Vista Smart Security 2010은 다른 가짜 백신과는 달리 직접 설치하는 방식 이외에도 코덱을 설치하거나 플래시 속에 솜겨져서 설치되기도 합니다.

이 가짜 백신을 제거하는 방법을 소개합니다.

1. 안전 모드로 재부팅합니다.

2. 작업관리자(Ctrl-Alt-Del)를 실행하여, av.exe 프로세스를 찾아 종료합니다.

3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
av.exe


4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “av.exe” /START “firefox.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “av.exe” /START “firefox.exe” -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “av.exe” /START “iexplore.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “av.exe” /START “%1″ %*

5. 재부팅합니다.

출처: http://www.xp-vista.com/spyware-removal/remove-vista-smart-security-2010-vista-smart-security-2010-removal

주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요


    Security Guard는 SecurityGuard라고 부르기도 하는 가짜 백신입니다. 설치가 다소 복잡하기 때문에 제거 또한 조금 더 복잡합니다.

    이 가짜 백신을 제거하는 방법을 소개합니다.

    1. 안전 모드로 재부팅합니다.

    2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
    exec.exe
    grid.exe
    SICKBOY.exe



    3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
    %UserProfile%\Recent\exec.exe
    %UserProfile%\Recent\exec.tmp
    %UserProfile%\Recent\fan.drv
    %UserProfile%\Recent\fix.tmp
    %UserProfile%\Recent\grid.exe
    %UserProfile%\Recent\kernel32.exe
    %UserProfile%\Recent\runddlkey.drv
    %UserProfile%\Recent\SICKBOY.exe
    %UserProfile%\Recent\tempdoc.tmp
    %UserProfile%\Start Menu\Security Guard.lnk
    %UserProfile%\Start Menu\Programs\Security Guard.lnk

    %UserProfile%\Application Data\Security Guard
    %UserProfile%\Application Data\Security Guard\cookies.sqlite
    %UserProfile%\Application Data\Security Guard\Instructions.ini
    %UserProfile%\Desktop\Security Guard.lnk
    %UserProfile%\Recent\ANTIGEN.sys
    %UserProfile%\Recent\ANTIGEN.tmp
    %UserProfile%\Recent\cb.exe
    %UserProfile%\Recent\cid.dll
    %UserProfile%\Recent\ddv.sys
    %UserProfile%\Recent\eb.dll
    %UserProfile%\Recent\eb.drv
    %UserProfile%\Recent\energy.exe
     c:\Program Files\Mozilla Firefox\searchplugins\search.xml 
    c:\Documents and Settings\All Users\Application Data\345d567
    c:\Documents and Settings\All Users\Application Data\345d567\24.mof
    c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
    c:\Documents and Settings\All Users\Application Data\345d567\SG345d.exe
    c:\Documents and Settings\All Users\Application Data\345d567\SGD.ico
    c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
    c:\Documents and Settings\All Users\Application Data\345d567\BackUp\
    c:\Documents and Settings\All Users\Application Data\345d567\Quarantine Items\
    c:\Documents and Settings\All Users\Application Data\345d567\SGDSys\
    c:\Documents and Settings\All Users\Application Data\345d567\SGDSys\vd952342.bd
    c:\Documents and Settings\All Users\Application Data\SGZIQYEXRD
    c:\Documents and Settings\All Users\Application Data\SGZIQYEXRD\SGWNLED.cfg



    4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
    HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”
    HKEY_CURRENT_USER\Software\3
    HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer “PRS” = “http://127.0.0.1:27777/?inj=%ORIGINAL%”
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform “layout/2.01002″
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Security Guard”

    HKEY_CLASSES_ROOT\SG345d.DocHostUIHandler
    HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=1002&q={searchTerms}”

    5. 재부팅합니다.

    출처: http://www.xp-vista.com/spyware-removal/remove-security-guard-security-guard-removal

    주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. 김민준 2010.07.21 12:07  댓글주소  수정/삭제  댓글쓰기

        감사합니다.


      XP Smart Security 2010은 다른 가짜 백신과는 달리 직접 설치하는 방식 이외에도 코덱을 설치하거나 플래시 속에 솜겨져서 설치되기도 합니다.

      이 가짜 백신을 제거하는 방법을 소개합니다.

      1. 안전 모드로 재부팅합니다.

      2. 작업관리자(Ctrl-Alt-Del)를 실행하여, av.exe 프로세스를 찾아 종료합니다.

      3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
      %UserProfile%\AppData\Local\av.exe


      4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
      HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
      HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
      HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “av.exe” /START “firefox.exe” -safe-mode
      HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “av.exe” /START “iexplore.exe”
      HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “av.exe” /START “firefox.exe”
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″
      HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1″ %*
      HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “av.exe” /START “%1″ %*

      5. 재부팅합니다.

      출처: http://www.xp-vista.com/spyware-removal/remove-xp-smart-security-2010-xp-smart-security-2010-removal#more-4842

      주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요


        Personal Security라는 이름을 가진 가짜 백신은 Cyber Security 제품의 변형으로 알려지고 있습니다. 이 가짜 백신을 제거하는 방법을 소개합니다.

        Personal Security 제품은 비교적 간단한 형태로 설치되기 때문에, 컴퓨터에 대한 지식이 약간만 있더라도 충분히 제거할 수 있습니다.

        1. 안전 모드로 재부팅합니다.

        2. 작업관리자(Ctrl-Alt-Del)를 실행하여, psecurity.exe 프로세스를 찾아 종료합니다.

        3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
        c:\Documents and Settings\All Users\Start Menu\PSecurity
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Computer Scan.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Help.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Personal Security.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Registration.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Security Center.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Settings.lnk
        c:\Documents and Settings\All Users\Start Menu\PSecurity\Update.lnk

        c:\Program Files\PSecurity
        c:\Program Files\PSecurity\psecurity.exe
        c:\Program Files\Common Files\PSecurityUninstall
        c:\Program Files\Common Files\PSecurityUninstall\Uninstall.lnk

        %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\PSecurity.lnk
        %UserProfile%\Desktop\Personal Security.lnk

        c:\WINDOWS\system32\win32extension.dll


        4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “PSecurity”
        HKEY_LOCAL_MACHINE\SOFTWARE\5FFB10D58FFCF482208906E6A889FD56
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform “WinTSI 01.12.2009″

        HKEY_CLASSES_ROOT\CLSID\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}

        5. 재부팅합니다.

        출처: http://www.xp-vista.com/spyware-removal/remove-personal-security

        주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. 1203 2010.04.03 20:18  댓글주소  수정/삭제  댓글쓰기

            이거 깔리고 나서 바탕화면의 모든 폴더랑 파일이 안보이구요 ㅠ
            한글, 그림판, 메모장이런것도 안떠요..
            그래서 작업관리자도 안뜨는데 어떻게 해야되나요?
            (안전모드에선 바탕화면의 아이콘은 다 뜨는데
            작업관리자에 아무 항목도 없어요)

          2. Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.04.06 14:12 신고  댓글주소  수정/삭제  댓글쓰기

            안전모드에서 먼저 치료해 보세요.

          3. ㅎㅎ 2010.04.12 12:44  댓글주소  수정/삭제  댓글쓰기

            탐색기 열고 파일들 지우려고 하는데
            저 파일들이 다 없는 경우도 있나요??
            %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick
            이런건 어떻게 찾나요?
            좀 알려주세요
            치료를 못하겠어요

          4. ㅎㅎ 2010.04.12 12:45  댓글주소  수정/삭제  댓글쓰기

            아 어쩌다보니 치료 됐네요
            근데 about:blank 가 계속 뜨는데
            이거는 어떻게 치료하는 건가요??

          5. ㅎㅎ 2010.04.13 14:32  댓글주소  수정/삭제  댓글쓰기

            덕분에 그건 치료할 수 있어서 감사드려요

            근데 Userinit.exe 말씀하시는 거죠?
            들어가서 확인했는데 뒤에가 , 로 끝나거든요

            다면 제 컴퓨터는 ₩System32₩userinit.exe,
            이런식으로 끝나고 %가 없어요

            뭐 어떻게 해야 하나요? 다른 방법은 없는건지
            컴퓨터 너무 어렵네요 ㅜ

          6. Favicon of http://www.cyworld.com/01079414335 BlogIcon 한유경 2010.05.01 19:13  댓글주소  수정/삭제  댓글쓰기

            안녕하세여ㅠ저이상한가짜백신이깔려서 열심히지우려고노력중인데요! 계속껏다켯다해도 안전모드에서해도 안되더라고요;;
            이건뭐어떻게해야되져?ㅠ0ㅠ시작 프로그램도안뜨고요ㅠ
            백신따운받으려고하면 안따운되고요....ㅠㅠㅠ
            작업관리자도안나와염;;ㅠㅠㅠㅠ제발좀해결해주세여ㅠㅠ!

          7. 윈도우XP 2010.05.08 11:26  댓글주소  수정/삭제  댓글쓰기

            저도 위사진과 똑같은 바이러스에 감염됐는데요
            안전모드실행후 작업관리자를 열어 프로세스에 들어가봤더니
            Psecurity.exe라는 프로세스가 없어요 이런경우 어떻해야하죠?

          8. 크랩킹 2010.05.15 17:35  댓글주소  수정/삭제  댓글쓰기

            작업관리자 실행부터가 안되는데요!

          윈도우 7이 나오면서, 가짜 백신의 작명(naming) 경향이 7으로 변경되고 있습니다. 가짜 백신 중의 하나인 Antivirus 7를 제거하는 방법을 소개합니다.

          다행이도 Antivirus 7은 비교적 간단한 형태로 설치되기 때문에, 컴퓨터에 대한 지식이 약간만 있더라도 충분히 제거할 수 있습니다.

          1. 안전 모드로 재부팅합니다.

          2. 작업관리자(Ctrl-Alt-Del)를 실행하여, Antivirus7.exe 프로세스를 찾아 종료합니다.

          3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
          %Program Files%\AV
          %Program Files%\AV\Antivirus7.exe
          %Program Files%\Common Files\Uninstall
          %Program Files%\Common Files\Uninstall\AV
          %Program Files%\Common Files\Uninstall\AV\Uninstall.lnk
          %Program Files%\Antivirus7AV
          %Documents and Settings%\All Users\Start Menu\AV
          %Documents and Settings%\All Users\Start Menu\AV\Antivirus7.lnk
          %Documents and Settings%\All Users\Start Menu\AV\Uninstall.lnk
          %Documents and Settings%\[UserName]\Desktop\Antivirus7.lnk
          %WINDOWS%\system32\UpdateCheck.dll


          4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
          HKEY_CURRENT_USER\Software\EVAACD
          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Antivirus7″
          HKEY_CLASSES_ROOT\CLSID\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform “WinNT-EVI 25.11.2009″
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6A23338A-C725-48D0-BA96-B12FDD22DD39}_is1
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}

          5. 재부팅합니다.

          출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-7-antivirus-7-removal-instructions

          주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

             

            저자: Grinler

            출처: http://www.bleepingcomputer.com/virus-removal/remove-antivirus-soft

             

            1. 소개

              Antivirus Soft는 Antivirus Live라고 불리우는 가짜 백신 중의 하나입니다. 가짜 백신은 보통 사용자의 허락없이 또는 사용자가 알지 못하는 사이에 프로그램을 설치하여 감염됩니다. Antivirus Soft는 아크로뱃 리더의 예전 버전에서 발견되는 PDF 취약점을 이용하여 컴퓨터에 감염시킵니다. 설치가 완료되면, Antivirus Soft는 컴퓨터가 시작할 때마다 항상 실행되도록 '시작 프로그램' 목록에 추가합니다. 처음 실행될 때에는 컴퓨터에 악성 프로그램이 있는지 검사하고 엄청난 수의 감염된 파일을 보여줍니다. 하지만, 감염된 파일을 치료하기 위해서는 제품을 구매해야 합니다. 실제로 감염된 파일은 모두 가짜이며 컴퓨터에는 이러한 파일 자체가 없습니다.

               

              또한, 정상적인 안티바이러스 프로그램이 Antivirus Soft를 제거할 수 없도록 자체적인 보호 수단을 가지고 있습니다. Antivirus Soft 프로세스가 실행 중일 때에는 감염되었다는 가짜 메시지를 보여주면서 다른 실행 중인 모든 프로그램을 닫게 만듭니다. 또한, Antivirus Soft는 인터넷 익스플로러의 프록시 설정을 변경합니다. 프록시 설정을 변경함으로써 Antivirus Soft 구매 사이트 이외의 다른 사이트의 접근을 방해합니다. 이런 방법으로 Antivirus Soft를 제거하는 방법이나 정상적인 안티바이러스 제품을 인터넷에서 다운로드하지 못하게 방해합니다. 이 두 가지 방법을 통해 Antivirus Soft 프로그램은 사용자가 컴퓨터를 사용할 때에 겁을 주거나 귀찮게 함으로써 구매를 유도합니다.

              <그림 #1. Antivirus Soft 실행 화면.

            2. 세부 정보

              Antivirus Soft가 실행 중일 때에는 사용자의 컴퓨터에 보안 상 치명적인 문제점이 있다고 인식하도록 다양한 보안 경고 메시지를 보여주게 됩니다. 예를 들면, 윈도우 보안 센터를 베낀 가짜 화면을 보여 주고 보안을 유지하기 위해서는 제품을 구매하게 유도합니다. 또한, 컴퓨터가 감염되었다는 가짜 메시지를 보여 주게 되며 아래와 같이 악성 프로그램이 감염되었다고 알려주기도 합니다.

               

            Antivirus Software Alert
            Infiltration Alert
            Your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan-dropper or similar.
            Threat: Win32/Nuqel.E

             

                Antivirus Soft를 위협 요소에 따라 구분하면 다음에 해당합니다.

             

            • RansomWare(사용자가 컴퓨터를 사용할 때에 팝업창을 보여 주는 것과 같이 귀찮게 하는 악성프로그램의 일종)
            • Rogue(정상적인 기능을 하는 프로그램으로 보이지만 실제로는 아무런 기능을 수행하지 않는 가짜 프로그램)

             

            Antivirus Soft의 구성요소는 다음과 같습니다.

             

            설치되는 파일 정보

            Windows XP:

            %UserProfile%\Local Settings\Application Data\<random>\
            %UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
            %UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


            Windows Vista and Windows 7:

            %UserProfile%\AppData\Local\<random>\
            %UserProfile%\AppData\Local\<random>\<random>sysguard.exe
            %UserProfile%\AppData\Local\<random>\<random>sftav.exe

            등록하는 레지스트리 정보

            Windows XP:

            O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
            O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


            Windows Vista and Windows 7:

            O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sysguard.exe
            O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sftav.exe

             

            알림: 파일 및 레지스트리 정보는 HijackThis 프로그램의 로그를 이용하여 분석한 결과입니다.

             

            1. 치료 방법

              컴퓨터에 대한 충분한 지식이 있는 사용자는 위에서 언급한 파일 및 레지스트리 정보를 참조하여 직접 제거할 수도 있습니다만, 일반 사용자들에게는 다소 어려운 작업일 수 있습니다.

               

              Antivirus Soft를 제거하기 위해서는 다음과 같이 3가지 사항을 반드시 명심해야 합니다.

            • 치료할 때에는 안전 모드로 부팅하여 진행해야 합니다.
            • 인터넷 옵션의 프록시 설정을 변경해야 합니다.
            • 치료에 필요한 프로그램을 미리 준비합니다.

             

            1. 보다 원활한 치료를 위해 본 문서를 출력하거나, 노트북과 같이 다른 수단을 준비합니다.

               

               

            2. MalwareBytes' Anti-Malware(MBAM) 프로그램을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다. (프로그램은 무료 버전과 유료 버전이 있습니다. 유료 버전은 30일 평가판으로 사용할 수 있으므로 유료 버전을 다운로드합니다)

             

            http://www.malwarebytes.org/mbam.php

             

             

            1. 프로세스를 삭제하는 프로그램인 rkill을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다.

             

            http://download.bleepingcomputer.com/grinler/rkill.com

             

             

            1. 이제 컴퓨터를 안전 모드로 재부팅합니다.

              안전모드로 재부팅하려면 컴퓨터가 시작할 때에 F8 키를 천천히 눌러 주거나, SHIFT 키를 꾹 누룹니다.

             

             

            1. 프록시 설정을 변경합니다.

              시작 -> 설정 -> 제어판 -> 인터넷 옵션을 실행합니다. 연결 탭에서 LAN 설정 버튼을 클릭합니다. 프록시 서버의 체크 버튼을 해제합니다. 그리고 확인 버튼을 눌러 창을 모두 닫습니다.

               

               

            2. 실행 중인 모든 창(프로그램)을 닫습니다. 그리고, rkill 프로그램을 실행합니다. 이 프로그램은 현재 실행 중인 모든 프로그램을 닫고, 이에 대한 사항을 로그로 보여줍니다.(만약 Antivirus Soft가 감염된 프로그램이라고 경고하더라도 무시하고 실행합니다. 그런 후에 다시 한번 실행하여 완벽하게 프로그램을 닫습니다. 재부팅해서는 안됍니다.)

             

             

            1. 다운로드한 MBAM(mbam-setup.exe)를 설치합니다.

              설치하는 중에는 아래의 부분만 변경하고 나머지는 기본값 그대로 진행합니다.

            • Update Malwarebytes' Anti-Malware 체크.
            • Launch Malwarebytes' Anti-Malware 체크.

            만약 설치 마지막 단계에서 재부팅이 필요하다고 대화창이 나타나더라도 재부팅해서는 안됍니다. 설치가 완료되면 MBAM이 실행되며, 자동으로 업데이트할지 묻는 대화상자가 나타는 경우에는 확인 버튼을 클릭합니다.

             

             

            1. Scanner 탭에서 Perform full scan 옵션을 선택하고 Scan 버튼을 클릭합니다. 그러면, 컴퓨터에 설치되어 있는 악성 프로그램을 검사하게 됩니다. 검사하는 시간이 오래 걸릴 수도 있습니다.

             

             

            1. 검사가 완료되면 아래와 같이 대화상자를 보여 줍니다. 확인 버튼을 클릭합니다.

               

               

            2. Scanner 탭에서 Show Results 버튼을 클릭합니다. 그러면 아래와 같이 Antivirus Soft에 관련된 감염된 파일을 볼 수 있습니다. 아래 화면에서 일부 항목은 앞에서 언급했던 파일 이름(경로), 레지스트리 정보와 다를 수도 있습니다.

             

             

            1. 감염된 모든 파일을 제거하기 위해 Remote Selected 버튼을 클릭합니다. 이제 MBAM은 해당 파일과 레지스트리 정보를 모두 제거하고, 격리보관소로 옮깁니다. 만약, 제거하는 과정 중에 재부팅이 필요하다고 대화창에서 표시하는 경우에는 재부팅을 하며, 이러한 경우에는 MBAM 프로그램을 실행하여 8) 단계부터 다시 진행합니다.

             

             

            1. 모두 완료된 후에는 메모장에 로그 기록을 보여줍니다. 해당 내역을 파일로 저장하여 둡니다. MBAM 프로그램을 종료하고 재부팅합니다.

             

             

            주의: 악성 프로그램은 계속 변종이 나타날 있으므로, 위에 언급한 사항이 100% 정확하지 않을 있으므로, 중요한 정보는 미리 백업하시기 바랍니다.

             

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              최근 가짜 안티바이러스 제품들이 이름을 바꿔가며 널리 전파되어 있어 사용자의 피해가 막심합니다.

              본 기사에서는 가짜백신 프로그램 중 하나인 Antivirus Soft 제품을 제거하는 방법을 소개합니다.


              특히, 이 제품은 인터넷 익스플로러의 프록시 설정을 변경하여 사용자가 이 가짜백신을 제거하는 방법을 알아내지 못하도록 하는 치밀함을 보여 주고 있습니다.

              Antivirus Soft의 제거 방법은 다음과 같습니다.

              1. 재부팅하여 네트워크가 연결되는 옵션이 있는 안전 모드를 선택하여 부팅합니다.

              2. 시작 -> 설정 -> 제어판 -> 인터넷 옵션 -> 연결 탭 -> LAN 설정 버튼을 클릭하여 프록시를 사용하지 않도록 체크를 해제합니다.

              3. 작업 관리자(Ctrl+Alt+Del)를 실행하여 윈도우 시스템 이외 다른 프로세스가 실행되어 있다면 해당 프로세스를 모두 종료합니다.

              4. 아래 링크에서 MBAM(MalwareBytes AntiMalware) 프로그램을 다운로드합니다. 만약, 인터넷에 연결되지 않는다면 정상적인 컴퓨터에서 파일을 다운로드하여 USB 메모리 등으로 복사하여 옮깁니다.

              http://www.malwarebytes.org/mbam.php

              5. 다운로드한 파일을 실행합니다.

              6. MBAM이 실행되며 Perform Quick Scan 을 선택하고 Scan 버튼을 클릭합니다. 그리고 검사가 진행될 동안에 잠시 기다립니다. 검사 결과 아무런 악성코드가 발견되지 않은 경우에는 Full Scan으로 다시 검사합니다.

              7. 검사가 완료되면 Show Results 버튼을 클릭합니다. 찾아낸 악성코드를 선택하고 Remove Selected 버튼을 클릭합니다.


              출처: http://www.softsailor.com/how-to/18309-how-to-remove-uninstall-antivirus-soft-virus-removal-guide.html

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                요즘 블로그에 가짜 백신을 제거하는 방법에 대해 자주 올리고 있습니다. 오늘 소개할 가짜 백신은 AntiMalware라는 제품으로 Active Security 라는 가짜 백신의 아류작입니다.

                이 가짜 제품은 제거하기가 약간 까다롭습니다. 왜냐하면, 프로세스(실행 프로그램)에서 돌아고 있기 때문입니다. 따라서, 이 제품은 제거하려면 3가지 단계를 거쳐야 합니다.

                먼저 안전 모드로 부팅합니다.

                1. 작업 관리자(Ctrl+Alt+Del)를 실행하여 아래의 프로세스를 모두 중지(Kill)합니다.
                antimalware.exe
                uninstall.exe

                2. 탐색기를 실행하여 아래의 파일들을 모두 휴지통으로 보냅니다.
                c:\Program Files\AntiMalware\antimalware.exe
                c:\Program Files\AntiMalware\help.ico
                c:\Program Files\AntiMalware\malw.db
                c:\Program Files\AntiMalware\uninstall.exe
                c:\Documents and Settings\All Users\Desktop\AntiMalware Support.lnk
                c:\Documents and Settings\All Users\Desktop\AntiMalware.lnk
                c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware
                c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\AntiMalware Support.lnk
                c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\AntiMalware.lnk
                c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\Uninstall AntiMalware.lnk
                %Temp%\4otjesjty.mof
                %Temp%\c.dat 

                3. 레지스트리 편집기(regedit.exe)를 실행하여 아래 항목을 모두 삭제합니다.
                HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “AntiMalware”
                HKEY_LOCAL_MACHINE\SOFTWARE\Active Security
                HKEY_LOCAL_MACHINE\SOFTWARE\AntiMalwareHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiMalwareHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved “{5E2121EE-0300-11D4-8D3B-444553540000}”

                이제 컴퓨터를 재부팅합니다.

                중요한 사항은 의심이 갈만한 보안 제품은 설치하지 않는 것이 좋습니다.

                출처: http://www.xp-vista.com/spyware-removal/remove-antimalware




                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  가짜 백신(Rogue Antivirus)이라고 들어 보셨나요? 가짜 백신은 컴퓨터에 악성 프로그램이 없는데도 있다고 사칭하면서 치료할 때 돈을 요구하는 프로그램을 말합니다. 감염되는 방식은 인터넷 상의 광고 등을 이용하여 온라인으로 바이러스를 검사할 수 있다고 속여 사용자가 허용하면 가짜로 검사하는 척 하면서 있지도 않은 바이러스가 있다고 경고합니다. 그런 다음에 가짜 백신을 컴퓨터에 다운로드하여 설치하게 합니다. 그리고, 실제 검사를 진행하면 물론 거짓으로 감염되었다고 알려 주고 치료를 위해서는 결제를 하도록 유도합니다.
                   
                  또한 가짜 백신은 설치는 교묘하게 쉽게 진행할 수 있도록 되어 있지만, 제거할 때에는 우리가 일반적으로 사용하는 프로그램추가/제거 로는 거의 불가능합니다.

                  이러한 가짜 백신은 국내에도 꽤 많이 있지만, 국내 가짜백신 개발사의 기술력으로는 겨우 어찌 하나 만들어서 그걸 여러 개의 이름으로 변형하는 즉, 손오공이 자기 털을 하나 뽑아서 10개(!)의 분신을 만드는 수준에 불과합니다.

                  하지만 해외에서는 안티바이러스(Antivirus-1, Antivirus 2009, Antivirus 2010 등등) 시리즈라고 하는 불세출의 가짜 백신이 컴퓨터에 익숙하지 않은 사용자들의 돈을 갈취하고, 지우지도 못하게 하는 등 문제가 꽤 심각해 지고 있습니다.

                  이러한 가짜 백신 프로그램 중의 하나인 Green AV 라는 제품이 있습니다. 물론 이제품도 Antivirus 시리즈와 유사한 제품입니다.

                  하여튼, 사용자 컴퓨터에 Green AV가 설치되면 여러 가지 방법으로 사용자에게 바이러스가 있다고 경고 메시지를 보내게 됩니다. 또한, 인터넷 익스플로러와 파이어폭스에도 가끔식 경고 메시지를 보여 주게 되어 사용자를 불편하게 합니다.

                  사설이 너무 길었습니다. 이제 Green AV를 제거하는 방법을 소개합니다. 아쉽게도 이 가짜 백신을 자동으로 삭제하는 프로그램은 아직 출현하지 않았습니다. 제거하는 프로그램은 다음과 같이 2가지중에 선택하여 사용할 수 있습니다.
                  • HijackThis - 트렌드마이크로가 개발하여 무료로 제공하는 시스템 복구 유틸리티.
                  • Anti-Malware - MalwareBytes가 개발하여 유료/무료로 제공하는 악성 프로그램 치료 프로그램
                  1. HijackThis - 이 프로그램은 윈도우 시스템의 프로세스, 서비스, 실행 프로그램, 시작 관련 레지스트리, BHO와 같이 악성 프로그램이 애용(!)하는 부분을 검색하여 일목요연하게 보여줍니다. 사정상 이 프로그램의 사용법에 대해서는 다루지 않습니다. Green AV를 제거하려면 HijackThis 프로그램을 설치하여 검사한 후에 아래의 항목을 제거하면 됩니다.
                  O1 - Hosts: 69.10.51.38 a1.review.zdnet.com
                  O1 - Hosts: 69.10.51.38 d1.reviews.cnet.com
                  O1 - Hosts: 69.10.51.38 reviews.riverstreams.co.uk
                  O1 - Hosts: 69.10.51.38 reviews.download.com
                  O1 - Hosts: 69.10.51.38 review.2009softwarereviews.com
                  O1 - Hosts: 69.10.51.38 reviews.pcmag.com
                  O1 - Hosts: 69.10.51.38 reviews.pcadvisor.co.uk
                  O1 - Hosts: 69.10.51.38 reviews.techradar.com
                  O1 - Hosts: 69.10.51.38 reviews.pcpro.co.uk
                  O1 - Hosts: 69.10.51.38 www.reevoo.com
                  O1 - Hosts: 69.10.51.38 toptenreviews.com
                  O2 - BHO: WStechB - {A5DBD8CB-DF8A-4992-A655-B155216F6AFB} - C:\Documents and Settings\All Users\Application Data\gwr\WStech.dll
                  O4 - HKLM\..\Run: [37465982736455] C:\Documents and Settings\All Users\Application Data\gwr\mradll.exe
                  O4 - HKLM\..\Run: [03874569874596] C:\Documents and Settings\All Users\Application Data\gwr\rwg.exe

                  2. Anti-Malware 프로그램을 제거하는 방법 - 이 프로그램은 모든 기능을 가진 제품은 유료이고 일부 기능만 사용이 가능한 무료 제품으로 나뉩니다. 다행이 무료 제품을 이용해서도 Green AV를 제거할 수 있습니다.


                  감사합니다.
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요



                    Web Analytics Blogs Directory