v3로 검사해보니 이런게 나오는데.. 맨 밑에 나오것이 바이러스 인 것 같은데...
=============================
바이러스 맞아요...
HKCU 는 레지스트리의 current user 키의 를 나타내는 것이고요..
얼마전에.. 모 사무실에 갔다가 우연하게 발견을 했는데..
비슷하네요..... xp를 사용하고 있었는데... 실행중이라고 계속 치료를 하지 못하더구요..
치료를 했다고 했는데 다시 부팅하면 또 있고... 해서
보니까.. 아니나 다를까 로그온에 들어가 있더라구요.
그런데 파일이 틀리죠.. 하나는 windows\system32 에 다른 하나는 windows\installer 폴더에...
installer 폴더에 있는 파일이 system32 폴더에 만들고 있더라구요..
레지스트리의 Windows NT 하위에 보면 Winlogon 이 있는데..
로그온 하면 사용자 계정과 연결시켜 프로필을 가져오는 프로세스가 있습니다.
userinit.exe 놈이 맡고 있는데..
아래 그림은 정상적인 것이고.. userinit.exe,xxxx.exe 가 하나 더 있는 것이죠
installer폴더에 있는 놈이 여기에 들어가 있으면서 로그온 할 때마다 다시 재생이 되는 것입니다.
그래서 우선 랜선 빼고..
안전모드로 부팅시켜서 v3를 돌리니까 체크가 되는 놈은 잡았고..
다시 명령을 내리는 놈을 잡아야 하는데..
괜히 파일만 달랑 지우면 다시 재부팅할 때 문제가 생길 까 싶어서..
레지스트리에서 파일이름으로 모두 검색을 해서 레지스트리의 정보를 삭제를 했습니다.
그런 다음에 해당 폴더에 가서 삭제를 했지요..
보통 착각하는 분이 많은데..
자동실행되는 레지스트리가 run 부분만 있는 것이 아닙니다.
가장 중요한 CLSID 하위키도 있고...
LOCAL_MACHINE 부분에 보면 explore.exe의 share부분, 그 외 3군데 정도가 연결이 되어 있습니다.
크게 보면 윈도우 로그온, 다음에는 로그온과 계정프로필을 연결해주는 관리자..
세번째는 바탕화면이나 윈도우를 제어하는 explorer.exe 부분
네번째는 윈도우를 윈도우 답게 만드는 COM 부분의 레지스트리..
다섯번째는 윈도우는 서로 공유를 해서 많은 파일이 사용되는 share라고 되어 있는 레지스트리 키부분..
바이러스 체크로 치료를 해도 이부분이 정리가 잘 안되어 있으면 마찬가지 입니다.
보니까 토렌토라든지 ucc관련 p2p 에서 걸리는 것 같더라구요..
'윈도우7' 카테고리의 다른 글
| [윈도우7] 드라이버를 업데이트를 꼭 할 필요가 있을 까요..? (0) | 2011.06.13 |
|---|---|
| 윈도우7 드라이버 업데이트할 때 주의 해볼 사항.. (0) | 2011.05.22 |
| 윈도우7에서 메인보드 교체시.. 다시 설치를 해야 하나요... (0) | 2011.04.28 |
| 다수의 visual c++ redistributable 패키지에 대해서프로그램이 많이 설치 되어 있는데... (0) | 2011.04.10 |
| 윈도우7에서 사용자계정과 sid (Security Identifier)와 매칭이 잘 안되는데.. (0) | 2011.03.21 |