본문 바로가기
paran/생활의 지혜

악성 애드웨어 조치법

webdress 2004. 11. 19. 09:07

Cool Web Search 또는 Buldog-Search 등의 사이트가 시작페이지로 고정되고 성인광고가 팝업창으로 나올 경우 수동조치법입니다.

신고가 많이 접수되는 시작페이지중에 하나이며, 대부분의 국내외 애드웨어 치료프로그램에서도 완벽하게 치료가 되지 않고 있습니다.

치료가 되지 않는 가장 큰 이유는 여러가지 애드웨어 파일이 동시에 연동을 하여, 하나의 프로세스를 종료하여도 실행중인 파일에 의해서 종료된 프로세스가 다시 재실행되기 때문입니다.

이런 기법이 최근의 외국 애드웨어들이 사용하는 방법이며, 애드웨어 관련 프로그램만으로는 치료하기 까다로운 문제점이 있어서 (주)지오트에서는 수동해결법과 함께 관련 분석정보를 제공해 드립니다.

정상적인 윈도우 상태에서는 여러가지 애드웨어 파일이 동시에 실행되어 있고, 서로 연동하기 때문에 한꺼번에 프로세스를 모두 종료하기가 어렵습니다.

이럴 경우에는 안전모드에서 해당파일과 액티브 액스 컨트롤, 레지스트리를 삭제하도록 하며 모두 제거후에 애드큐어로 검사를 하여 발견된 애드웨어를 치료하면 완벽하게 해결이 됩니다.

아래 조치법은 모두 안전모드상에서 이루어져야 하며, 애드큐어를 미리 설치해 두어야 합니다.

애드큐어 다운로드

http://www.geot.com/adcure/setup/ad_down.php

컴퓨터 시작시 F8 기능키를 눌러서 안전모드(Safe Mode)로 시작한 후에 아래와 같은 순서로 폴더와 파일들을 삭제하도록 합니다.

1. 시작메뉴와 바탕화면, C드라이브등에 성인사이트 링크파일(아이콘)이 생성되는데 모두 삭제한다.

SEXXX.EXE, XXX.EXE, 임의의 숫자등의 아이콘이 생성됨. (파일명은 변경될 수 있음)

2. C 드라이브에 temp 라는 애드웨어 파일이 포함된 임시폴더가 생성되는데 모두 삭제한다.

3. Program Files 폴더에 여러가지 폴더와 파일을 생성하는데 모두 삭제한다.

Win Comm
WebSiteViewer
ISTsvc
SideFind
IncrediFind
ISTbar

4. 아래 경로의 폴더와 파일들을 모두 삭제한다.

C:Windows oolbar.exe

C:Windowssystem32systime.exe

C:Windowssystem32securer

C:Windowssystem32securer.dll

C:Documents and Settings로그인계정application dataeeet.exe (숨김파일형식)

eeet.exe 파일은 폴더옵션을 아래와 같이 변경하여 확인후에 삭제한다.

C:Documents and Settings로그인계정Local SettingsTemp

C:Program Filescommon filessearchupgrader


5. 아래와 같이 애드웨어가 설치한 액티브 액스 컨트롤을 모두 제거한다.

액티브 액스 컨트롤중 일부는 파일명이 임의적으로 만들어지기 때문에 매번 다를 수 있다.

따라서 해당 액티브 액스 컨트롤의 등록정보(속성)을 확인해서 애드웨어 사이트에서 설치된 것을 찾아서 제거해 주면 된다.

코드베이스를 통해서 설치된 웹사이트 주소를 사용자가 확인할 수 있다.


6. 애드웨어가 설치한 레지스트리를 삭제한다. (시작버튼 -> regedit -> 해당경로)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

파일이름이 임의(랜덤)로 만들어진 형식일 경우 애드웨어일 가능성이 매우 높고, 자신이 알지 못하는 프로그램명일 경우에도 모두 삭제해 주는것이 좋습니다.

또는 시작버튼 -> 실행 -> msconfig -> [시스템 구성 유틸리티]를 실행하고 시작프로그램 탭에 있는 파일들의 V 체크를 모두 해제하여 두는것도 응급조치법중 하나입니다.

예)

dlfaad.exe

2984.exe

7. 애드큐어를 실행하고 사용하고자 할 시작페이지를 설정한 다음에 검사/치료를 시행한다.

8. 정상모드로 부팅후에 시작페이지가 변경된 것을 확인하고, 만약 해결이 안된 경우에는 현재 실행중인 프로세스 목록을 신고하도록 하여 조치를 받는다.

9. 신고방법

아래 프로그램을 받으셔서 실행하고 예(Y)를 누르시면 현재 실행중인 파일목록(프로세스)과 자동실행 Run 레지스트리, 설치된 액티브 액스 컨트롤등의 리스트가 메모장으로 열립니다.

파일메뉴 -> 다른이름으로 저장을 해주신 후에 저장하신 startuplist.txt 파일을 저희 신고센터로 보내주시면 분석후에 애드큐어에 포함하도록 하겠습니다.

유니큐어 백신 프로그램은 애드웨어의 일종인 트로이목마 다운로더도 함께 치료가 가능하기 때문에 유니큐어와 애드큐어를 함께 이용하신다면 보다 안전하고 깨끗한 PC 환경을 유지할 수 있습니다.

유니큐어 다운로드
http://www.geot.com/down/setup/down.php

신고용 리스트 제작 프로그램

http://www.geot.com/adcure/StartupList.exe

신고센터

http://www.geot.com/adcure/ad_report.php

'paran/생활의 지혜' Related Articles

티스토리툴바