Share |

징글징글한 srosa, hidr.exe, Worm바이러스

글은 1년 여 전 몇일 간에 걸쳐 바이러스와의 사투 끝에 해결한 방법을 기록했던 내용입니다.저처럼 어려움을 겪을 수 있는 다른 분들과 함께 공유하기 위하여 썼던 글이기도 한데, 개인적으로도 언제든 필요한 사항이 될 수 있음을 기억하고자 일부를 편집 수정하여 다시 올립니다.

이미지 출처: http://www.centralmethodist.edu/cmsupport/software.html

 

정말이지 징글징글한 srosa, hidr.exe, Trojan Bagle Worm, Win32/Virut. 5127, _desktop.ini

이런 것에 관한 내용이라면, 아래 내용을 잘 읽어보시기 바랍니다.
분명 해답이 있을 수 있으니까요.

아직 컴퓨터 바이러스 감염으로 크게 고생하지 않으신 분들이라도 참고적으로 읽어 기억해 두시면이후 이러한 상황이 발생하셨을 경우 도움이 되실 겁니다. 즐겨찾기 또는 주소를 기억해 두셔도 좋습니다.

이미지 출처: http://pcworld.about.com/news/Oct132000id31002.htm

바이러스 및 악성코드의 배포나 유입 경로가 다르고, 이를 배포하는 사람들의 그 이유도 여러가지가 이겠지만, 역시 중요한 것은 다른 무엇보다도 내가 사용하는 컴퓨터에 문제가 있어서는 안되겠다는 겁니다.


그러나 아무리 잘 관리한다 하더라도 추운날 머리 한번 감은 것만으로도 감기 몸살에 걸려
끙끙 앓게 되는 것 처럼 컴퓨터 바이러스 또한 그러한 요인이나 가능성은 참도 많은 것 같습니다.

우선 한가지 인터넷에서 받은 파일들은
실행하기 전에 꼭, 최신버전의 바이러스 백신으로 그것도 복수의 툴을 활용 검사하여 바이러스 문제가 없는지 확인을 한 후 사용하는 컴퓨터 생활 습관을 가질 필요가 있습니다. 꼭 기억하시기 바랍니다.


그리고 업계에서는 1PC 1백신을 권고하고 있지만, 저는 다른 의견을 가지고 있습니다. 
메모리에 상주하는 백신은 하나로 하되, 검사하는 백신은 조금 다른 특징을 갖는 다른 하나의 백신을 더 가지고 있는 것이 보다 확실한 방어책이라고 경험을 통해 확신하기 때문입니다.

그 중 하나의 백신을 권한다면,
얼마 전 "웹브라우저 창이 갑자기 닫히나요? 바이러스를 의심하세요!!" 라는 글에서 말씀드렸던 Malwarebytes' Anti-Malware 입니다. 아직 읽지 못하신 분들은 위에 링크한 글에서 확인해 보시기 바랍니다.

그리고 백신의 경우는 각자의 판단이긴 하겠지만, 개인들이 사용할 수 있는 무료 백신들이라고 하여 그 성능이 상용 보다 결코 떨어지지 않습니다. 인터넷에 올라와 있는 평가를 기준으로 잘 선택하셔서 메모리에 상주하여 실시간으로 PC를 모니터링하고 검사할 수 있는 백신 하나를 설치하시고, 병행하여 실행 검사용도로 사용할 백신 하나 정도 더 가지고 계시면 좀 더 보안적 환경이 될 것입니다.

참고적으로 저는 메모리 상주용으로는 V3 공개용을 사용하고 있으며, 검사 백신은 Malwarebytes' Anti-Malware를 활용하고 있습니다.

srosa, hidr.exe ...Trojan Bagle Worm, Win32/Virut. 5127, Win32/Viking 등
요즘 바이러스나 악성코드의 주요 특징 중 하나는 레지스트리를 임의로 조작하여 안전모드로의 부팅을 하지 못하도록 한다던가, 시스템의 중요한 프로그램들을 파괴하는 등 예전과는 다른 양상을 보이고 있습니다.물론 모든 바이러스가 그런 것은 아니겠지만 아주 강력한 악성 바이러스 또는 멀웨어 등에 감염되면 대책이 서질 않는 경우가 많습니다.

경험하신 분들도 많겠지만, 저의 경우에 있어서도 백신프로그램이 실행되지 않거나 삭제되고 언인스톨러 프로그램의 중요 핵심 파일 마저 삭제되어 실행이 안되는 등 그 심각성이 점차 늘어났었습니다. 심지어는 안전모드로 부팅 중 '0x0000007B'라는 메세지의 블루 스크린이 뜨면서 어찌할 수 있는 방법 조차 없어 얼마나 애를 태웠는지 모릅니다.

인터넷 검색 해 보니, srosa, hidr.exe ...Trojan Bagle Worm 이란 유형의 경우 이러한 증상이 나타난 것으로 나오더군요. 결국 저만 이런 나쁜 놈들로 인해 고생하는 것이 아니었다는 얘깁니다. 그러나 애석하게도 제대로 된 해결 방법에 관한 내용은 좀처럼 찾을 수 없더군요. 때문에 나름 고생하며 체득한 방법을 공유를 하고자 이렇게 글을 올리는 것이기도 합니다.

그럼 제가 해결했던 방법들을 말씀드리겠습니다.

※ 사전 준비
바이러스를 확실히 제거하기 위한 WinPE.
빠른 검색을 위한 검색 툴(Everything 또는 Avafind 등).
그리고 잠시 랜선 연결 해제.
 
srosa, hidr.exe ...Trojan Bagle Worm 이놈들의 특성은 감염이 된 운영체제 안에서는 탐색기 폴더옵션 보기항목에서 아무리 숨김 폴더와 파일 및 시스템 폴더들을 보이게 하더라도 보이지 않는다는 겁니다. 따라서 필히 WinPE가 있어야 합니다.(WinPE에 대해서는 별도로 설명하지 않겠습니다. 인터넷 검색을...) USB로도 제작할 수 있으니, 검색을 해보시기 바랍니다.

자~ 이제 시작합니다. 좀 내용이 기니까... 심 호흡 한번 하시고... ^^
유사한 증상으로 바이러스에 감염되신 분들의 경우도 천천히 읽어 보시고 적용해 보시면 도움이 되리라 생각합니다. 꼭 필독하시길...


1. WinPE로 부팅하여 감염 파일을 검색 삭제한다.

PC를 WinPE로 부팅 하신 후 C:\windows\system32\driver에 srosa.sys 와 mdelk.exe hldrrr.exe(?) 또는 hidr.exe, wintems.exe 파일을 삭제하시고, 또한 windows 폴더 또는 system32 폴더 내에 exefld 라는 폴더를 만들고 숫자.exe의 파일이 생성 되기도 하는데 이 역시 삭제하십시오. 때때로 다른 폴더에 숨어 있을 수 도 있으니 파일 검색을 통해 확인하시고 삭제하셔야 될 경우도 있습니다. 중요한 것은 확실하게 삭제하셔야 한다는 겁니다.

그리고 다음의 파일명도 찾아 보셔서 있다면 삭제하시기 바랍니다.
C:\temp\wintems.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system\smvss.exe
반드시 삭제를 해야 하므로 확인, 또 확인 하셔야 합니다.


2. 자체 PC(WinPE가 아닌)로 재부팅 후 레지스트리의 감염 키를 삭제한다.

시작 -> 실행 -> regedit 하시고, Ctrl + F 하셔서 srosa를 검색하여 모두 삭제하십시오.
물론 기본적인 레지스트리 주소는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 입니다.
다음 레지스트리 하위 키 역시 찾아 보시고 있다면 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\FirstRRRun 또는 DateTime4


3. 부팅이 되지 않는 안전모드를 해결한다.

이제 기본적인 것은 모두 해결했습니다.
그러나 아직 안전모드로 부팅이 안될 수 있습니다.
안전모드로 부팅 했을 때 블루스크린이 뜨면서 0x0000007B라는 메세지가 보인다면,
분명 바이러스 또는 악성코드에 의하여 레지스트리의 SafeBoot항목이 모두 삭제 되었기 때문입니다.
따라서 이전에 레지스트리 파일을 백업 받아 놓았다면 백업 레지스트리 파일의 실행으로
문제는 간단하게 해결할 수 있지만,
그렇지 않을 경우는 XP를 다시 설치해야 하는 상황이 될 수도 있습니다.

안전모드를 복구해주는 툴이 있기는 합니다. SafeBootKeyRepair.exe라는 아래 링크된 툴..

SafeBootKeyRepair.rar

그러나 보다 확실하게 하기 위해서는
번거로움이 뒤따르더라도 아래의 내용을 참고하실 추천합니다.


만일 동일한 사양의 컴퓨터가 있다면 그 컴퓨터의 레지스트리 에디터로 들어가 SafeBoot 항목을 내보내기 하여 임의의 이름으로 저장(ex: SafeBoot.reg 등) 한 후 원래의 컴퓨터에 복사 실행하여 간단하게 해결할 수 있습니다. 그러나 이도 저도 없는 경우라면 XP를 다시 설치해야 합니다. 오해하지는 마십시오. 기존의 XP를 지우고 설치하거나 동일한 기존의 Windows폴더에 설치하는 것이 아니라 다른 폴더를 지정하여 새로운 별도의 XP를 설치 하는 겁니다.

그러니까... XP가 2개 설치되는 거라고 생각하시면 됩니다.
이 방법은 단지 안전모드의 SafeBoot 항목을 복사하기 위한 조치입니다. 정말로 좀 무식한 방법이긴 합니다만, 위의 상황에선 어쩔 수 없습니다.

그래서 미리 미리 레지스트리 백업파일을 만들어 놓는 준비성이 필요한 거란 생각이 듭니다. 적어도 SafeBoot 항목만이라도(이유는 악성코드 또는 바이러스를 만드는 사람들이 노리는 것이 안전모드에서 바이러스 및 악성코드를 치유할 수 있는 가능성이 크기 때문이라는 것입니다. 때문에 SafeBoot항목만이라도 먼저 보관해두는 것이 유리하죠.)

주의사항 : 추후 다시 편집하면 되긴 하지만, 편의를 위해서 부팅드라이브에 있는 boot.ini파일을 복사해 놓으시던지 다른 이름으로 바꿔 놓으십시오.(이유는 아래 있습니다.) 또한 Documents and Settings 폴더 아래 있는 폴더의 이름을 기억하시거나 갈무리 하셔서 나중에 삭제하실 때 확인하시기 바랍니다.

XP를 다시 설치 하셨다면 부팅 화면에 두개의 XP가 보일 겁니다.
새로 설치한 XP를 선택하시고 부팅하시고, 부팅이 된 후 다시 시작 -> 실행 -> regedit 하신 다음HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
항목을 내보내기 하셔서 임의의 이름으로 저장하십시오. (예: SafeBoot.reg 등)

물론 하위 항목들이 어떻게 생겼는지 잘 기억해 두시기 바랍니다. (갈무리 하는 방법도 좋은 방법입니다. 물론 컴퓨터가 실수할 일은 없을 겁니다만, 혹시 모르니... 한번더 확인하고 가자는 겁니다.)
그런 후 재부팅 하시기 바랍니다.

원래의 XP로 부팅하고 조금 전에 만든 SafeBoot.reg라는 파일을 실행하시고,
위의 주의사항에서 말씀드렸던 boot.ini파일로 복원 또는 복사해서 원래대로 복구하십시오.
만일 기존의 파일이 준비가 되어 있지 않을 경우는 boot.ini파일을 편집을 하여 복수 부팅이 되지 않도록 해야하는데, 그 내용은 아래 링크로 가시면 확인하실 수 있습니다.
 
 
4. 기존 XP 복구

boot.ini 를 기존의 파일로 복구 하셨다면 이제 새로 설치했던 XP의 폴더 및 Documents and Settings 폴더 아래 설치된 폴더 잘 확인하시고 완전히 삭제(Shift + Del) 하십시오.
(주의: 삭제하시기 전에 시작 -> 실행 -> regedit 하셔서
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot의
하위 항목들이 앞서 새로 설치되었던 XP의 그것과 동일하고 제대로 있는지 확인하십시오.
정상이 아니라면 다시 위 3번 부터 다시 실행하셔야 합니다.)


5. 마지막 점검과 마무리

이제 마무리 입니다. 여기까지 하셨다면 거의 모든 문제는 해결된 것입니다.
그러나 아직 찌꺼기가 남아 있을 수 있습니다. 갑자기 _desktop.ini 파일들이 폴더마다 생겨나기 시작하기도 하기 때문입니다. desktop.ini파일이 아닙니다. _desktop.ini입니다. 파일명 앞에 "_" 붙는 다는 걸 꼭 확인하십시오.  _desktop.ini 파일은 바이러스가 감염되어 있지만, 치명적인 녀석은 아닌 듯 합니다.

파일의 정보를 보기 위해 노트패드 등으로 열어 보면 단순히 감염된 날짜로 보이는 일자 "2008-2-13" 처럼 입력이 되어 있을 뿐입니다. 그러나 GameSetup.exe 등의 이름으로 바이러스 파일을 생성하는데 중요한 역할을 하는 것으로 의심이 되므로 꼭 삭제하셔야 합니다.

삭제하는 방법은 검색 툴을 사용하시거나, 시작 -> 검색 -> 파일 또는 폴더 하셔서 검색 대상을 모든 드라이브로 설정하시고 _desktop.ini파일을 모조리 찾아 완전히 삭제하시면 됩니다.

그렇게 하신 후 V3+neo를 사용하시길 추천합니다. V3플러스 네오라는 것은 도스를 이용하여 사용하는 방법입니다.


사용법은 안철수바이러스 연구소에서 확인하실 수 있습니다.

간략히 알려드리면,
 위 안철수바이러스 연구소 사이트에 가셔서 V3neo를 받아 C: 드라이브에 V3란 폴더를 만들고 압축을 해제 합니다.(물론 컴퓨터를 잘 아신다면 임의의 폴더와 드라이브를 지정하셔서  사용하실 수도 있겠습니다.)
c:\>cd v3 를 입력합니다. 이건 v3 실행파일이 있는 c:\v3 디렉토리로 이동하는 명령입니다.

이제 v3 실행파일이 있는 c:\v3>로 이동되었으니 비로소 바이러스 검색명령을 입력합니다

c:\v3>v3 c: /s/a/u 라고 입력을 해준다 그럼 자동으로 치료를 할 것입니다.
드라이브가 여러개 있는 경우 "c:\v3 c: /s/a/u"란 명령에서 두번째 c:의 드라이브 명을 d:, e:, F: 등 해당되는 드라이브 명으로 바꿔가면서 바이러스를 검색하면 됩니다. 단 주의 사항으로 이곳에서 간혹 치료하다가 삭제가 안되기 때문에 삭제를 하란 메세지가 뜰 겁니다. 그럼 'y'를 누르시면 됩니다. 그러나 앞서 말씀드린 것 처럼 먼저 검색을 해서 완전히 삭제를 한 경우라면 거의 치료가 된 것이나 다름 없을 것이기 때문에 이런 번거로움이 발생하지 않을 겁니다.


여기까지 입니다.

마지막으로 최신의 바이러스 백신으로 시스템 메모리에 상주를 시켜 모니터링도 작동한 상태에서
드라이브 전체를 한번 주~욱 검색하셔서 혹시 남아 있을지 모를 바이러스 및 악성코드를 확인해 보시기 바랍니다.

너무 장황하게 말이 길어진 것 같습니다.

사실 컴퓨터라는 것이 사용하는 환경 마다 모두 다르기 때문에 그 경우의 수가 너무도 많습니다.
위의 내용으로 해결되지 않을 수 있는 소지 또한 있다는 얘기죠. 또한 바이러스 또는 악성코드들이 자생력을 지니고 있으며, 변이된 형태로 계속 발전? 하고 있는 상황이니... 그러한 경우라면 다시한번 현재의 환경과 문제를 잘 살펴보셔서 해결책을 찾아야 합니다.

정~ 어려우신 경우라면 컴퓨터 전문가에게 의뢰를 하셔야겠죠... 정~ 어려우신 경우라면... 저에게라도... ^^

그러나 전 이렇게 말씀드리고 싶습니다. 
가능한 인터넷을 잘 활용하시고 찾아 보셔서 스스로 해결해 보시란 말씀... 분명 해결하실 수 있습니다. 그리고 그것이 디지털 시대를 살아가는 사람으로써 갖추어야 할 모습이라고 생각합니다.
전 다만, 조금이라도 지금 어려움을 겪고 계신 많은 분들이 저처럼 해매지 않으시길 바랄 뿐입니다.
 
강조해도 부족하지 않은 말...
레지스트리 백업하자!!
백신은 꼭 설치하고, 업데이트를 최신으로!
백신 검사는 정기적으로
미리 미리 대처합시다!! ^^

참고적으로 인터넷 검색을 해보니.. 예전에 쓴 저의 글이 어느 분의 블로그엔가 출처도 밝히지 않은채 자신이 직접 쓴 글처럼 약간 바꾸어서(확실한 증거가 될만한 사항은 오타까지 똑같다는 겁니다. -.- ) 올려 놓았던데... 상기의 글은 제가 경험 한 것을 토대로 작성한 글이며, 일부를 수정 편집하여 올리는 글임을 밝힙니다.


※ 본 글은"기 발행 포스트 재정리를 위한 비공개 전환 공지"에서 말씀드린 바와 같이 이전 운영했던 블로그 텍스트큐브의 서비스가 중단됨에 따라 티스토리로 이전을 하게 되면서 개인 도메인을 사용하기 전 발행했던 포스트들의 소실된 링크 등 문제를 개선함과 동시에 지난 포스트들을 새롭게 정리하는 차원으로 기존 발행했던 일부 글 내용을 수정하여 재발행하는 포스트입니다. 보시는 분들의 넓은 양해를 구하고자 합니다.

■ 최초 발행일 : 2008. 2. 14
■ 수정 발행일 : 2009. 9. 5 (1차)



조금이나마 괜찮은 내용이라 생각하신다면 더 많은 분들이 보실 수 있도록 추천 부탁드립니다.







Share |

{ ? }※ 스팸 트랙백 차단중 ...
   

BLOG main image
디지털리스트 hisastro
디지털 세상은 나눔으로 이루어져 있습니다. 마치 사람人이라는 글자처럼... 따끈따끈한 디지털 기기처럼 따스한 마음으로 함께하고자 합니다.
by 그별

카테고리

Blog 칸칸 (2087)
디지털이야기 (885)
생각을정리하며 (366)
내가엮는이야기 (11)
타임라인 논평 (80)
좋은글 (42)
짧은글긴기억... (136)
기능성 디자인 (154)
아이작품들 (36)
맞아 나도그래 (13)
사회복지정보 (27)
그냥 (238)
제안서 만들기 (97)

달력

«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
get rssget rss Tistory 디지털hisastro rss

따끈한 포스트를 배달해 드립니다 :)