보안

spyAxe라는 프로그램이 저절로 인스톨되어있는데요

sungtg 2008. 3. 21. 14:45

질문

안녕하세요. 간만에 질문을 드립니다.
컴퓨터에 spyAxe라는 프로그램이 저절로 인스톨되어있는데요.
그거가 지워도 컴재시작하면 자동으로 또 생기고 그래요. 바이러스 스캔도 이미다 했고요,
ad-aware프로그램을 이용해서 malware 레지스트리도 제거했습니다.
또한 msconfig에서 spyaxe실행안하게하고 regedit가서도 machinesoftwaremicrosoftwindows un에 레지스트리값도 지워보고요.
인터넷에 뒤져서 해볼만한건 해봤습니다.

그리고 오른쪽 아래 시간옆에
You Computer is infected!
Windows has detected spyware infection

it is recommended to use special antispyware tools
to precent data loss.
Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect your computer from psyware

이렇게 메세지가 계속뜨네요... 윈도 업데이트해도 똑같습니다.
결국은 제가 찾은것이 외국싸이트에 smitRem.exe 이라는 툴을 받아서
제거하면 없어졌다고 누가 그랬는데요.
제 컴퓨터가 아니라서 아직 안해봤습니다.

근데 제가 물어보고싶은것은
이런 악성프로그램들이 레지스트에서 어디에 숨어있길래...
지우고 spyaxe에 관한 레지스트리를 지워도 그럴까요..

이름을 다른이름으로 바꾸고 인스톨시키게 숨어있나보죠?
저 smitRem.exe라는 툴 쓰면 없어질듯한데요.
저는 그거보다 manual로 어디경로를 차단해봐야하는지..
자세히 알았음 해서 멜드립니다.

만약 spyaxe프로그램말고
다른악성프로그램이 저것과 같은 증세일경우 remove tool만 기다릴순 없잖아요.

이런 악성코드프로그램을 치료를위한 확인해야할 레지스트리경로를 좀 자세히 알켜주세요.
참고로 외국싸이트 http://www.bleepingcomputer.com/forums/topic36868.html 여기주소고요
. smitRem.exe툴 입니다.
이툴은 또 억케 만들어졌는지 궁금하군요..

너무 길어진것 같습니다. 죄송합니다. 읽어주셔서 감사드리고요.

요즘 또 책 준비하신다고 하신거같은데. 좋은책 부탁드리고요. 좋은하루되세요. 안녕히계세요.


분석


사이트를 방문해서 프로그램을 보았습니다.

Print out these instructions as we will need to shutdown every window that is open later in the fix.
Download smitRem.exe and save the file to your desktop.

Double click on smitRem.exe and then click on Start. When it is done, click on the OK button.
You should now have a folder called smitRem on your desktop.

Next, please reboot your computer in SafeMode by doing the following:

Restart your computer

After hearing your computer beep once during startup, but before the Windows icon appears, press F8.
Instead of Windows loading as normal, a menu should appear
Select the first option, to run Windows in Safe Mode.
When your computer has started in safe mode and you see the desktop, close all open Windows.
Open the smitRem folder on your desktop and double click the RunThis.bat file to start the tool.
Follow the prompts on screen and wait for the tool to complete and disk cleanup to finish.

When the tool is finished, it will will create a log named smitfiles.txt in the root of your drive, eg; Local Disk C: or the partition
where your operating system is installed. Examining that log should show that the infection was cleaned.
Reboot your computer back to normal mode.


내용을 보니까 설치하는 방법과 실행하는 방법을 알려주더군요.

처음에 사이트를 방문해서는 별로 신뢰가 가지 않는 사이트였는데
설명을 읽어보니까 프로그램의 설명을 제대로 해놓아서 안심이 되더군요..

부팅때 애드웨어가 걸렸다고 사인이 나오는 것은
Runthis.bat 파일 때문일 겁니다.

부팅되면서 자동으로 실행이 되도록 .bat파일로 작성이 되어서
영문 사인이 나오는 겁니다.

이것을 삭제 하려면 c: 폴더에 있습니다.
시작 - 시작프로그램에 있는 Runthis.bat 파일을 삭제를 하세요.

아니면 레지스트리 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun에서

RunThis.bat를 찾아서 삭제를 하면 됩니다.