Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 >

입력일 : 2007.12.10.23

Adware/Rogue - pcsave < 제어판 등록명 : pcsave 삭제>

본론으로 들어가기 이전에 보안제품이라면서,  제품에 대한 문의 또는 F/Q (질/답) 란을 이용하기 위해선  주민번호를 입력해야만 접근할 수 있도록 하고 있어. 보안사가 맞는가 의구심마져 는 회사 제품이다 ..

 개인정보 유출시 최근 엄청난 논란이 되었던 주민번호 노출로
I-PIN (가상 주민번호 서비스 ) 까지  제공되는 마당에 .. 이것은 좀 심한 것이 아닌가 하는 생각입니다.

아무래도 인터넷에 유포되어 가입될 때 . 사용자가 직접사이트를 방문하여 가입하기보다
설치시 검출 경고 알림을 보고 결제와 동시 가입되는 방식으로 회원을 모집하는 행태를 취하고 있지 않은 가 하는 의구심마져 드는 회사입니다.


아래 그림을 참고해 보십시오.
--> 위에 언급한 것 이외에도 다른 메뉴 사용시에도 아래와 같은창을 보여줌

<유포정보><2007.12.10>

관련정보 링크 <입력일 : 2007.10.17> :
 (1)Windows doublepoint 유포정보
 --> http://fantasy-actuality.tistory.com/113
 (2) Win-Adware/WinDots.94208 로진단되는 다운로더
 --> http://fantasy-actuality.tistory.com/202

인터넷 서핑중 Windows doublepoint 라는 광고용 애드웨어가 사용자 동의 없이 컴퓨터에 설치되거나 특정 유인글에 의해 방문시 설치유도되어 설치될 경우

dpup.exe 파일을 특정 폴더에 생성하고  시작프로그램에 등록됩니다.

또한 dpup.exe  는 Windows doublepoint을 사용자 컴퓨터에 동의없이 설치하며, C:\WINDOWS\system32 폴더에 imgrs.exe 파일을 다운로드 하고 시작프로그램에
등록합니다.

imgrs.exe 는
아래 파일들을 생성하며, 다수의 애드웨어를 설치한다.

설치되는 애드웨어는

1> Windows doublepoint
--> 관련정보 : http://fantasy-actuality.tistory.com/113

2> Windows KToolbar Toolbar
--> 관련정보 : http://fantasy-actuality.tistory.com/203

3> Windows KyleXY
--> 관련정보 : http://fantasy-actuality.tistory.com/204

4> pcsave 삭제

<해당프로그램><2007.12.10>

- 컴퓨터에 설치되어 동작되는 프로그램 스샷

- 컴퓨터에 설치되자마자 검사후 검출한 항목을 알리며 치료를 통보하는 알림

- 컴퓨터에 설치되었을 당시 특정프로그램을 실행시키려고 하면 뜨던 에러창

<결제관련 주의 사항><제작사 내용참조>

- 자동연장결제
- 의무사용기간 3개월 또는 4개월 < 약관상 두가지 의무기간을 표시하고 있음>
- 결제 약관 페이지 : http://www.pcsave.co.kr/agreement/agreement.html

일부 약관 내용 :

자동연장결제이용자 : 사용자가 서비스 이용계약을 해지하고자 하는 경우, 결제일로부터 3개월이후에 해지가 가능함을 기본으로한다 (이는 자동연장시 일반1개월 결제금액에 반하여 할인혜택이 주어지므로, 형평성을 고려하고 악용을 방지하고자한 최대한의 방침임) 의무기간 3개월이전/이후에 해지를하고자 하는 경우는, 회원 본인이 '회사'가 정한 해지 절차에 따라 서비스 해지신청을 해야한다.
- '회사'가 정한 4개월의무기간이전 해지절차
* 자동연장결제 회원은 3일이내에 해지가 가능하며 3일이 초과된 후에 해지할 경우 2개월 결제금(9,000원)을 일할 계산하여 그 차액 만큼을 환불하고 3일이 초과 30일 이내에 해지 할 경우 1개월 결제로 전환 할수 있다.
* '회사'가 제공하는 프로그램상 요금문의란에 해지사유를 기재하여 신청
* 유선상 '회사'의 고객지원센터로 해지사유를 설명후 신청
* '회사' help메일로 해지사유를 기재하여 신청
* '회사' 홈페이지 자동연장요금 해지신청서에 기재하여 신청

- 결제창

아래 결제 창을 보더라도  약관을 보기  힘들도록 아주 작게 제공하고 있어.
약관은 형식적인으로  제공되고 있는 것이지, 사용자 한테 자동결제에 대한 명확한 약관 제공을 피하고 있음을 알수 있습니다.

그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23


<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15


<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Adware/Rogue.PcSave.905216
dbp.exe  Win-Adware/Rogue.PcSave.339456
imgrs.exe  Win-Adware/WinDots.94208 (SZ) 과  Win-Trojan/Xema.variant (V3)

2> 네이버 툴바

Grayware/PCSave

3> 하우리 (바이로봇)

Adware.PCSafe.R
dbp.exe  Adware.PCSafe.R.339456

4> 알약 v1.0 beta1

dbp.exe  V.DWN.Misc.196608


<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.

<설치정보><2007.12.10>

제작사에서 제공하는 삭제 파일 : http://update.pcsave.co.kr/setup/uninstall.exe

제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> pcsave 삭제

시작프로그램에 아래항목 등록

[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[pcsave] C:\Program Files\pcsave\pcsaveup.exe hide

윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록

(no name) - {F890B643-C3E4-4293-9FC0-E8159285CE6B}
- C:\Program Files\pcsave\fb.dll

위에 언급된 BHO 가 제거 되지 않을 경우  아래 프로그램으 사용해보세여

HijackThis - 보안툴 :  http://fantasy-actuality.tistory.com/103


<설치 레지스터리 일부><2007.12.10>

HKEY_CLASSES_ROOT\Borland.Midas_DatapacketRead.1
HKEY_CLASSES_ROOT\Borland.Midas_DatapacketRead.1
HKEY_CLASSES_ROOT\Borland.Midas_DSBase
HKEY_CLASSES_ROOT\Borland.Midas_DSBase.1
HKEY_CLASSES_ROOT\Borland.Midas_DSCursor
HKEY_CLASSES_ROOT\Borland.Midas_DSCursor.1
HKEY_CLASSES_ROOT\CLSID\{9E8D2FA1-591C-11D0-BF52-0020AF32BD64}
HKEY_CLASSES_ROOT\CLSID\{F890B643-C3E4-4293-9FC0-E8159285CE6B}
HKEY_CURRENT_USER\Software\pcsave
HKEY_CURRENT_USER\Software\registry_admin
HKEY_CURRENT_USER\Software\nopcsave
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DatapacketRead.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DatapacketWrite.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSBase
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSBase.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSCursor
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSCursor.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{9E8D2FA1-591C-11D0-BF52-0020AF32BD64}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{F890B643-C3E4-4293-9FC0-E8159285CE6B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\pcsave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Uninstall\pcsave
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\pcsave
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F890B643-C3E4-4293-9FC0-E8159285CE6B}


<설치 폴더 일부><2007.12.10>

c:\Documents and Settings\계정\바탕 화면
	피시세이브.lnk	2007-12-10 20:41.48	680
c:\Documents and Settings\계정\시작 메뉴\프로그램\pcsave
	pcsave 삭제.lnk	2007-12-10 20:41.48	705
	피시세이브.lnk	2007-12-10 20:41.48	692
c:\Program Files\pcsave
	config.ini	2007-08-14 14:21.30	859
	dlist.da	2007-03-11 14:43.58	28
	driverManager.exe	2007-03-13 10:42.16	172,032
	fb.dll	2007-09-26 16:10.18	459,264
	filecheck.ini	2007-05-05 18:29.22	502
	midas.dll	2002-06-09 23:00.00	123,904
	ntfile.ini	2007-12-10 20:41.57	0
	pcsave.exe	2007-09-24 11:57.52	905,216
	pcsaveup.exe	2007-08-15 09:52.16	354,304
	uninstall.exe	2007-08-15 09:52.46	310,272
	update.ini	2007-12-10 20:41.54	0
c:\Program Files\pcsave\img
	alram.gif	2007-07-28 20:19.28	33,733
	ber.gif	2007-07-28 20:14.22	6,295
	left_btn_01.gif	2007-08-06 10:56.42	4,367
	left_btn_02.gif	2007-08-06 10:56.52	4,135
	left_btn_03.gif	2007-08-06 10:57.00	4,250
	left_btn_04.gif	2007-08-06 10:57.08	4,422
	left_btn_05.gif	2007-08-06 10:57.16	4,415
	left_btn_06.gif	2007-08-06 10:57.24	4,020
	left_btn_click_01.gif	2007-08-06 10:58.24	4,086
	left_btn_click_02.gif	2007-08-06 10:58.30	3,910
	left_btn_click_03.gif	2007-08-06 10:58.38	3,985
	left_btn_click_04.gif	2007-08-06 10:58.52	4,059
	left_btn_click_05.gif	2007-08-06 10:59.02	4,026
	left_btn_click_06.gif	2007-08-06 10:59.36	3,773
	left_btn_on_01.gif	2007-08-06 10:57.36	4,493
	left_btn_on_02.gif	2007-08-06 10:57.44	4,232
	left_btn_on_03.gif	2007-08-06 10:57.52	4,392
	left_btn_on_04.gif	2007-08-06 10:58.00	4,524
	left_btn_on_05.gif	2007-08-06 10:58.06	4,442
	left_btn_on_06.gif	2007-08-06 10:58.14	4,105
	main.jpg	2007-08-14 10:58.04	114,560
	messageok.gif	2007-08-13 11:04.12	15,774
	messageyes_or_no.gif	2007-07-28 17:11.54	15,917
	pass.gif	2007-07-28 17:12.20	15,992
	pass_change.gif	2007-07-30 12:07.18	13,905
	sysdown.gif	2007-07-28 17:17.30	16,596
	Thumbs.db	2007-08-03 14:58.24	155,648
	title1.gif	2007-08-13 15:42.06	11,027
	title2.gif	2007-08-13 15:41.58	13,227
	title3.gif	2007-08-13 15:42.28	13,514
	title4-1.gif	2007-08-13 15:43.04	6,038
	title4.gif	2007-08-13 15:42.48	12,962
	title5.gif	2007-08-13 15:43.22	8,124
	title6-1.gif	2007-08-13 15:44.28	7,500
	title6.gif	2007-08-13 15:44.18	7,578
	title7.gif	2007-08-13 15:44.42	13,067
	tmp.gif	2007-08-14 09:59.00	7,489
	tmp2.gif	2007-08-14 09:59.14	264
	view_button.gif	2007-08-14 10:06.22	712
	win.gif	2007-08-14 15:52.52	56,556
c:\Program Files\pcsave\report
	2007-12.ale	2007-12-10 20:41.57	61
	설명.txt	2007-12-10 20:41.47	218
c:\Program Files\pcsave\value
	b_ac.da2	2007-02-03 14:08.56	16,877
	chdir.da	2007-04-17 12:13.54	788
	wac.da	2006-09-14 14:46.30	8,812
	wcode.da	2007-10-02 14:57.06	5,196,470
	wcode1.da	2007-10-02 14:57.06	187,580
	wcode2.da	2007-10-30 14:55.24	378,979
	wurl.da	2007-04-17 09:38.32	127,990