숨김파일 보기 기능을 막음) 즉, 바이러스가 메모리에 상주해서, 윈도우에 지속적으로 간섭을 하며 방해한다는 의미로 볼 수 있다.
추가 파일 cyban파일 softqq 파일은 v3가 찾아서 지우는데 상위 파일들이 겹겹이 있다.
ahnrpta.exe (작업관리자창에서 확인)은 unlocker로도 삭제가 안되
증상 및 요약
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
[파일 생성]
윈도우 폴더에 다음 파일을 생성한다.
- AhnRpta.exe
주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.
윈도우 시스템 폴더에 다음 파일을 생성한다.
- softqq0.dll
주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.
[레지스트리 등록]
레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Explorer\
ShellExecuteHooks
{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} = "hook dll rising"
바이러스…. 우선 레지스트리에서 지웠고, 여기서는 안지워진다.
http://www.google.com/search?hl=ko&source=hp&q=ieban.dll&lr=&aq=f&aqi=g1&aql=&oq=&gs_rfai=
http://www.fancug.com/bbs/view.php?id=qanda&no=16694
http://fendee.egloos.com/10408162
http://www.jobbreak.co.kr/html_file.php?word=cyban&file=opensearch.html&start=380
피드 구독하기:
글 (Atom)