윈도우 운영체제 환경에서 특정한 프로세스가 장악하고 있는 핸들이나 DLL 파일에 대한 중요한 정보를 자세하게 살펴 볼 수 있는 Process Explorer의 v14.01 버전이 출시되었습니다.


프로그램은 아래 링크에서 다운로드할 수 있습니다.


감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    Sysinternals Antivirus 라는 이름을 가진 가짜 백신의 제거 방법을 소개했습니다만, 네이버 지식인 등을 검색해 본 결과 피해가 많은 것으로 보여 보다 자세히 설명합니다.

    작업을 진행하기 위해서는 먼저 a-squared HiJackFree 프로그램을 설치하여 사용해야 합니다. 설치 및 사용 방법에 대한 사항은 아래 링크를 참고하십시오.


    이 가짜 백신을 제거하기 위해서는 모두 3단계의 과정을 진행해야 합니다.

    1. 가짜 백신에 관련된 프로세스를 찾아서 죽이기
    2. 가짜 백신에 관련된 파일들 찾아서 삭제하기
    3. 가짜 백신에 관련되 레지스트리를 찾아서 삭제하기


    1. 프로세스 죽이기: 프로세스를 죽이기 위해서는 앞서 언급한 HiJackFree가 필요합니다. 설치후 실행하고나서 아래의 항목에 해당하는 프로세스는 모두 죽입니다.

    alggui.exe
    %Program Files%\svchost.exe
    dbsinit.exe
    Sysinternals Antivirus.exe
    ccsmn.exe
    ccsrr.exe


    2. 레지스트리 삭제: 레지스트리 편집기(regedit.exe)를 실행하여 아래의 항목을 찾아 모두 삭제합니다.

    HKEY_CURRENT_USER\Software\Sysinternals Antivirus
    HKEY_USERS\.DEFAULT\Software\Sysinternals Antivirus
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adbupd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CLASSES_ROOT\CLSID\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavapp"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavappr"


    3. 파일 삭제: 탐색기를 열고 아래의 항목을 찾아 모두 삭제합니다. 파일이 숨김 속성을 지닐 수 있으므로 탐색기 옵션을 수정해 모든 파일이 보이도록 한 후에 작업을 진행합니다.

    %Program Files%\adc_w32.dll
    %Program Files%\alggui.exe
    %Program Files%\extra1.dat
    %Program Files%\extra2.dat
    %Program Files%\nuar.old
    %Program Files%\skynet.dat
    %Program Files%\svchost.exe
    %Program Files%\wp3.dat
    %Program Files%\wp4.dat
    %Program Files%\scdata
    %Program Files%\Sysinternals Antivirus
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn.exe
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.acf
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.ltd
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.lti
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.acb
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.aci
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.mt
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsrr.exe
    %UserProfile%\Application Data\Microsoft\Internet Explorer\lleod150
    %UserProfile%\Application Data\Microsoft\Internet Explorer\wmharun.log
    %UserProfile%\Application Data\Microsoft\Internet Explorer\wmrun.log
    %UserProfile%\Start Menu\Programs\Sysinternals Antivirus

    4. DLL 등록 해제: 이제 마지막으로 한가지 작업을 더 진행해야 합니다. 다른 가짜 백신과 같이 Sysinternals Antivirus는 DLL 파일을 등록하므로 등록된 사항을 해제해야 합니다.

     시작 -> 실행 -> "cmd" 를 입력하고 엔터를 누릅니다. 그리고 "cd" 명령어를 이용하여 아래 파일의 경로로 이동합니다. 그런 후에 "regsvr32 /u adc_w32.dll" 명령어를 입력합니다.

    %Program Files%\adc_w32.dll


    감사합니다.

    출처: http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

    PS: 일부 변종에서는 특정 항목이 없을 수도 있습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 가짜 백신이 대한민국 뿐만 아니라 외국에서도 활개를 치고 있습니다.

      컴퓨터 분야 중에 윈도우 서버 쪽에 관심을 가진 사람이라면 Sysinternals 라는 회사를 알고 계실 수 있습니다만,

      이 회사의 이름과 유사한 가짜 백신인 Sysinternals Antivirus이 출현하여 사용자들을 골탕먹이고 있습니다. 물론, 가짜 백신 답게 컴퓨터에 악성 코드가 있다고 속이고 치료를 위해 구매라하고 난리를 칩니다.

      하여튼, 이 가짜 백신을 제거하는 프로그램을 소개합니다. 이름하여 Sysinternals Antivirus Removal Tool 입니다.



      하지만, 제작사 홈페이지에는 위의 화면이 포함된 프로그램을 찾을 수 없습니다.

      따라서, 수동으로 제거해야 합니다..

      http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

      감사합니다.


      PS: 다른 자료도 있습니다. 변종이 있는 듯 합니다.

      http://www.xp-vista.com/spyware-removal/remove-sysinternals-antivirus-sysinternals-antivirus-removal


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory