악성 프로그램 중에 특히 가짜 백신(RogueWare)를 제거할 때에는 가짜 백신이 백그라우드로 실행되거나, 서비스로 동작하는 경우가 많아 제대로 제거되지 않는 경우가 많습니다.

따라서, 그러한 경우에는 다음과 같이 2가지 방법을 사용할 수 있습니다.
  • 안전모드로 재부팅 - 약한(!) 가짜 백신은 이것으로도 충분합니다.
  • 프로세스 삭제 전용 프로그램 이용 - 프로세스를 관리하는 프로그램을 이용하여 실행 중인 가짜 백신을 중지합니다.
본 글에서는 프로세스에 대한 자세한 정보를 제공해 주고, 또한 프로세스를 삭제할 수 있는 프로그램 중에서 a-squared 사가 개발하여 제공하는 HiJackFree에 대해 설명합니다.

1. 다운로드
 
   HijackFree는 아래 링크에서 다운로드할 수 있습니다.



2. 설치
 
   HijackFree를 설치하는 방법은 일반 프로그램과 유사하므로 생략합니다.


3. 사용 방법
 
1) 실행- 설치가 완료되면 시작 -> a-squared HiJackFree -> a-squared HiJackFree를 클릭하여 실행합니다. 메뉴 자체는 직관적이므로 크게 어렵진 않습니다.

(화면 #1. 왼쪽 사각형 부분이 프로세스의 이름, 오른쪽 사각형 부분이 프로세스의 실제 경로입니다)

2) 프로세스 정보 보기: 특정한 프로세스의 정보를 보고 싶은 때에는 Name 부분에서 해당 프로세스를 마우스로 클릭하면 아래 부분에 세부 정보가 자동으로 표시됩니다.
(화면 #2. 어베스트! 안티바이러스 제품의 실행 파일에 대한 정보가 표시됩니다.)

3) 프로세스 죽이기: 특정한 프로세스를 죽이기 위해서는 해당 프로세스를 선택하고 마우스 오른쪽 버튼을 클릭한 후에 Kill Process 항목을 클릭합니다.

(화면 #3. 프로세스를 선택하여 삭제합니다.)

주의: 삭제할 때에는 Location 부분에 있는 파일의 실제 경로를 파악한 후에 진행해야 합니다.

감사합니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    윈도우 7이 나오면서, 가짜 백신의 작명(naming) 경향이 7으로 변경되고 있습니다. 가짜 백신 중의 하나인 Antivirus 7를 제거하는 방법을 소개합니다.

    다행이도 Antivirus 7은 비교적 간단한 형태로 설치되기 때문에, 컴퓨터에 대한 지식이 약간만 있더라도 충분히 제거할 수 있습니다.

    1. 안전 모드로 재부팅합니다.

    2. 작업관리자(Ctrl-Alt-Del)를 실행하여, Antivirus7.exe 프로세스를 찾아 종료합니다.

    3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
    %Program Files%\AV
    %Program Files%\AV\Antivirus7.exe
    %Program Files%\Common Files\Uninstall
    %Program Files%\Common Files\Uninstall\AV
    %Program Files%\Common Files\Uninstall\AV\Uninstall.lnk
    %Program Files%\Antivirus7AV
    %Documents and Settings%\All Users\Start Menu\AV
    %Documents and Settings%\All Users\Start Menu\AV\Antivirus7.lnk
    %Documents and Settings%\All Users\Start Menu\AV\Uninstall.lnk
    %Documents and Settings%\[UserName]\Desktop\Antivirus7.lnk
    %WINDOWS%\system32\UpdateCheck.dll


    4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
    HKEY_CURRENT_USER\Software\EVAACD
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Antivirus7″
    HKEY_CLASSES_ROOT\CLSID\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform “WinNT-EVI 25.11.2009″
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6A23338A-C725-48D0-BA96-B12FDD22DD39}_is1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}

    5. 재부팅합니다.

    출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-7-antivirus-7-removal-instructions

    주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      요즘 블로그에 가짜 백신을 제거하는 방법에 대해 자주 올리고 있습니다. 오늘 소개할 가짜 백신은 AntiMalware라는 제품으로 Active Security 라는 가짜 백신의 아류작입니다.

      이 가짜 제품은 제거하기가 약간 까다롭습니다. 왜냐하면, 프로세스(실행 프로그램)에서 돌아고 있기 때문입니다. 따라서, 이 제품은 제거하려면 3가지 단계를 거쳐야 합니다.

      먼저 안전 모드로 부팅합니다.

      1. 작업 관리자(Ctrl+Alt+Del)를 실행하여 아래의 프로세스를 모두 중지(Kill)합니다.
      antimalware.exe
      uninstall.exe

      2. 탐색기를 실행하여 아래의 파일들을 모두 휴지통으로 보냅니다.
      c:\Program Files\AntiMalware\antimalware.exe
      c:\Program Files\AntiMalware\help.ico
      c:\Program Files\AntiMalware\malw.db
      c:\Program Files\AntiMalware\uninstall.exe
      c:\Documents and Settings\All Users\Desktop\AntiMalware Support.lnk
      c:\Documents and Settings\All Users\Desktop\AntiMalware.lnk
      c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware
      c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\AntiMalware Support.lnk
      c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\AntiMalware.lnk
      c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware\Uninstall AntiMalware.lnk
      %Temp%\4otjesjty.mof
      %Temp%\c.dat 

      3. 레지스트리 편집기(regedit.exe)를 실행하여 아래 항목을 모두 삭제합니다.
      HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “AntiMalware”
      HKEY_LOCAL_MACHINE\SOFTWARE\Active Security
      HKEY_LOCAL_MACHINE\SOFTWARE\AntiMalwareHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiMalwareHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved “{5E2121EE-0300-11D4-8D3B-444553540000}”

      이제 컴퓨터를 재부팅합니다.

      중요한 사항은 의심이 갈만한 보안 제품은 설치하지 않는 것이 좋습니다.

      출처: http://www.xp-vista.com/spyware-removal/remove-antimalware




      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        가짜 백신(Rogue Antivirus)이라고 들어 보셨나요? 가짜 백신은 컴퓨터에 악성 프로그램이 없는데도 있다고 사칭하면서 치료할 때 돈을 요구하는 프로그램을 말합니다. 감염되는 방식은 인터넷 상의 광고 등을 이용하여 온라인으로 바이러스를 검사할 수 있다고 속여 사용자가 허용하면 가짜로 검사하는 척 하면서 있지도 않은 바이러스가 있다고 경고합니다. 그런 다음에 가짜 백신을 컴퓨터에 다운로드하여 설치하게 합니다. 그리고, 실제 검사를 진행하면 물론 거짓으로 감염되었다고 알려 주고 치료를 위해서는 결제를 하도록 유도합니다. 아래는 지난 번에 포스팅한 Green AV라는 가짜 백신을 제거하는 방법에 대한 자료입니다.


        오늘 소개할 가짜 백신은 Active Security라는 제품입니다. 물론 이 제품도 정상적인 안티바이러스 제품을 흉내내서 사용자의 돈을 갈취하는 아주 나쁜 프로그램입니다.

        Active Security 프로그램을 제거하는 방법은 다음과 같습니다.

        1. MalwareBytes의 Anti-Malware 프로그램을 다운로드합니다.
        http://www.malwarebytes.org/

        2. 인터넷 브라우저 등과 같이 실행했던 모든 프로그램을 종료합니다.

        3. 다운받은 mbam-setup 파일을 실행합니다.

        4. 설치 과정 중에는 설정을 따로 변경하지 않고 설치를 진행합니다. 설치 과정 마지막 부분에서 체크박스를 모두 체크한 상태에서 완료합니다.

        5. MalwareBytes의 Anti-Malware 프로그램을 실행합니다. Scanner 탭에서 Perform Quick Scan을 선택하고, Scan을 클릭합니다.

        6. 검사가 과정이 진행됩니다. 검사가 완료되면, 메인 화면에서 Show Results를 클릭합니다.

        6. 진단한 파일을 선택하여 제거합니다. 만약 재부팅을 묻는 경우에는 재부팅을 진행합니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory