본문 바로가기

Veda's Diary

비러묵을...악성코드와의 전쟁 선포!!! 제가 이겼음!!

무분별한 토렌트 사용 및, 각종 해외사이트 서핑으로 인해..


저의 운영체제도 드디어(5년만에;;) 상처?를 입고야 말았습니다.


장장 3시간에 가깝게 윈도우의 프로세서와 서비스항목 레지스트리 등등을 들쑤시다가


제 능력에 한계를 느끼게 한 망할 악성코드 OTL 

이런 악성코드는 당췌 누가 만든거냐;; 존경한다 진심 ㅜㅜ


지칠대로 지쳐서 "에라 모르겠다" 하며, 믿져야 본전! 심보로 각종 백신으로 검색을 해 봤습니다.

(사실 악성코드인데..바이러스 백신으로 검색 해본 제가 이상한 거겠죠.;;)


알약 : 검색안됨 ㅡㅡ? 나라망신~!!!(그래 바이러스라도 잡아라~)

V3 : 검색안됨 ㅡㅡ? 마찬가지~!!(니 녀석도 바이러스라도 잡아라~)

Advanced SystemCare 8 Pro : 7파일 검색, 치료불가 (치료는 되나, 재부팅후 재생성OTL "니놈이야 어차피 최적화 프로그램이니 봐준다!")

IObit Malware Fighter Pro : 7파일 검색, 치료불가 (치료는 되나, 재부팅후 재생성OTL)

avast : 18파일 검색, 치료불가 (역시 어베스트!!! 그러나~~~치료는 되나, 재부팅후 재생성OTL)


그외 고클린,프로세서클린 등의 일시 차단 프로그램은 

저는 사용하지 않습니다. 오로지 박멸!!!!


결국 현직 프로그래머인 지인의 강력추천과 함께 메일로 배송된 

Malware Zero Kit를 사용을 해봤습니다.


프로그램 출처: http://cafe.naver.com/malzero


전 개인적으로 CPU, RAM, VGA 를 Overclock 할때를 제외하곤,

윈도우 안전모드를 거의 접하지 않거니와....씨꺼먼 화면을 좀 기피하는 성향인지라..

사용이 꺼려지긴 했습니다만...속이천불나서..어찌어찌 하다보니 사용을 하게 되는군요 ㅠㅠ

해외포럼에 다른 프로그램이 있습니다만, 자랑스런 한국인이 만드신 프로그램이라~사용을 하게 됬습니다. 

프로그램 제작자님(VIOLeT)이 운영중이신 카페에 후에 가입해서 열혈 활동? 까진 아니더라도 감사인사는 꼭 남기겠습니다.


자자 실행을 똬악~아놔! 깜박..일단 안전모드로 ㅋ;;

귀차니즘으로 인해 안전모드에서 스샷촬영은 하지 않았습니당.

그래서 결과만 보여 드릴게요~ 아래에 배포금지가 있기 때문에 블로그에는 해당 프로그램 올리지 않겠습니다.

직접 해당 카페에서 정식으로 다운을 받아서 사용 해 주세요.


--------------------------------------------------------------------------------------------------------------------


   Malware Zero Kit Report File


--------------------------------------------------------------------------------------------------------------------


   스크립트 사용 후, 아래 사항 반드시 확인


   ① 데이터베이스는 수동 업데이트 되므로 가급적 최신 데이터베이스 버전으로 내려받아 검사 권장

   ② 스크립트 사용 후 삭제시, 바로 삭제할 수 없으므로 재부팅 후 삭제 진행

   ③ 재부팅 후 검은 화면 및 커서만 표시되는 경우, 약 8분 정도 대기

   ④ 검사 완료 후, 안전 모드 메시지 창 또는 작업 표시줄이 생성되지 않을 경우 강제 재부팅 진행

   ⑤ 한글 입력 불가 및 특정 프로그램(예: Classic Shell)이 정상 실행되지 않을 경우 재부팅 진행

   ⑥ 브라우저 시작 페이지가 악성 페이지로 변경되어 있을 경우, 브라우저 환경 설정을 통해 점검

   ⑦ 악성코드 제거에 실패했을 경우, 안전 모드에서 검사를 진행하거나 재부팅 후 재검사 진행

   ⑧ 특정 악성코드의 경우, 메모리에 입력되어 제거 후 재부팅해야 정상화 되는 경우가 존재함

   ⑨ 검사 중, 오진 및 오동작이 발생한다면 <3. 문제 해결> 문서 참고


   백신이 정상 동작하지 않는 현상 때문에 치료한 후에도 동작하지 않을 경우 아래 사항 확인


   ① 애드웨어 등 불필요 및 유해 가능 프로그램을 제거 후 다시 검사(중요)

   ② 보안 업체에서 제공하는 전용 백신 추가 사용

   ③ 동작하지 않는 보안 제품 제거 → 재부팅 → 설치 파일 새로 내려받기 → 재설치


--------------------------------------------------------------------------------------------------------------------


   오진 발생 시, mzkhelp@gmail.com 으로 검사 기록 파일 또는 검역소 폴더를 7z 포맷으로 압축(비밀번호 설정 필수) 후 첨부하여 신고


   ※ 파일 및 폴더, 레지스트리에 대한 오진 발생시 검역소 폴더에서 복원 가능 ☞ <3. 문제 해결> 문서 <문제 05> 항목 참고


--------------------------------------------------------------------------------------------------------------------


   프로그램(파일)은 출처가 불분명한 블로그/카페, 공개 P2P 등에서 내려받는 것을 자제하시고 반드시 공식 웹사이트에서 내려받으세요.


--------------------------------------------------------------------------------------------------------------------


   데이터베이스 버전 : 2014. 12. 22.


   운영체제(OS) : Microsoft Windows [Version 6.1.7601], AMD64


   검사 일시 : 2014-12-22 21:58:27.34


   검사 환경 : 수동


   검역소 폴더 : C:\Quarantine


--------------------------------------------------------------------------------------------------------------------


   ■ 필수 시스템 파일 존재 유/무 확인 :

   존재하지 않는 파일이 없음


   ■ 악성 및 유해 가능 자동 실행 라이브러리(AppInit_DLLs) 값 확인 :

   문제점이 발견되지 않음


   ■ 악성 및 유해 가능 자동 실행 라이브러리(AppInit_DLLs, 32bit) 값 확인 :

   문제점이 발견되지 않음


   ■ 악성 및 유해 가능 서비스 제거 :

   "IHProtect Service" (제거 성공)

   "WindowsMangerProtect" (제거 성공)


   ■ 필수 시스템 파일 변조 유/무 확인 (1차) :

   변조된 파일이 없음


   ■ 악성 루트킷 제거 :

   발견되지 않음


   ■ 악성 및 유해 가능 파일 제거 :

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-1.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-11.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-2.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-3.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-4.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-5.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-5_user.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-6.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-7.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\6141089a-ea02-4f22-9942-2c97b62e54ea.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-1.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-11.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-2.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-3.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-4.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-5.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-5_user.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-6.job" (제거 성공 [Active Scan])

   "C:\Windows\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-7.job" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-1" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-11" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-2" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-3" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-4" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-5" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-5_user" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-6" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\13a2e05a-e330-433c-9cf4-62c08fe08ae2-7" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\6141089a-ea02-4f22-9942-2c97b62e54ea" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-1" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-11" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-2" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-3" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-4" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-5" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-5_user" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-6" (제거 성공 [Active Scan])

   "C:\Windows\System32\Tasks\d6eb4930-3b6e-4e8a-9173-a0f242f12740-7" (제거 성공 [Active Scan])


   ■ 악성 및 유해 가능 폴더 제거 :

   "C:\ProgramData\WindowsMangerProtect" (제거 성공)

   "C:\Users\Administrator\AppData\Roaming\OpenCandy" (제거 성공)

   "C:\Users\Administrator\AppData\Local\globalUpdate" (제거 성공)

   "C:\Users\Administrator\AppData\Local\UtilChango" (제거 성공)

   "C:\Program Files (x86)\30d8ad03-8953-4321-979e-e0cec758d82f" (제거 성공 [Active Scan])

   "C:\Program Files (x86)\b4c4e031-88e3-4a1b-9959-080491bc883d" (제거 성공 [Active Scan])

   "C:\Program Files (x86)\globalUpdate" (제거 성공)

   "C:\Program Files (x86)\STab" (제거 성공)


   ■ 악성 Hosts 파일 제거 :

   발견되지 않음


   ■ 시스템 드라이브 루트 폴더 내 SCR, VBA, VBE, VBS 파일 제거 :

   발견되지 않음


   ■ 글꼴 폴더 내 BAT, COM, DLL, EXE, OCX, SCR, SYS, VBA, VBE, VBS 파일 제거 :

   발견되지 않음


   ■ 애플리케이션 폴더 내 BAT, COM, DLL, EXE, OCX, SCR, SYS, VBA, VBE, VBS 파일 제거 :

   "C:\Users\Administrator\AppData\Roaming\MFXDWN.exe" (제거 성공)

   "C:\Users\Administrator\AppData\Roaming\PMWABXQ.exe" (제거 성공)

   "C:\Users\Administrator\AppData\Roaming\UNYCJNV.exe" (제거 성공)

   "C:\Users\Administrator\AppData\Roaming\VKTWNT.exe" (제거 성공)


   ■ 템플릿 폴더 내 BAT, COM. DLL, EXE, OCX, SCR, SYS, VBA, VBE, VBS 파일 제거 :

   발견되지 않음


   ■ 프로그램 파일 폴더 내 COM, EXE, SCR, VBA, VBE, VBS 파일 제거 :

   발견되지 않음


   ■ 공통 프로그램 파일 폴더 내 BAT, COM, DLL, EXE, OCX, SCR, SYS, VBA, VBE, VBS 파일 제거 :

   발견되지 않음


   ■ 악성 및 유해 가능 BHO(Browser Helper Object) 제거 :

   발견되지 않음


   ■ 악성 및 유해 가능 브라우저 확장 기능 제거 :

   발견되지 않음


   ■ 악성 및 유해 가능 <HKEY_CLASSES_ROOT> 레지스트리 제거 :

   "HKCR\globalUpdate.OneClickProcessLauncherMachine" (제거 성공)

   "HKCR\globalUpdate.OneClickProcessLauncherMachine.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.CoCreateAsync" (제거 성공)

   "HKCR\globalUpdateUpdate.CoCreateAsync.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.CoreClass" (제거 성공)

   "HKCR\globalUpdateUpdate.CoreClass.1" (제거 성공)

   "HKCR\globalUpdateUpdate.CoreMachineClass" (제거 성공)

   "HKCR\globalUpdateUpdate.CoreMachineClass.1" (제거 성공)

   "HKCR\globalUpdateUpdate.CredentialDialogMachine" (제거 성공)

   "HKCR\globalUpdateUpdate.CredentialDialogMachine.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassMachine" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassMachine.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassMachineFallback" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassSvc" (제거 성공)

   "HKCR\globalUpdateUpdate.OnDemandCOMClassSvc.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.ProcessLauncher" (제거 성공)

   "HKCR\globalUpdateUpdate.ProcessLauncher.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3COMClassService" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3COMClassService.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebMachine" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebMachine.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebMachineFallback" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebMachineFallback.1.0" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebSvc" (제거 성공)

   "HKCR\globalUpdateUpdate.Update3WebSvc.1.0" (제거 성공)

   "HKCR\APPID\{C007DADD-132A-624C-088E-59EE6CF0711F}" (제거 성공)

   "HKCR\Wow6432Node\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}" (제거 성공)


   ■ 악성 및 유해 가능 <HKEY_CURRENT_USER> 레지스트리 제거 :

   "HKCU\Software\globalUpdate" (제거 성공)

   "HKCU\Software\InstalledBrowserExtensions" (제거 성공)

   "HKCU\Software\Microsoft\Internet Explorer\Approved Extensions : {11111111-1111-1111-1111-110611331111}" (제거 성공 [Active Scan])

   "HKCU\Software\Microsoft\Internet Explorer\Approved Extensions : {11111111-1111-1111-1111-110611321185}" (제거 성공 [Active Scan])

   "HKCU\Software\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}" (제거 성공)


   ■ 악성 및 유해 가능 <HKEY_LOCAL_MACHINE> 레지스트리 제거 :

   "HKLM\Software\InstalledBrowserExtensions" (제거 성공)

   "HKLM\Software\Wow6432Node\GlobalUpdate" (제거 성공)

   "HKLM\Software\Wow6432Node\InstalledBrowserExtensions" (제거 성공)

   "HKLM\Software\Wow6432Node\SupDp" (제거 성공)

   "HKLM\Software\Wow6432Node\supWindowsMangerProtect" (제거 성공)

   "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID : {11111111-1111-1111-1111-110611321185}" (제거 성공 [Active Scan])

   "HKLM\Software\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}" (제거 성공)

   "HKLM\Software\Wow6432Node\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}" (제거 성공)

   "HKLM\Software\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXT : IGNOREFRAMEAPPROVALCHECK" (제거 성공)

   "HKLM\System\CurrentControlSet\Services\EventLog\Application\WindowsMangerProtect" (제거 성공)


   ■ 악성 및 유해 가능 프로그램 설치 정보 레지스트리 제거 :

   발견되지 않음


   ■ 악성 및 유해 가능 시작 프로그램 레지스트리 제거 :

   발견되지 않음


   ■ 초기화 대상 인터넷 브라우저 바로 가기 확인 :

   문제점이 발견되지 않음


   ■ 초기화 대상 서비스 및 레지스트리 확인 :

   문제점이 발견되지 않음


   ■ 네트워크 DNS 주소 상태 확인 :

   문제점이 발견되지 않음


   ■ 소켓 프로토콜 상태 확인 :

   문제점이 발견되지 않음


   ■ 필수 시스템 파일 변조 유/무 확인 (2차) :

   변조된 파일이 없음


--------------------------------------------------------------------------------------------------------------------


   Virus Zero Season 2 : http://cafe.naver.com/malzero

   Batch Script : ViOLeT (archguru)


   경고 ! 타 사이트/카페/블로그/토렌트 등에서 재배포/개작 및 상업적 이용 절대 금지 ! (발견시 신고 요망)


--------------------------------------------------------------------------------------------------------------------

ㄷ ㅐ ㄷ ㅏ ㅎ ㅏ ㄷ ㅏ

           ㄴ