바이러스 먹는 까망늑대

c:\windows\system32\config\system 손상 원인과 처리방법

(까망늑대) — Fri, 11 Mar 2011 16:04:56 +0900

기본적으로 "c:\windows\system32\config\system 손상" 이란 의미는 Windows를

운영하는데 필요한 system이라는 File이 여러가지 원인(보통 바이러스에 의한 손상이 대부분)으로 손상 또는 삭제가 되어 정상적으로 동작이 불가능하다는 것입니다.

기본적으로 손상의 원인별 처리 방법은....

보통은 복구 콘솔을 이용하여 손상되거나 삭제된 파일을 복사해줌으로 해결이 되지만,
이런일이 발생한 경우 2차 3차 손상될 우려가 있으므로(바이러스 중 일부는 치료되지 않고 게속 해당파일을 손상시키는 경우가 있다) OS 재설치도 고려해 보아야한다.

복구 콘솔을 이용해 해결 가능한 경우는 아래와 같이 따라 하면 해결 할 수 있다.

윈도우 정품 CD를 구해서(복제품도 상관없음) CD로 부팅을 합니다.
- 설마 CD부팅이 뭔지 모르시진 않겠죠?

<--- 모르시면 클릭 --->

아무튼 CD-ROM부팅후 설치준비하는 파란 화면이 나옵니다.
조금 많은 시간이 흐르고 설치를 시작한다는 화면이 나오지요.

그곳에는 세가지 경우를 제시하는데
그중 Windows XP를 복구하려면, <R>키를 누르십시오.
라는 메시지 대로 키보드의 R 버튼을 클릭하십시오.
그러면 키보드 종류 선택하라는 내용이 나오는데 그냥 엔터치시면 됩니다.

위의 내용대로 하셨으면 복구 콘솔에 진입하시게 된거지요.
로그온할 윈도우 선택하고 Administrator 암호 입력하시면 DOS MODE로 진입하게 됩니다.

copy c:\windows\repair\system c:\windows\system32\config\system

그후 위의 내용을 입력하시고 엔터 누르시면 만약 파일 삭제된경우는 아무런 메시지 없이 copy완료 내용만 나오게 되고, 손상된 경우는 덮어 씌울 것인지를 물어보는 메시지 내용이 나오게 됩니다.
당연 덮어 씌워야 겠지요.

위의 내용을 마치면 EXIT를 넣으시고 엔터를 치시면 재부팅을 하고 그토록 보고 싶었던 윈도우 로고를 볼 수 있을 것입니다.

디도스(DDos) 변종 악성코드 안전모드 부팅방법 및 백신 치료방법

(까망늑대) — Wed, 09 Mar 2011 22:24:13 +0900

전전에 이어 또 한번의 디도스(DDos]공격에 의해 국내 PC들이 피해를 입고 있습니다.
게다가 이번에는 디도스에 의해 피해를 입은 컴퓨터의 일부에 새로운 명령이 추가 되어
하드디스크가 파괴 된다고 하는 군요.
뉴스상으로 벌써 500대 이상이 문제가 생겼다 합니다.

그렇다면 하드디스크가 파괴되기전에 예방하는 방법이 없을까?
당연 있습니다. 저는 디도스(DDos] 감염 되지 않아서 치료 확인을 못했지만,
여러곳의 보안사이트에서 아래의 방법을 추천하더군요.
그 내용에 대해 알아보겠습니다.

첫번째.
PC를 안전모드(네트워킹 사용)로 부팅을 합니다.

안전모드로 부팅하는 방법은 PC 부팅한 후 F8키를 연속적으로(0.5초 간격으로 탁!탁!탁! 누름)

그 후 나오는 화면의 선택 내용중

윈도우 2000 의 경우
안전모드(네트워크 드라이버 사용)를 선택해야 합니다.

윈도우 XP(Vista,Win 7,2003,2008서버 공통)의 경우
안전모드(네트워킹 사용) 선택하시면 됩니다.

두번째.
최신 전용백신을 다운로드 받아 실행합니다.

보호나라 홈페이지(http://www.bohonara.or.kr/) 접속하면 메인 팝업창이 뜨는데

‘안철수연구소 전용백신 다운로드’를 클릭하면 됩니다.

다운로드받은 백신을 설치하고 검사를 시작합니다.
악성코드가 검색되면 전체 치료버튼을 눌러서 치료를 완료합니다.
검사 완료되면 ‘종료’ 클릭 후 PC 재부팅을 하시면 됩니다.

재부팅 후 한번 더 검사해서 악성코드가 완벽하게 제거되었는지 확인하시는 것을 추천해 드립니다.

인터넷 익스플로러에서 한글 입력이 되지 않는 경우

(까망늑대) — Thu, 24 Feb 2011 21:43:00 +0900

인터넷 익스플로러에서 한글 입력이 되지 않는 경우 - MS 오피스 한글입력기 충돌현상 해결방법

인터넷 익스플로러(이하 IE)를 사용하다보면 여러가지 문제가 있지만 그중 한가지 '한글입력오류'는 급하게 검색을 하려는 사용자의 마음을 선홍색 빛으로 달구곤 합니다. 임시방편으로 주소창에 잠깐 한글을 입력하고 복사해서 쓰는 방법도 있지만 짧은 내용이야 그렇다 해도 긴 글의 경우는 .... 생각하기도 싫습니다.

IE에서 한글 입력이 되지 않는 경우는 악성코드로 인한 IMM변조와 MS 오피스 한글입력기에 의한 경우입니다. 한글입력기와 IE가 충돌하는 것 때문에 한글 입력상의 문제가 발생한다고 합니다.

인터넷을 떠돌며 얻은 정보로는 아래와 같은 해결책을 제시해 줍니다.

먼저, 실행 - cmd를 입력하여 명령프롬프트를 불러오시거나 윈도우키+R - cmd를 입력하여 명령프롬프트를 불러오세요. 이제 다음과 같이 입력합니다.

Regsvr32.exe /u msimtf.dll

이렇게 뜨면 성공입니다. 하나 더 있어요.

Regsvr32.exe /u msctf.dll

역시 이렇게 뜨면 성공입니다.

위 2개의 명령을 통해 ctfmon.exe의 실행을 막았습니다. 이렇게 하면 한글입력기 충돌때문에 한글입력이 되지 않는 경우는 없을 것입니다.

뭐 이렇게 해야 한다고 하고, 실제로 위의 내용으로 해결을 보았다는 사람들이 많으니 그런가 보다 하는데요, 제가 알기로 ctfmon.exe는 보통 작업관리자 프로세스에서 삭제하지 않는 프로세스인데, 이렇게 해도 되나 싶더군요. 하지만 ctfmon.exe이 프로그램 충돌이라던가, 시스템이 지연된다던가 하는 여러가지 문제를 가지고 있어서 메모리 낭비하지 말고, 특별히 고급 텍스트 서비스를 사용하지 않는 이상, ctfmon.exe를 사용할 이유는 없는 것으로 보여집니다.

다만, 고급 텍스트 서비스를 사용하시는 분은 위의 방법을 따르시면 안됩니다.

[프로세스] fph.exe 박멸하기

(까망늑대) — Wed, 25 Aug 2010 23:37:43 +0900

fph.exe란 프로세스

죽여도 바로 살고, 삭제를 해도 다시 부활하고, 서비스에도 안보이는 놈.

DRM관련 프로그램이라고 함.. 이늠 땜시 부팅도 늦고..

이놈을 삭제하면 최소 부팅속도가 4초정도 빨라진다는 전설이...

삭제 방법 :

우선 실행중인 프로세스를 죽이고

시작 -> 실행 -> C:\windows\f_ProductMgr.exe /uninst /cmh/FSW 라고 입력

보통은 그냥 이래 삭제하면 되는데, 바로 재부팅 안하면 다시금 활동을 시작한다는 이야기도 있습니다.

선택은 당신에게...

Win-Dropper/MegaService.457352

(까망늑대) — Tue, 23 Feb 2010 12:03:20 +0900

Win-Dropper/MegaService.457352

이놈은 바이러스라기 보다 애드웨어 개념으로 알려져있습니다.

사이트에 접속되었다고 설치되는게 아니고 특정 사이트(웹하드 등등의 자료교환 사이트)에서 자료를 다운로드 받을 때 설치되는 ActiveX 가 활성될 때 자동으로 설치됩니다.

이넘이 뭔짓을 하는 지는 잘은 모르겠는데 암튼 프로세스에 상주시켜서 메모리를 잡아먹고 있네요.

제거하는 방법에는 두가지가 있습니다만..

첫번째로는 V3 Lite로 검색후 치료하는 방법입니다.

프로세스상에 실행중이면 가끔은 치료할 수 없다는 메세지를 선사하기도 합니다.
하지만 대부분 아무런 문제없이 치료가 가능합니다.

두번째로는 직접 삭제하는 방법입니다.

우선 작업관리자에서 mudt.exe , msvc.exe , mmgr.exe 프로세스를 종료하고
프로그램 추가/삭제에서 MegaService 를 제거 합니다.
여기까지 하면 Program Files에서 MegaService 라는 폴더는 자동으로 삭제됩니다.

그냥.. 이렇게만 하시면 그냥 삭제됩니다

꼬랑쥐 : 치료후에도 자료를 다운받으려고 하면 올타꾸나 하며 재 설치됩니다.

SetupDTSB.exe - Dropper/Malware.107064

(까망늑대) — Fri, 12 Feb 2010 10:37:31 +0900

데몬 프로그램에 포함되어 있는 애드웨어입니다.
데몬 프로그램 인스톨시 서치바를 설치하게 되면 활동하는 것이라 합니다.

V3 Lite로 검색후 치료하시면 됩니다.

이 위험 요소에 대한 자세한 내용은 여기를 누르십시오. Adware.Savenow

NMlndexingService.exe

(까망늑대) — Tue, 15 Dec 2009 18:05:38 +0900

네로 버닝롬의 실행에 관계되는 프로그램입니다.

삭제하여도 관계없습니다.

방법은..

regedit.exe 로 레지스트리 에디터를 실행한 후,
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 을 찾아간다.
BgMonitor_...... 로 시작되는 키 값을 제거하면 된다

MRDaemon.exe

(까망늑대) — Tue, 15 Dec 2009 18:04:53 +0900

위의 프로세스는 주)네오위즈벅스에서 제공하는 벅스플레이어(Bugs Player) 응용프로그램입니다.
http://www.windowexe.com
프로그램의 삭제는 제어판의 프로그램 추가/제거에서 [벅스플레이어]을(를) 삭제합니다.w

w파일경로 : http://www.windowexe.com
wC:\Program Files\Bugs\Bugs Player\MRDaemon.exe
e파일정보 : MRDaemon MFC 응용 프로그램
x저작권 : Hanmaro Inc

o제작사 : Neowiz Bugs.CorpWindowexe.com
o제작사 홈페이지 : http://www.bugs.co.kr/

간혹 벅스플레이어를 삭제해도 혼자 남아서 유유히 프로세스 메모리를 잡아 먹곤 합니다.

Adobelm_Cleanup.0001

(까망늑대) — Tue, 15 Dec 2009 18:04:17 +0900

결론부터 이야기 한다면 위의 프로세스는 바이러스가 아닙니다.
단지 아크로뱃에 관련된 프로세스중의 하나입니다.
아크로뱃 실행시 실행되었다가 종료시 사라지는 것이 원칙이나, 가끔 아크로뱃 실행 후 사라지지 않고 프로세스 메모리를 잡아묵고 있곤 합니다.

Windows errors related to adobelm_cleanup.0001?

adobelm_cleanup.0001 is a process which belongs to Adobe Acrobat. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.

We strongly recommend that you run a FREE registry scan to identify adobelm_cleanup.0001 related errors.

윈도우 에러는 adobelm_cleanup.0001 에 관련되어 있을까요?

[adobelm_cleanup.0001]는 아크로뱃리더 처리에 속하는 프로세스입니다. 이 프로그램은 주 원인은 아니지만 작업이 해결되지 않은 원인이 될 수는 있습니다.

Win32/Conficker.worm ( V.WOM.Conficker)

(까망늑대) — Fri, 11 Dec 2009 15:40:33 +0900

해결방법.

1) 알약에서 제공하는 컨피커 윔 바이러스 전용 프로그램을 설치하여 실행한다.

http://mfiles.naver.net/64b5518c9fc1a91e3956/data41/2009/5/16/202/v3conficker-zzang2bbo2.exe?type=attachment

2) 보안 패치를 설치한다.

지난 2008년에 발생한 MS08-067 취약점을 이용한
V.WOM.Conficker(Bitdefender 진단명 : Win32.Worm.Downadup.Gen)악성코드가
USB와 네트워크를 통해 다시 점차 확산되고 있습니다.
V.WOM.Conficker 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고
인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 예방 조치를 필수적으로 시행해야 합니다.

[감염 경로]

특수하게 조작된 RPC 요청(TCP 포트 445), 비밀번호가 취약하게 설정되어 있는 공유폴더에 비밀번호를
무작위로 대입하는 공격을 통해 감염됩니다.
또한 USB등의 이동식 저장장치의 자동실행(Autorun) 기능을 통해 급격히 확산되고 있습니다.

[감염 증상]

1)보안 패치가 되지 않은 PC를 원격지점에서
공격자가 통제하도록 할 수 있는 권한을 부여합니다.

2) 다른 악성코드를 추가적으로 다운로드하는 등
추가적인 감염을 위해 과도하게 패킷을 발송하여
인터넷 속도를 저하시키거나 인터넷 연결 장애 현상을 초래합니다.

[치료 방법]

V.WOM.Conficker 전용백신 다운로드하기

※ V.WOM.Conficker 전용 백신을 실행하면
자동으로 시스템을 검사/치료하고 창이 사라집니다.

해당 악성코드의 변종 발생 가능성이 높으므로,
전용백신으로 치료해도 같은 증상이 반복해서 나타나는 경우
알약 프로그램의 신고하기 메뉴를 통해
혹은 알약 고객센터를 통해 신고를 부탁드립니다.

[예방 방법]

1. MS08-067취약점에 대한 보안패치를 업데이트합니다.

Microsoft MS08-067 취약점 정보

2. 알약의 DB업데이트를 최신으로 유지하고,
실시간 감시 수준을 '높음'으로 설정합니다.

3. USB(이동식 저장장치)의 자동실행(Autorun)을 통한
감염을 막기위해 USB 자동 실행을 차단하고,
현재 사용중인 공유 폴더 설정 해제를 권장합니다.

※ "자동실행 차단" 버튼을 누르면
autorun.inf를 통한 USB(이동식 저장장치)의 자동실행 기능이 차단됩니다.

- 기타 추가 조치 사항

기업의 네트워크나 보안 관리자께서는 방화벽이나
IPS에서 TCP 139, 445번 포트 차단을 권장합니다.