범인은 commonname의 변종인 것 같았다. (아니면 신버전이거나.)
c:ProgramFilesvouxqstv 라는
괴상한 -_- 이름의 디렉토리에서 공작을 벌이고 있었다.
아마도 스파이웨어 제거프로그램의 제거를 피하기 위해서
랜덤으로 이름을 생성해서 디렉토리를 만드는 것이 아닌가 싶다.
아무튼 이 디렉토리 안에는 몇 가지 주요 파일들이 있었는데,
다음과 같다.
[CODE]YcgCCsBN.exe
YcgCCsBN.dll
profile.dat
NBsCCgcY.exe
cnml.exe
babe.dat
dfs.dat
exit.dat
urlx.dat[/CODE]
cnml.exe 밑에있는 dat파일들은 마음대로 지울 수 있었으며
다른 파일들은 보호되어 있었다. 이 dat 파일들은 걸린 컴퓨터에서
빼낸 정보들이 암호화되어 수집되어 있는 것처럼 보인다.
(열어보면 괴상한 문자들이 압축된 것 같이 나열되어 있다.)
기분나빠! =ㅁ=;;
cnml.exe는 위 파일들을 최처설치 & 랜덤이름 생성에
관여하는 것이 아닌가 싶다.
YcgCCsBN.exe 와 NBsCCgcY.exe는 프로세스에 떠서
IE 입력창에 문구를 띄우는 등의 만행을 저지르는 행동요원(..)이며
이 둘은 프로세스창에서 확인 할 수 있다. 하지만 kill process해도
YcgCCsBN.dll 이 재시작 시킨다. -_-
YcgCCsBN.dll 이 녀석은 가장 악독하고 대장과 같은 역할을
하는 실세. 자신을 시작하게 하는 레지스트리 설정을 변경못하게
하고 (심지어 보호모드에서도 제거가 안된다;)YcgCCsBN.exe나
NBsCCgcY.exe 프로세스가 죽으면 재시작시킨다. 이 외에
cnml.exe나 profile.dat 파일 등등 모두를 제거불능으로 보호하게
감시한다.
profile.dat는 열어보니 설치한 파일명들과 레지스트레이터 위치를
저장하고 있었다. 아마도 랜덤생성한 파일명들을 알아보기
위해 저장하는 것이었나 보다.
내 경우는 아래와 같았다. (좀 보기좋게 편집)
위에서 언급안했지만 WinIK.sys라는 녀석은 이름을
레지스트리에서 볼 수 있는데,
드라이버파일로 로드되서 마음대로 제거할 수 없게 꽁수를
쓴 것 같다. -_- 최종 보스같은 녀석 (..)
제거방법: ※ 아래 실행 후 발생할 문제의 책임은 전적으로
시행자에게 있습니다. -_-+
1.
c:Program Filesvouxqstv 와 같이 위 파일들이 있는
디렉토리를 찾아서 이름을 k 나 v 같이 내맘대로 바꿔버린다.
( 지우는건 보호가 걸려있어서 못한다. 이상하지만, 이름변경은
통한다. -_-; )
2.
리붓한다. 이미 디렉토리명이 바뀌었기 때문에, 리부팅을 하면
위 스파이웨어는 작동을 못한다. 음하하 -ㅁ-;;
3.
k나 v로 바꾼 디렉토리 제거. 지워버리자. 음하하 -ㅁ-;;
4.
아직 다 끝난건 아니다.
시작 -> 실행을 실행한 후 regedit 를 실행,
을 지운다. 첫번째꺼는 Run 뒤에가 다르겠지만
옆에 폴더 주소를 보면 아까 k나 v로 바꾸기 전 이름의 디렉토리로
되어있는 녀석을 지우면 된다.
5.
c:WINDOWSsystem32driversWinIK.sys 를 지운다.
(안지워지면 리붓한 후 지운다.)
이제 IE도 깨끗해지고,
지긋지긋하게 발생하던 IE에러도 없어지고 좋긴 한데...
문제는 컴퓨터 백업 도중에 위 디렉토리를 발견해서
작업을 했다는 것이 문제다. -_-
이미 복구하려고 이것저것 백업하고 옮기고 지우고
했는데... 흑~
복구하기도 뭐하고 그냥 쓰기도 뭐하고
애매한 상태 =ㅁ=;
내 1시간의 백업시간은 어떻게 되는거냥!!!!
어찌할지 잘 모르겠는 분은 제게 비밀글로
msn 메신저 주소나 nate 메신저 주소 남겨주시면
도와드릴께요~ ^^