kavo로 알려진 이 정체불명의 바이러스.
본인은 이 바이러스에 걸린지도 모르고 한참을 사용하다가
어느샌가 서서히 느려지기 시작한 컴퓨터를 눈치채고
유료백신인 카스퍼스키까지 사용했다.
하지만 그럼에도 바로 다시 생겨나는 이 정체불명의 바이러스 때문에 신경이 쓰여서 다른 작업을 못하고
결국 이틀을 노력한 결과 없애는데 성공.
본인이 느낀 이 바이러스에 대한 대략적인 설명을 해보자면...
1. 바이러스 패턴이 한가지가 아닌 듯 하다.
인터넷에 떠도는 글을 보고 그대로 따라했으나 본인이 걸린 것과는 미묘하게 다른 것이었다.
2. 일단 egvkbvr9.exe cvlu.exe gs2x.exe ctt6t1.bat 0t.exe viyobgys.exe a뭐시기.exe 등등
상당히 많은 패턴의 exe 파일 및 autorun.inf 가 생성되고
USB를 꼽는 즉시 하드나 USB양쪽에 전염 되는 듯 하다.
정도이다...
유료백신으로도 근본적인 해결이 안되고 문제의 원인을 직접 찾아서 지워야 하는 듯 했다.
일일이 파일을 지우고 백신을 돌려도 재부팅하면 다시 생겨나는 파일들..
문제는 부팅 시 msconfig의 실행 파일에 문제가 있었다.
홈페이지 마다 바이러스와 치료법 설명이 틀려서 다는 설명 못하고
본인이 걸린 것만 얘기해보자면, CYBAN 이라는 놈이었다.
체크박스를 아무리 풀고 재부팅해도 다시 체크가 되어있음에
요놈이 원인임을 직감.
해결방법은
1. kavo_killer3.5.exe 이걸 다운받은 후.
평소에 사용하는 USB를 전부 꼽아놓는다. 그 후 위 파일을 실행시키고 못알아먹을 중국말을 실행시키면 모든 익스플로러 창이
닫히며 완료되었음을 알리는 창이 뜬다.
그 후 윈도우즈 키 + e 를 눌러 탐색기를 연 다음. 도구-폴더옵션에 가서 숨김파일 표시 후 바로 위 '보호된 운영체제 파일
숨기기'의 체크 박스도 해제한다. (윈도우즈 보안패치 최신버전까지 업데이트 되있다면 첨부한 카보 킬러프로그램이 작동 안되는 듯 하다.
그런분은 레지스트리를 직접 바꿔서 숨김파일 표시를 해제해야 할 듯 하다.)
다시 숨김파일들을 볼 수 있게 되어지면,
여기서부턴 긴장하시고..
최상위 하드 디렉토리에선 파일 잘못 지웠다간 윈도우가 맛탱이가 가버린다.
일단 *.exe 와 오토런.inf 파일만 ! shift+delete로 꼭 ! 지우도록 하자.
AUTOEXEC.BAT 이나 NTDETECT.COM 이 절대 아니다 이거 지우면 큰일난다!
(지우면 안되는 파일종류를 잘 알아보고 지우도록 한다.)
본인의 하드 경우 pagefile.sys 와
등의 파일은 지우면 안되는 것으로 확인했다. 이 부분은 본인도 정확하게 아는 것이 아니므로
파일명 검색을 통해 지워도 되는것인지 확인해 보도록 한다.
모든 하드와 USB에서 해당 파일을 지우고 나면
그 다음엔 이 일의 원흉인 ieban 및 cyban 이라는 파일명의 시밤같은 바이러스 놈을 지우러 가야한다.
본인이 이 글 하단에 링크를 건 everything 을 사용하여 지우는 것이 편리하다.
일일히 시스템32폴더에서 찾으려면 눈이 아프다.
윈도우즈-시스템32- c를 눌러 죽 검색하다보면 CYBAN.exe 와 비슷한 이름의 dll파일이 4갠가 보인다.
dll파일의 경우 사용중이라고 지워지지 않을 수 있다. 그렇다면 또한 마찬가지로 하단에 첨부시킨
unlocker프로그램을 실행시켜 연결을 모두 끊은 후 삭제시킬 수 있다.
ieban도 같은 종류의 바이러스이니 전부 검색하여 삭제하도록 한다.
최종적으로 하드 디렉토리와 usb에 존재하는 RECYCLER(휴지통)의 내용까지 지워버리면 안심.
생성되는 오토런 파일을 텍스트 파일로 전환하여 읽어보면 휴지통에 있는 sys32.exe를 연이어 실행하게 한다. (이쯤되면 숫자와 exe 확장자 파일만 보면 지우고 싶어진다.) 물론 이것 또한 이로울리 없으니 꼭 RECYCLER(휴지통) 폴더를 지우도록 하자.
이렇게 까지 한 후 재부팅을 하면 그제서야 완전히 사라졌다고 말할 수 있다.
정말 사람 귀찮게 하는 바이러스;
다신 걸리는 일이 없었으면 한다;
+p.s : 수소문 결과 울타리라는 프로그램이 usb바이러스 차단에 좋다고 한다. 프리웨어이니 맘놓고 쓸 수 있다. 악성코드도 상당 수
잡아내는 걸로 봐선 능력이 상당히 괜찮은 듯 하다.
또는 http://27m.net/v8/bbs/view.php?id=information&no=329 이곳에서 usb 자동실행을 막는 방법을 알려주고 있다.
.......추가로
어째선지 모르겠지만 또 재발한 바이러스...
위에 설명한 바이러스와 약간 다른,
폴더 숨김 해제 불가 및 파일 & 폴더이름 그대로 따라한 .exe 파일 생성 바이러스
이 바이러스의 증상은 usb내 폴더를 숨겨버리고 그 이름을 그대로 따라한 exe파일을 생성시킴으로써
클릭할때마다 바이러스가 재생성이 되게한다.
해결방법1. 모든 하드 및 usb 상위디렉토리에 존재하는 autorun.inf 및 이름따라한.exe 파일을 지워야한다
하지만 이놈도 숨김파일 표시 불가모드로 만들어 놓기 때문에 위의 카보킬러 또는 레지스트리를 직접 수정 후
찾아서 지워줘야 한다.
윈도우즈 창에서 숨김파일을 확인할 수 있는 경우라면 쉽게 쉬프트 델리트로 지워버리고,
혹 그것이 안된다면 윈도우즈키 + r 을 눌러 실행창에서 cmd를 입력한다.
그 후 del c:\autorun.* /f/q/a 로 삭제한다. 모든 하드와 usb드라이브에서 삭제해야 하므로, 명령어의 앞 c:\ 부분을 d:\ e:\ 등등으로 변경해가며 일일히 지워준다.
바이러스 재발은 오토런 삭제로 막을 수 있지만
문제는 이미 숨겨져버린 폴더들의 옵션을 바꿀 수가 없다는 것.
- 잡설이지만, 하필이면 대학교 교수님 usb만지는 도중 번져나간 이것때문에
사라져 버린 폴더들을 보고 식겁했다. 한순간 교수님 usb 파일을 전부다 날려먹은 건가 하는 생각에 똥줄이 탔다.
지운적이 없는데 사라진 파일들을 보며 초조해하단 순간을 생각하면 지금도 아찔...
본론으로 돌아와서...
이것도 cmd에서 고칠 수 있다.
예를들어 usb가 j:라면
cd j:
attrib -s -h /d /s
를 쳐주면 숨김파일이 전부 해제되는 것을 볼 수 있다. (윈도우즈에선 마우스 클릭이 불가능해서 이 방법을 통해 해야한다.)
하나 고치니 또 다른 바이러스 걸리고 하나 치료하면 또 다른거 걸리고....
정말이지 완전 골썩이는 바이러스들.
다들 이 글을 통해 조금이나마 불편을 해소했으면 한다.
+추가설명
실행중인 파일이라 지워지지 않는 경우
unlocker1.8.9.exe
설치 후 마우스 오른쪽 버튼으로 언락매뉴 클릭 후 삭제할 수 있다.
설치시 추가로 딸려오는 잡다한 부가 설치는 걸러내고 설치한다.
+알짜배기 노하우 하나 더. 위 작업을 하는데 큰 도움을 줄 Everything.exe 이라는 프로그램이 있다.
슈뤡이 같은 윈도우즈 자체 파일 검색기능보다 2천4백만배 빠른 검색속도를 볼 수 있다.
실행 시 잠시 로딩시간이 있지만 그 후론 타자 즉시 파일을 찾아준다.
한번이라도 사용한다면 그 후론 윈도우즈 검색기능을 쓰느니 인터넷에서 검색해서 다운받아 쓰는게 편리하게 느껴질 정도다.
꼭 사용해 보시길.
최근 덧글