삭제순서는 댓글란 참조 하십시오
< 관련 정보 >
1> Adware/Rogue - coolcode(쿨코드) 와 동반 설치되는 Adware 2종
2> 유포되고 있는 Adware/Rogue - vaccine7
3> 안티바이러스제품이 진단하였다고 무조건 삭제해야 하는가?
4> Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)
입력일 : 2007.11.22
Windows-WebProtect <유해사이트 차단툴> 는 인터넷 상이 악성유포되고 있는 일부 악덕보안회사 제품 에서 사용자 동의 없이 설치되는 경향이 있습니다.
또한 최초 설치 때와 설치후 생성하는 파일도 조금 달라짐.. 삭제를 막기 위한 버전업으로 보이지만.. 일부 보안업체에 신고해서 치료가 반영되었는데 이번에 다시 설치해보니. 일부 설치정보가 변경되어 있군요.
또한
C:\WINDOWS\Downloaded Program Files\sw 폴더를 생성하고
ProtHK.dll / ProtMng.exe / wpupd.exe 를 생성하며. 사용자가 볼수 없도록 처리되 있다.
생성 폴더 명은 임의로 변경될 수도 있음을 밝힙니다.
이 부분은
시작 - 실행 - CMD 를 입력후
해당 폴더를 이동한후 찾아
삭제 할 수 있다.
cd C:\WINDOWS\Downloaded Program Files 입력후 엔터를 치면 해당 폴더로 이동됨.
여기서 dir/p 입력후 엔터를 치게되면. 목록을 페이지단위로 끊어서 보여주게되며,
숨겨진 것을 찾을 수 있다. < cd : 도스프롬프트 디렉토리 이동 명령어 >
확인된 C:\WINDOWS\Downloaded Program Files\sw 폴더
cd sw 입력후 엔터 dir 를 입력후 엔터를 치게되면 아래 숨겨진 목록이 들어난다.
나타난 목록을 del 명령어를 통해 삭제 할 수 있다.
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
사용중이라며, 삭제가 되지 않을 경우 한번 이용해보자 :
HijackThis - 보안툴 http://fantasy-actuality.tistory.com/103
<공통된 부분 : 설치정보>
시작프로그램 에 아래 항목을 등록
RunOnce: [AA] C:\WINDOWS\system32\ProtUtil.exe -upd
[IHUK] C:\Program Files\webprotect\IHUpd.exe -update
[WebProtect] C:\WINDOWS\system32\ProtMng.exe
[mscandui] C:\WINDOWS\ime\mscandui.exe < 다운로더 또는 설치자 >
[System32] C:\WINDOWS\system32\System32.exe < 다운로더 또는 설치자 >
다운로더 또는 설치자는 유포시점에 따라 상이 할 수 있습니다.
제어판 - 추가삭제 에서 아래 명칭으로 확인 가능
Windows-WebProtect
--> 다른버전 : Windows-site security (KS82381) / 유해사이트차단
--> 제작사 사이트 : www.okinternet.co.kr
--> 관련정보 : Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)
삭제를 하려고 하면 . 암호를 요구하며 암호를 지정하지 않았다면 초기값은 1234를
입력하면 삭제된다. 간혹 오류가 나며 삭제가 안되는데 .. 이 경우 수동삭제 또는
치료가능한 보안제품으로 치료를 시도해야 한다.
<삽입되는 레지스터리 제거용 레지파일><XP SP2 기준으로 작성됨>
- Windows-WebProtect 생성 레지에 추가되는 일부 목록 제거용
- 관련파일은 아래정보 참고하여 수동으로 삭제
< 컴에 설치될 경우 최초 생성되는 설치정보 ><2007.11.22>
생성하는 레지 값
HKEY_CURRENT_USER\Software\IHUK
GMT REG_SZ 1195669397
Serial REG_SZ 119566939288
SLimit REG_DWORD 0x00000001 (1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\j\Templates\IHUpd.exe REG_SZ IHuk
C:\Program Files\webprotect\IHuk.exe REG_SZ IHUK
C:\Program Files\webprotect\sitelimit.exe REG_SZ SiteLimit
HKEY_CURRENT_USER\Software\slexe
GMT REG_SZ 1195669384
Serial REG_SZ 119566937903
SLimit REG_DWORD 0x00000001 (1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IHUK REG_SZ C:\Program Files\webprotect\IHUpd.exe -update
WebProtect REG_SZ C:\WINDOWS\system32\ProtMng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce AA REG_SZ C:\WINDOWS\system32\ProtUtil.exe -upd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows-WebProtect
DisplayName REG_SZ Windows-WebProtect
UninstallString REG_SZ C:\WINDOWS\system32\wpuninstall.exe
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\IHUK
GMT REG_SZ 1195669397
Serial REG_SZ 119566939288
SLimit REG_DWORD 0x00000001 (1)
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\slexe
GMT REG_SZ 1195669384 add
Serial REG_SZ 119566937903 add
SLimit REG_DWORD 0x00000001 (1)
생성하는 폴더 값
< 재부팅후 설치정보 ><2007.11.22>
생성하는 레지 값
생성하는 폴더 값
<진단상황><2007.11.18>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
ISHK.dll Win-AppCare/Agent.61440.D (V3)
wpupd.exe Win-Trojan/Agent.142848.O (V3) / Win-Downloader/OkInternet.142848
mscandui.exe Win-Downloader/OkInternet.217159
ProtHK.dll Win-Adware/WebProtect.53248.B
System32.exe Win-Trojan/Downloader.114176 (V3) / Win-Downloader/Xema.114176
Win-Downloader/WebProtect.158720
Win-Spyware/Slimit.218112
2> 네이버 툴바 / 카스퍼스키 제품 ( kaspersky )
Adware/SiteLimit
Adware/WebProtect
wpupd.exe / wpuninstall.exe Trojan-Downloader.Win32.Agent.det (KAV)
mscandui.exe Trojan-Downloader.Win32.Agent.eyp (KAV)
ProtUtil.exe Trojan.Win32.Agent.cqs (KAV)
SiteProt.dll not-a-virus:AdWare.Win32.Agent.uo (KAV)
ISHK.dll not-a-virus:AdWare.Win32.Agent.og (KAV)
ISUpd.exe Trojan-Downloader.Win32.Agent.evn (KAV)
system32.exe Trojan.Win32.SecondThought.bi (KAV)
3> 하우리 바이로봇
Adware.Slimit
Adware.WebProtect
system32.exe Trojan.Win32.Downloader.114176
wpuninstall.exe Spyware.Agent.Do.151552
4> 바이러스체이서
mscandui.exe Trojan.Downloader.25804
system32.exe TrojanTrojan.Downloader.17061
wpupd.exe TrojanTrojan.Downloader.35203
5> 알약 v1.0 beta
mscandui.exe V.DWN.mscandui
system32.exe V.TRJ.Agent-OAB
< 관련 정보 >
1> Adware/Rogue - coolcode(쿨코드) 와 동반 설치되는 Adware 2종
2> 유포되고 있는 Adware/Rogue - vaccine7
3> 안티바이러스제품이 진단하였다고 무조건 삭제해야 하는가?
4> Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)
입력일 : 2007.11.22
Windows-WebProtect <유해사이트 차단툴> 는 인터넷 상이 악성유포되고 있는 일부 악덕보안회사 제품 에서 사용자 동의 없이 설치되는 경향이 있습니다.
또한 최초 설치 때와 설치후 생성하는 파일도 조금 달라짐.. 삭제를 막기 위한 버전업으로 보이지만.. 일부 보안업체에 신고해서 치료가 반영되었는데 이번에 다시 설치해보니. 일부 설치정보가 변경되어 있군요.
또한
C:\WINDOWS\Downloaded Program Files\sw 폴더를 생성하고
ProtHK.dll / ProtMng.exe / wpupd.exe 를 생성하며. 사용자가 볼수 없도록 처리되 있다.
생성 폴더 명은 임의로 변경될 수도 있음을 밝힙니다.
이 부분은
시작 - 실행 - CMD 를 입력후
해당 폴더를 이동한후 찾아
삭제 할 수 있다.
cd C:\WINDOWS\Downloaded Program Files 입력후 엔터를 치면 해당 폴더로 이동됨.
여기서 dir/p 입력후 엔터를 치게되면. 목록을 페이지단위로 끊어서 보여주게되며,
숨겨진 것을 찾을 수 있다. < cd : 도스프롬프트 디렉토리 이동 명령어 >
확인된 C:\WINDOWS\Downloaded Program Files\sw 폴더
cd sw 입력후 엔터 dir 를 입력후 엔터를 치게되면 아래 숨겨진 목록이 들어난다.
나타난 목록을 del 명령어를 통해 삭제 할 수 있다.
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
사용중이라며, 삭제가 되지 않을 경우 한번 이용해보자 :
HijackThis - 보안툴 http://fantasy-actuality.tistory.com/103
<공통된 부분 : 설치정보>
시작프로그램 에 아래 항목을 등록
RunOnce: [AA] C:\WINDOWS\system32\ProtUtil.exe -upd
[IHUK] C:\Program Files\webprotect\IHUpd.exe -update
[WebProtect] C:\WINDOWS\system32\ProtMng.exe
[mscandui] C:\WINDOWS\ime\mscandui.exe < 다운로더 또는 설치자 >
[System32] C:\WINDOWS\system32\System32.exe < 다운로더 또는 설치자 >
다운로더 또는 설치자는 유포시점에 따라 상이 할 수 있습니다.
제어판 - 추가삭제 에서 아래 명칭으로 확인 가능
Windows-WebProtect
--> 다른버전 : Windows-site security (KS82381) / 유해사이트차단
--> 제작사 사이트 : www.okinternet.co.kr
--> 관련정보 : Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)
삭제를 하려고 하면 . 암호를 요구하며 암호를 지정하지 않았다면 초기값은 1234를
입력하면 삭제된다. 간혹 오류가 나며 삭제가 안되는데 .. 이 경우 수동삭제 또는
치료가능한 보안제품으로 치료를 시도해야 한다.
<삽입되는 레지스터리 제거용 레지파일><XP SP2 기준으로 작성됨>
- Windows-WebProtect 생성 레지에 추가되는 일부 목록 제거용
invalid-file- 관련파일은 아래정보 참고하여 수동으로 삭제
< 컴에 설치될 경우 최초 생성되는 설치정보 ><2007.11.22>
생성하는 레지 값
HKEY_CURRENT_USER\Software\IHUK
GMT REG_SZ 1195669397
Serial REG_SZ 119566939288
SLimit REG_DWORD 0x00000001 (1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\j\Templates\IHUpd.exe REG_SZ IHuk
C:\Program Files\webprotect\IHuk.exe REG_SZ IHUK
C:\Program Files\webprotect\sitelimit.exe REG_SZ SiteLimit
HKEY_CURRENT_USER\Software\slexe
GMT REG_SZ 1195669384
Serial REG_SZ 119566937903
SLimit REG_DWORD 0x00000001 (1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IHUK REG_SZ C:\Program Files\webprotect\IHUpd.exe -update
WebProtect REG_SZ C:\WINDOWS\system32\ProtMng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce AA REG_SZ C:\WINDOWS\system32\ProtUtil.exe -upd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows-WebProtect
DisplayName REG_SZ Windows-WebProtect
UninstallString REG_SZ C:\WINDOWS\system32\wpuninstall.exe
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\IHUK
GMT REG_SZ 1195669397
Serial REG_SZ 119566939288
SLimit REG_DWORD 0x00000001 (1)
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\slexe
GMT REG_SZ 1195669384 add
Serial REG_SZ 119566937903 add
SLimit REG_DWORD 0x00000001 (1)
생성하는 폴더 값
| c:\Documents and Settings\계정\Templates | |||
| IHUpd.exe | 2007-11-22 03:23.17 | 159,232 | |
| c:\Documents and Settings\계정\시작 메뉴\프로그램\유해사이트차단 | |||
| 유해사이트차단.lnk | 2007-11-22 03:23.05 | 459 | |
| c:\Program Files\webprotect | |||
| IEHK.dll | 2007-11-22 03:23.22 | 61,440 | |
| IHUK.cfg | 2007-11-22 03:23.23 | 16 | |
| IHuk.exe | 2007-11-22 03:23.19 | 142,848 | |
| IHUpd.exe | 2007-11-22 03:23.23 | 158,720 | |
| sitelimit.cfg | 2007-11-22 03:23.16 | 296 | |
| sitelimit.exe | 2007-11-22 03:23.13 | 218,112 | |
| wpupd.exe | 2007-11-22 03:23.15 | 142,848 | |
| c:\WINDOWS\system32 | |||
| ProtHK.dl_ | 2007-11-22 03:23.15 | 53,248 | |
| ProtMng.ex_ | 2007-11-22 03:23.15 | 258,048 | |
| ProtUtil.exe | 2007-11-22 03:23.16 | 258,048 | |
| SiteDB.dll | 2007-11-22 03:23.12 | 2,995,712 | |
| SiteDB_SW.dll | 2007-11-22 03:23.13 | 44,544 | |
| SiteProt.dll | 2007-11-22 03:23.13 | 49,152 | |
| wpuninstall.exe | 2007-11-22 03:23.14 | 151,552 | |
< 재부팅후 설치정보 ><2007.11.22>
생성하는 레지 값
| HKEY_CURRENT_USER\Software\ISECU | |||
| Limit Popup | REG_SZ | 5 | |
| Limit Time | REG_SZ | 0 | |
| Popup | REG_SZ | 0 | |
| Search Date | REG_SZ | 0 | |
| Search Popup Date | REG_SZ | 0 | |
| Serial | REG_SZ | 119567014262 | |
| Site Date | REG_SZ | 20071122 | |
| Site Date2 | REG_SZ | 20071122 | |
| SLimit | REG_DWORD | 0x00000001 (1) | |
| HKEY_USERS\S-1-5-21-448539723-1482476501-682003330 -1003\Software\ISECU | |||
| Limit Popup | REG_SZ | 5 | |
| Limit Time | REG_SZ | 0 | |
| Popup | REG_SZ | 0 | |
| Search Date | REG_SZ | 0 | |
| Search Popup Date | REG_SZ | 0 | |
| Serial | REG_SZ | 119567014262 | |
| Site Date | REG_SZ | 20071122 | |
| Site Date2 | REG_SZ | 20071122 | |
| SLimit | REG_DWORD | 0x00000001 (1) | |
생성하는 폴더 값
| c:\ | |||
| pmng.dat | 2007-11-22 03:35.46 | 3 | |
| c:\Documents and Settings\계정\Templates | |||
| mscandui.exe | 2007-11-22 03:36.05 | 217,159 | |
| c:\Program Files\webprotect | |||
| sitelimit.cfg | 2007-11-22 03:36.05 | 296 | |
| c:\Program Files\WindowsSecuritySiteService | |||
| ISecu.cfg | 2007-11-22 03:36.03 | 16 | |
| ISecu.exe | 2007-11-22 03:35.47 | 150,528 | |
| ISHK.dll | 2007-11-22 03:35.48 | 65,536 | |
| ISUpd.exe | 2007-11-22 03:35.46 | 158,208 | |
| c:\WINDOWS\Downloaded Program Files\SW | |||
| ProtHK.dll | 2007-11-22 03:23.15 | 53,248 | |
| ProtMng.exe | 2007-11-22 03:23.15 | 258,048 | |
| wpupd.exe | 2007-11-22 03:23.15 | 142,848 | |
| c:\WINDOWS\ime | |||
| mscandui.exe | 2007-11-22 03:36.05 | 217,159 | |
| c:\WINDOWS\system32 | |||
| ProtHK.dll | 2007-11-22 03:23.15 | 53,248 | |
| ProtMng.exe | 2007-11-22 03:23.15 | 258,048 | |
| System32.exe | 2007-11-22 03:36.09 | 114,176 | |
<진단상황><2007.11.18>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
ISHK.dll Win-AppCare/Agent.61440.D (V3)
wpupd.exe Win-Trojan/Agent.142848.O (V3) / Win-Downloader/OkInternet.142848
mscandui.exe Win-Downloader/OkInternet.217159
ProtHK.dll Win-Adware/WebProtect.53248.B
System32.exe Win-Trojan/Downloader.114176 (V3) / Win-Downloader/Xema.114176
Win-Downloader/WebProtect.158720
Win-Spyware/Slimit.218112
2> 네이버 툴바 / 카스퍼스키 제품 ( kaspersky )
Adware/SiteLimit
Adware/WebProtect
wpupd.exe / wpuninstall.exe Trojan-Downloader.Win32.Agent.det (KAV)
mscandui.exe Trojan-Downloader.Win32.Agent.eyp (KAV)
ProtUtil.exe Trojan.Win32.Agent.cqs (KAV)
SiteProt.dll not-a-virus:AdWare.Win32.Agent.uo (KAV)
ISHK.dll not-a-virus:AdWare.Win32.Agent.og (KAV)
ISUpd.exe Trojan-Downloader.Win32.Agent.evn (KAV)
system32.exe Trojan.Win32.SecondThought.bi (KAV)
3> 하우리 바이로봇
Adware.Slimit
Adware.WebProtect
system32.exe Trojan.Win32.Downloader.114176
wpuninstall.exe Spyware.Agent.Do.151552
4> 바이러스체이서
mscandui.exe Trojan.Downloader.25804
system32.exe TrojanTrojan.Downloader.17061
wpupd.exe TrojanTrojan.Downloader.35203
5> 알약 v1.0 beta
mscandui.exe V.DWN.mscandui
system32.exe V.TRJ.Agent-OAB
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware/Rogue - 원닥터 < 별칭 : 윈닥터 / windoctor > <2종이상의 애드웨어를 설치함> (1) | 2007.11.30 |
|---|---|
| Adware/Rogue - 악성코드 제거 전문 G2 - 네이버툴바 : Adware/G2 (0) | 2007.11.25 |
| Adware/Rogue - STOP / 스톱 ( 진단명 : Adware/ACTSTOP ) (0) | 2007.11.21 |
| Adware - Windows Easybar Control ( 검색툴바 - 이지바 ) (0) | 2007.11.18 |
| Adware/Rogue - ComClean (컴클린) (0) | 2007.11.18 |
