기본적으로  "c:\windows\system32\config\system 손상" 이란 의미는 Windows를

운영하는데 필요한 system이라는 File이 여러가지 원인(보통 바이러스에 의한 손상이 대부분)으로 손상 또는 삭제가 되어 정상적으로 동작이 불가능하다는 것입니다.

기본적으로 손상의 원인별 처리 방법은....

보통은 복구 콘솔을 이용하여 손상되거나 삭제된 파일을 복사해줌으로 해결이 되지만,
이런일이 발생한 경우 2차 3차 손상될 우려가 있으므로(바이러스 중 일부는 치료되지 않고 게속 해당파일을 손상시키는 경우가 있다) OS 재설치도 고려해 보아야한다.



복구 콘솔을 이용해 해결 가능한 경우는 아래와 같이 따라 하면 해결 할 수 있다.

  윈도우 정품 CD를 구해서(복제품도 상관없음) CD로 부팅을 합니다.
  - 설마 CD부팅이 뭔지 모르시진 않겠죠?

<--- 모르시면 클릭 --->

아무튼 CD-ROM부팅후 설치준비하는 파란 화면이 나옵니다.
조금 많은 시간이 흐르고 설치를 시작한다는 화면이 나오지요.

그곳에는 세가지 경우를 제시하는데
그중 Windows XP를 복구하려면, <R>키를 누르십시오.    
라는 메시지 대로 키보드의 R 버튼을 클릭하십시오.
그러면 키보드 종류 선택하라는 내용이 나오는데 그냥 엔터치시면 됩니다.

위의 내용대로 하셨으면 복구 콘솔에 진입하시게 된거지요.
로그온할 윈도우 선택하고 Administrator 암호 입력하시면 DOS MODE로 진입하게 됩니다.

copy c:\windows\repair\system c:\windows\system32\config\system

그후 위의 내용을 입력하시고 엔터 누르시면 만약 파일 삭제된경우는 아무런 메시지 없이 copy완료 내용만 나오게 되고, 손상된 경우는 덮어 씌울 것인지를 물어보는 메시지 내용이 나오게 됩니다.
당연 덮어 씌워야 겠지요.

위의 내용을 마치면 EXIT를 넣으시고 엔터를 치시면 재부팅을 하고 그토록 보고 싶었던 윈도우 로고를 볼 수 있을 것입니다.

이놈은 바이러스라기 보다 애드웨어 개념으로 알려져있습니다.

사이트에 접속되었다고 설치되는게 아니고 특정 사이트(웹하드 등등의 자료교환 사이트)에서 자료를 다운로드 받을 때 설치되는 ActiveX 가 활성될 때 자동으로 설치됩니다.

이넘이 뭔짓을 하는 지는 잘은 모르겠는데 암튼 프로세스에 상주시켜서 메모리를 잡아먹고 있네요.

제거하는 방법에는 두가지가 있습니다만..

첫번째로는 V3 Lite로 검색후 치료하는 방법입니다.

프로세스상에 실행중이면 가끔은 치료할 수 없다는 메세지를 선사하기도 합니다.
하지만 대부분 아무런 문제없이 치료가 가능합니다.

두번째로는 직접 삭제하는 방법입니다.

우선 작업관리자에서 mudt.exe , msvc.exe , mmgr.exe 프로세스를 종료하고
프로그램 추가/삭제에서 MegaService 를 제거 합니다.
여기까지 하면 Program Files에서 MegaService 라는 폴더는 자동으로 삭제됩니다.

그냥.. 이렇게만 하시면 그냥 삭제됩니다

꼬랑쥐 : 치료후에도 자료를 다운받으려고 하면 올타꾸나 하며 재 설치됩니다.

해결방법.

1) 알약에서 제공하는 컨피커 윔 바이러스 전용 프로그램을 설치하여 실행한다.

http://mfiles.naver.net/64b5518c9fc1a91e3956/data41/2009/5/16/202/v3conficker-zzang2bbo2.exe?type=attachment

2) 보안 패치를 설치한다.

지난 2008년에 발생한 MS08-067 취약점을 이용한
V.WOM.Conficker(Bitdefender 진단명 : Win32.Worm.Downadup.Gen)악성코드가
USB와 네트워크를 통해 다시 점차 확산되고 있습니다.
V.WOM.Conficker 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고
인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 예방 조치를 필수적으로 시행해야 합니다.

[감염 경로]

특수하게 조작된 RPC 요청(TCP 포트 445), 비밀번호가 취약하게 설정되어 있는 공유폴더에 비밀번호를
무작위로 대입하는 공격을 통해 감염됩니다.
또한 USB등의 이동식 저장장치의 자동실행(Autorun) 기능을 통해 급격히 확산되고 있습니다.


[감염 증상]

1)보안 패치가 되지 않은 PC를 원격지점에서
공격자가 통제하도록 할 수 있는 권한을 부여합니다.

2) 다른 악성코드를 추가적으로 다운로드하는 등
추가적인 감염을 위해 과도하게 패킷을 발송하여
인터넷 속도를 저하시키거나 인터넷 연결 장애 현상을 초래합니다.

[치료 방법]

V.WOM.Conficker 전용백신 다운로드하기

※ V.WOM.Conficker 전용 백신을 실행하면
자동으로 시스템을 검사/치료하고 창이 사라집니다.

해당 악성코드의 변종 발생 가능성이 높으므로,
전용백신으로 치료해도 같은 증상이 반복해서 나타나는 경우
알약 프로그램의 신고하기 메뉴를 통해
혹은 알약 고객센터를 통해 신고를 부탁드립니다.

[예방 방법]

1. MS08-067취약점에 대한 보안패치를 업데이트합니다.

Microsoft MS08-067 취약점 정보

2. 알약의 DB업데이트를 최신으로 유지하고,
실시간 감시 수준을 '높음'으로 설정합니다.

3. USB(이동식 저장장치)의 자동실행(Autorun)을 통한
감염을 막기위해 USB 자동 실행을 차단하고,
현재 사용중인 공유 폴더 설정 해제를 권장합니다.

※ "자동실행 차단" 버튼을 누르면
autorun.inf를 통한 USB(이동식 저장장치)의 자동실행 기능이 차단됩니다.

- 기타 추가 조치 사항

기업의 네트워크나 보안 관리자께서는 방화벽이나
IPS에서 TCP 139, 445번 포트 차단을 권장합니다.

V3로 최신엔진 업데이트 후 수동(정밀) 검사를 해보세요.

VBS 바이러스 특성상 USB, PMP 등 사용하시는 이동형 저장 매체를

PC에 연결 후 치료를 해야 재감염을 막을 수 있습니다.

참고로 VBS 바이러스 수동 치료 방법을 적어봅니다.

1. 사용하시는 USB를 PC에 연결해 주십시오.

2. 시작 -> 실행 -> taskmgr 입력 -> 작업관리자 실행

3. 프로세스 탭에서 wscript 선택 후 마우스 오른쪽 버튼 클릭 -> 프로세스 끝내기(E) 눌러 wscript 종료

4. 시작 -> 검색 -> 모든 파일 및 폴더 클릭 -> 파일 이름에 바이러스 파일명(예..ProtectFile.vbs) 입력

5. 고급 옵션 -> 숨김 파일 및 폴더 검색 체크 -> 검색 -> 나오는 파일을 모두 지워주세요.

  (의심 파일이 여러개 이면 4, 5 번을 반복해 주세요.)

6. 시작 -> 실행 -> regedit 입력 -> 레지스트리 실행

7. CTRL + F 눌러 바이러스 파일명 입력 -> 다음 찾기로 검색

8. 검색되는 값을 지워주시고 F3 키를 눌러서 계속 검색해서 나오는 값을 삭제 해주세요.

대부분의 VBS 바이러스는 위의 방법으로 수동 치료가 가능 합니다.

하지만 재감염을 막기위해서는 백신에 엔진 업데이트를 시켜서 자동 진단/치료 하는 것이 좋습니다.

웜 바이러스 경고  MS06-040 Server Service Exploit-4

Windows XP용 보안 업데이트(KB921883)

간략한 설명

다운로드 주소

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305

증상]
window 기동시 지렁이 화면 넘어가지 못하고 좌측 상단 프롬트에
hal.dll 이 없다는 메세지가 보이게 됩니다.
물론 부팅은 되지않고 다시 재부팅을 하여도 같은 메세지가 보이게 됩니다.

간혹 위의 메세지가 나오지 않고 무한 부팅을 하게 되기도합니다.
이때 안전모드 진입또한 불가합니다.


해결법]
xp설치시디가 필요합니다.

왜냐면 복구콘솔에서작업을 해주셔야 하기 때문입니다.

98/me같은 경우는 외부명령어가 삽입된 부팅디스켓이 있으면 도스로 부팅해서

작업을 하셧듯이 xp같은 경우도 설치시디에 있는 복구콘솔에서

작업을 해주셔야 합니다. 또 문제는 질문자님께서 쓰시는 cpu가

하이퍼 스레딩 기술을 지원하는지도 알아야 합니다.

왜냐면 hal.dll같은 경우는 하이퍼스레딩 기술을 지원하는 cpu에 따라 복구

방법이 틀리기 때문입니다 대략 하이퍼스레딩 기술을 지원하는 cpu가

pantuim4 2.4 부터라고 알고 있습니다.

일반 Boot.ini는 복구콘솔에서

C:\>로 이동하셔서

bootcfg /rebuild 하시면 됩니다 boot.ini를 재생성 하게됩니다.

그리고 hal.dll 복구하기전에 ntoskrnl.exe을 먼저 복구해주셔야합니다.

hal이 문제든 ntoskrnl이 문제든 두가지는 서로 종속관계에 놓여져있기때문입니다.

두가지가 온전해야 하드디스크 드라이브 관련정보를 올바르게 가져올 수 있습니다.

그러므로 시디롬 드라이버가 D라고 가정하에..


opy D:\I386\ntoskrnl.exe C:\windows\system32\ntoskrnl.exe



hal.dll은 단일 cpu일 경우

copy D:\i386\halacpi.dl_ c:\windows\system32\hal.dll

하이퍼 스레딩 기술및 다중 CPU일 경우에

copy D:\i386\halmacpi.dl_ C:\windows\system32\hal.dll

이 되겟습니다.

복구 해보시구요 만일 전원관리 기능이 ACPI가 아닌 APM이라면

copy D:\i386\hal.dl_ C:\windows\system32\hal.dll

[문의사항]

1. 인터넷 창 맨위에 Hacked by GodZilla / Hacked by 등 이상한 문자가 뜹니다.

2. C드라이브와 D드라이브가 열리지 않고 연결 프로그램이나 오류 메세지가 뜹니다.

3. 숨김파일들이 안보여요

보통 VBS스크립트 웜 / USB바이러스 / Autorun바이러스 라고 이야기 합니다.
USB관련해서는 지난 글에 작성해 놓았는데요.

하드디스크에도 침투하는지는 몰랐었는데 침투하는군요.

해결법 : 제일먼저 증상확인
         - 내컴퓨터의 C드라이브와 D드라이브 오른쪽 마우스 클릭시 '자동실행'탭이 보이는지 확인
         - 드라이브 정상적으로 열리는지 확인
         - 숨김폴더 옵션 해제 안되는지 확인


현재는 바이러스 백신 최신판에 적용이 되어서 힘들게 찾아다니며 삭제하지 않아도 치료가 가능.

백신을 사용하지 않는 경우

1. 우선 숨김파일을 해제한다.
2. 내컴퓨터 -> C드라이브 더블클릭하지말고 폴더 클릭후 로컬디스크 C: 클릭
3. autorun.inf 와 MS32DLL.dll.vbs파일삭제
4. D드라이브 감염되었다면 위와같이 삭제
5. C:\windows 폴더로 이동 boot.int 파일이나 MS32DLL.dll.vbs 파일 확인후 삭제
  (C:\boot.ini 파일은 삭제하면 안됨)
6. 레지스트리 변경하기
  시작 -> 실행 -> regedit 입력후 확인 누르고 아래의 경로 찾아가기
  HKEY_LOCAL_MACHINE\Software\Microdoft\Windows\CurrentVersion\Run
  winboot 오른쪽 마우스 삭제
  (다른건 건드리면 절대 안됨.. 난 책임 못짐)

* 숨김파일 해제 관련된 reg를 올리려고 했는데.. 갑자기 업로드가 안되네요..

유형 : USB를 꼽고 실행시키면 폴더.exe형태로 나타났다가 몇초후 사라져버림
       
바이러스 유형이 shost파일 생서후 autorun.ini와 recycle 폴더를 생성하면서 자동으로 숨김파일로 만들어버립니다.
중요한 자료가 들어있는 폴더들 역시 숨겨버리고 폴더.exe라는 악성 파일을 생성합니다.

폴더 옵션에 가서 아무리 체크 해제를 반복해도 절대 설정이 바뀌지 않고 계속 숨겨진 상태로 존재.

해결책 : 전에는 최신 바이러스 치료 엔진으로도 안되었는데 확인된 바로는 터보백신 최신판(2008.11.7일 이후)

으로 치료가 가능합니다. 또한 윈도우 업데이트 최신 보안패치로 업데이트하면 해결됩니다.