usb바이러스 때려잡기..

어느 작업장에서 외장하드를 많이 사용하게 되었는데...
usb 바이러스 때문에 이러지도 못하고 저러지도 못하는 사태가 발생을 하였습니다.

서버의 하드 용량이 모자라서 외장형을 꼭 사용하게 되었는데..
용량 문제를 해결하니까.. 이제는 usb 바이러스 때문에 폴더나 파일이 숨겨져서 애 좀 먹었습니다.


우선 점검 부터 해봤지요.

레지스트리에서 먼저 자동실행되는 것이 있는지 확인을 해봤지요
특별하게 내가 모르는 프로세스는 없는 거 같고..
그러므로 자동실행되는 문제는 아니고...

흔히 쉽게 놓치는 레지스트리 logon 부분을 살펴보았습니다.
logon에도 별 이상이 없었습니다.
이 부분은 윈도우 부팅시 윈도우의 사용자계정 즉 바탕화면이나 그 외 설정을 연결시켜주는 부분이라서
바이러스들이 참 좋아하는 부분입니다

 

탐색기에서 폴더옵션에서 숨김파일을 표시를 해놔도 계속 안되고...
usb 드라이브에 folder.exe , desktop.exe, autorun.inf는 지워도 계속 생기는 것이었습니다.

하다 하다 안되서 v3를 돌려 봤더니 바이러스를 잡더 군요.
한동안 쓰다 보니까 다시 생기는 것입니다...
문제가 장난이 아니다.. c: 드라이브의 보이지는 않지만 뭔가가 있다는 생각이 들더군요..

다시 레지스트리를 열어서 놓친 데가 없는지 확인하던 중에..
위 레지스트리 그림중에 Userinit 이 부분에 system32 폴더의 userinit.exe, xxxxx 잔뜩 늘어져 있었습니다.
그럼 어디서 찾을 필요도 없이 system32 폴더와 windows 폴더를 autorun 이나 folder, desktop으로 검색하니까 나오길래 삭제하고..
다시 탐색기의 옵션을 바꿔서 저장하니까 이제 제대로 되더군요..

sql서버, 이미지서버까지 쓰는 작업장이라서...
우선 ip, 컴퓨터이름 부터 싹 바꾸는 작업을 했지요..
혹시 웜하고 붙어 다닐까봐서...
한 이틀 동안 고민한 거 생각하면....

시간이 아깝다는 생각도 나고.....
userinit.exe를 조금만 일찍 생각을 해냈어도.... 쉽게 해결 되었을 것을...

참 algsrv.exe msfun80.exe 이것들로 system32에 있다면 바이러스 일 가능성이 큽니다.