바이러스/악성코드/보안 목록

1. 아웃룩에서 훈민시트 파일을 열 수 없습니다.

   [증 상]
   2002년 4월 17일 일본에서 처음 발견신고 되었으며, 국내에도 바로 유입되었습니다.
   메일 및 공유 폴더를 통해서 확산되는 전형적인 인터넷 웜으로 분류되며, 메일로 도착한 경우 패치되지 않은 아웃룩과 아웃룩 익스프레스를 통해서 메일을 읽는 것만으로도 감염됩니다.
   또한 몇가지 Anti-Virus 제품을 강제 종료시키기도 합니다.
   
   [ 치료방법 ]
   I-Worm.Win32.Klez.H 바이러스 파일을 치료하기 위해서는 WWW.HAURI.CO.KR에서 바이로봇 EXPERT 30일 체험판을 다운 받은 후 설치 감염 파일을 치료합니다.
   훈민오피스를 재설치 함으로서 HUN2K실행 파일을 복구합니다.
   정상적인 파일에 감염되는 바이러스를 포함하고 있으므로 반드시 백신프로그램을 이용하여 진단 및 치료를 해야하며 다음의 패치를 적용하여 메일의 미리보기만으로 감염되는것을 차단해야합니다.
   또한 다음의 패치를 적용하여 보안 취약점을 근본적으로 제거해야 합니다.
   
   [Microsoft 보안패치 항목]
   * Outlook Express
   - http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
   
   * 시작-->윈도우즈 업데이트에서 서비스팩을 다운받습니다.

   닫기

2. EasyWinCleaner 2002 설치시 인터넷 시작페이지변경

   ieasysoft.com 광고 효과를 위하여 강제로 시작페이지를 변경합니다.
   첨부파일을 다운로드 받으신 후 실행하시면 제거됩니다.
   
   출처 http://www.ieasysoft.com

   닫기

3. 전자매뉴얼 시디에서 McAfee 바이러스 프로그램 수동 업데이트 방법

   < McAfee 수동 업데이트 방법 >
   
   
   
   1)아래 그림인 작업 표시줄에서 검은색 동그라미 쳐진 부분을 클릭합니다.
   
   
   
   
   
   
   
   2) AutoUpdate 를 클릭합니다.
   
   
   
   
   
   
   
   3)지금 실행을 누릅니다.
   
   
   
   
   
   
   
   설치가 완료되면 확인을 누릅니다.
   
   
   
   
   
   
   
   

   닫기

4. 외환카드 사이트에서 암호화 프로그램 설치시 멈춰 있는 경우

   [발생원인]
   V3 백신 프로그램이 설치 되어 있는 경우입니다.
   환경설정에서 인터넷 감시 기능이 동작하고 있기 때문입니다.
   
   [해결방안]
   인터넷 감시 기능을 OFF합니다.
   아래글은 안철수 연구소 FAQ란에 있는 글입니다.
   [ V3Pro 2002 Deluxe의 인터넷 감시의 동작원리는 다음과 같습니다. ]
   
   1. 프록시 서버를 사용하지 않고 인터넷 감시가 On 되어 있을 경우
   
   V3Pro 2002 Deluxe의 인터넷 감시 기능은 프록시 서버 방식으로 웹페이지 접속시 먼저 가상의 프록시 서버에서 바이러스 유무를 검사 한 후 이상이 없으면 웹 서버에 이상이 없음을 통보하여 웹페이지를 다운받게 하는 방식으로 기능이 작동하고 있습니다.
   
   따라서, 익스플로러의 [도구]-[인터넷 옵션]-[연결]-[LAN설정]에서 프록시 서버 사용에 체크가 되고 [고급]부분에 HTTP가 [127.0.0.1 - 8081]로 변경하여 가상의 프록시 서버를 만드는 것입니다.
   
   단, 2002/03/06일 이후로 서비스팩(SP1)을 다운받아 업데이트를 했거나 [패치파일]을 포함하여 업데이트를 하셨다면 위의 인터넷 익스플로러에서 프록시 서버가 설정되지 않을 것입니다.
   
   

   닫기

5. 윈도우 2000 부팅 후 바탕화면 아이콘이 모두 사라진 경우

   [증상]
   1. 윈도우 2000부팅 후 바탕화면에 아이콘이 모두 사라진 경우 아무런 작업 진행이 안됨
   
   [발생원인]
   Win-Trojan/MircPack의 변종 바이르서의 감염으로 부팅시 Mirc Wizard 메시지가 나오는 것은
   mIRC 서버에 접속이 안될 때 나오는 일반적인 메시지이며, 바탕화면으로 넘어가지 않는 원인은
   윈도우 NT 이상계열의 경우에는 부팅 시 PATH가 C:\WinNT\System32;C:\WinNT 와 같은
   순서로 되어 있기 때문입니다.
   
   즉, Windows NT에 있는 Explorer.exe가 실행되어야 하는데, PATH 설정에 따라 System32 에 있는
   Explorer.exe가 먼저 실행되어 나타나는 현상입니다.
   
   [해결방법]
   1.부팅을 하고 바탕화면에 아무런 아이콘이 안뜨는 상황까지 부팅 진행
   2.Ctrl + Alt + Del(또는 Delete) 눌러 작업관리자 나오게함
   3. 아래의 그림 처럼 작업관리자 → 파일 → 새작업(실행) → 열기창에 C: 입력하고 확인을 누름
   
   
   
   4. 정상적으로 부팅이 됩니다.
   5. 탐색기를 열어 C:\WinNT\System32 폴더로 이동합니다.
   6. explore.exe 파일과 explorer.exe 파일(반드시 System32 폴더에 있는 파일이어야 함)을
   이름바꾸기로 바꾸어줍니다. (확장자를 ex0 등으로 바꾸십시오)
   7. 암호가 없을 경우 바이러스가 재발 할 수 있으므로 방지하기 위해 암호 입력을 해줘야 합니다.
   Ctrl + Alt + Del(또는 Delete) 눌러 작업관리자 나오게함
   8. 암호변경 → 새암호 입력을 완료하시면 됩니다 .
   
   * 암호변경이유 : 윈도우 2000 에 기본 ipc$ 공유를 이용한다.
   연결시 배치파일에 포함된 몇개의 계정및 암호를 이용하여 연결된다.
   
   예) 계정 : Administrator / 암호 : 없음 또는 계정 : Admin / 암호 : Admin
   
   위와 같이 누구나 유추하기 쉬운 계정및 암호또는 암호가 없이 사용되는 시스템이 대상이 됩니다. 
   그러므로 암호를 반드시 설정하거나 윈도우 기본 계정인 Administrator 는 사용하지 않고 별도로
   자신만의 계정을 만들어 Administrator 권한과 암호를 주고 사용하는게 안전합니다.

   닫기

6. 인터넷에서 시작페이지가 ZZUU.COM 으로만 연결 될 때 조치사항

   1. 인터넷창을 실행 시킵니다.
   2. 웹 페이지 왼쪽 하단의 공지사항을 보세요.
   3. 시작페이지 설정 및 제거 를 누르세요.
   
   
   4. 삭제하는 프로그램을 다운받아 uninstall을 실행하여 확인을 누릅니다.
   
   
   
   

   닫기

7. 윈도우xp 시작시 mmod module 에러 메시지가 발생합니다.

   [ 증상]
   윈도우XP를 시작시 mmod module 에러 메시지 발생합니다.
   
   
   
   [ 발생원인]
   윈도우 시작프로그램에 eZula 프로그램이 설치되며 잘못된 항목이 추가되어 발생합니다.
   
   [ 해결방법]
   - 첫 번째 방법 -
   1. 시작을 눌러 실행을 클릭합니다.
   2. 실행에 열기란에 msconfig를 입력합니다.
   3. 시스템구성유틸리에서 시작프로그램 항목으로 이동하여 mmod 항목을 찾아 체크 해제를 해제합니다.
   
   
   
   - 두 번째 방법 -
   잘못 등록된 프로그램을 제거 합니다.
   1. c:\Program File\eZula 폴더로 이동합니다.
   2. UNWISE (또는 UNWISE.EXE) 파일을 더블클릭하여 제거를 실행합니다.
   
   
   
   

   닫기

8. 윈도우 시작시, 또는 작업중 conimekr 오류 발생합니다.

   [증상]
   윈도우 시작시, 또는 작업중 conimekr 오류 발생합니다.
   
   
   
   [발생원인]
   C:\Windows\system32\conimekr.exe 스파이웨어가 작동하여 발생합니다.
   
   [해결방안]
   1. 내컴퓨터에서 마우스를 더블클릭하여 실행합니다.
   2. C:\Windows\system32\conimekr.exe 로 이동하여 삭제합니다.
   
   

   닫기

9. Windows XP에서 갑자기 하드 디스크 여유 공간이 줄어드는 경우

   [증상]
   Win-Trojan/ServU. 2121216 바이러스에 감염되면 특정 포트가 오픈되며, 하드 디스크 여유공간이 부족 하거나 네트워크 트래픽이 증가 할 수 있습니다. [ 안철수 연구소 자료 참조 ]
   
   [발생 원인]
   바이러스 감염
   
   [해결방법]
   감염경로는 대부분 공유 설정이 되어 있는 시스템을 통해서 일반적으로 알려진 아이디 ( Administrator ), 암호를 대입해서 시스템에 들어옵니다. 그러므로 사용자 계정 및 암호를 불규칙하게 설정하시고, 현재 사용 중인 바이러스 프로그램을 최신 버전으로 업데이트 합니다.그리고 아래 인터넷 사이트에 있는 온라인 전용백신으로 바이러스 검색을 해 보시기 바랍니다.
   
   ☞ 온라인 전용 백신

   닫기

10. 광고 메신저 서비스가 화면에 나타납니다.

    [ 증상]
    컴퓨터 사용중 불특정 다수의 메신저 서비스 항목이 위와같이 화면에 나타남.
    
    
    
    [ 발생원인]
    내부 네트워크의 netsend 기능을 상업적으로 악용하여 nt기반의 windows 2000, windows XP에서 발생 합니다.
    
    1. 바탕화면의 내 컴퓨터에 마우스를 올려놓고 오른쪽 버튼을 눌러줍니다.
    2. 팝업창에서 관리를 선택하여 클릭합니다.
    
    
    
    3. 컴퓨터 관리 창에서 서비스 항목으로 이동하여 우측의 Messenger을 더블클릭합니다.
    4. Messenger 속성에서 아래의 그림과 같이 시작유형을 사용안함으로 바꾸어주며, 서비스 상태를 중지 해주십시오.
    
    

    닫기

11. 종료시 Hotdog.exe를 종료합니다.라는 메시지와 프로그램 실행이 1분정도 느려짐

    <발생원인>
    일종의 광고성 프로그램
    인터넷을 이용하여 사용자 컴퓨터에 프로그램 설치하여 컴퓨터 실행을 느리게 하고
    원활한 사용을 못하게 하는 바이러스
    
    1.내컴퓨터나 인터넷등을 실행시 1분정도 후에 실행됨
    2.종료시 Hotdog.exe를 종료한다는 메시지와, 컴퓨터에 c:\windows\system
    또는 c:\windows\system32, 또는 그밖의 폴더에 Hotdog라는 프로그램이 설치됨
    3.레지스트리
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run)에 Hotdog.exe 프로그램이 등록되어 있음
    
    
    
    
    
    <해결방법>
    [다운로드]제거프로그램
    
    위의 Hotdog.exe 제거 프로그램을 다운로드 받으시고, 더블클릭 누르시면, 압축이 풀리고, 4개의 화일이 나옵니다.
    4개의 화일중에 vs_hotdog.exe 라는 제거프로그램을 실행 시킵니다.
    프로그램을 실행시키면, 아래의 화면이 나옵니다.
    
    
    
    프로그램을 실행시킨뒤 그림과 같이 프로세스 확인하기에 있는 hotdog.exe 강제종료, extra 강제종료, sav12.dll 강제종료를 모드 누르시면 실행되고 있는 hotdog.exe 프로그램이 강제 종료됩니다.
    
    
    
    그런 후, 위의 그림과 같이 c:\드라이브 전체를 선택하신후에
    
    
    
    검색시작을 누릅니다.
    
    
    
    검색을 하시면, Hotdog.exe 프로그램을 검색하며, 프로그램이 발견되면, 검색리스트에 검색된 화일이 나오게 됩니다.
    검색을 마친 후 발견된 화일이 있다면, 화일을 선택하신 후에 파일삭제를 누릅니다.
    마지막으로, registry제거 버튼을 눌러 레지스트리에 있는 Hotdog.exe 프로그램을 완벽하게 제거 합니다.
    위의 방법으로 하신다음 인터넷이 느린현상이 나타나신다면, 다음을 체크해주시기 바랍니다.
    
    인터넷익스플로어가 6.0인 상태에서 진행해주시고, 6.0이 아닐경우는 인터넷익스플로어를 6.0으로 업데이트 하신후 다음을 체크 해주시기 바랍니다.
    - 인터넷 익스플로어 버젼 확인방법 -
    1. 인터넷창을 띄우신후 맨위쪽 메뉴에서 도움말을 누릅니다.
    2. 도움말을 누른뒤 맨밑에 있는 internet explorer 정보를 누르면 확인하실수 있습니다.
    - 인터넷 익스플로어 버젼이 6.0일때 체크사항 -
    1. 인터넷창을 띄우신후 맨위쪽 메뉴에서 도구를 누릅니다.
    2. 도구를 누르신후 맨밑의 인터넷옵션을 누릅니다.
    3. 인터넷옵션 창이 뜨시면, 맨 오른쪽의 고급탭을 누릅니다.
    4. 고급탭에는 여러가지 항목이 나오는데, 중간정도 내려오시면, 타사 브라우져 확장명사용(다시 시작해야함)이라는것이 있는데, 이 항목에 체크를 지워주신후 확인을 눌러 창을 모드 닫습니다.
    
    위와같은 방법으로 문제를 해결하신후 sav12.dll이라는 화일이 안지워지는 경우가 있습니다.
    이럴때 다음을 참고 바랍니다.
    
    현재 컴퓨터 속도 저하 (응용 프로그램 실행시 지연후 실행등)등의 문제가 보고되고 있으며 이는 이 파일과 연동되는 sav12.dll 파일로 인한 것으로 보여집니다.
    따라서 이 파일을 제거하면 느려지는 현상은 해결됩니다.
    2003년 11월 12일자 정기엔진에 해당 파일인 sav12.dll (57,344 바이트)을 Win-Trojan/Sins.57344 로 추가하였습니다.
    따라서 V3 제품군 사용자는 최신엔진으로 업데이트후 검사하여 진단된 파일을 삭제하면 됩니다.
    치료(삭제)후 여전히 응용 프로그램의 실행이 느리다면, 시스템을 재부팅 해보거나
    iexplore.exe 또는 Explorer.exe 를 종료후 실행해보도록 합니다.
    - 수동제거 방법은 다음과 같습니다. -
    1. 명령 프롬프트 창으로 나옵니다.
    (일반적으로 시작 -> 실행 -> cmd, 또는 command 입력한다.)
    2. 윈도우 시스템 폴더로 이동합니다.
    (예를들어 cd \winnt\system32 또는 cd \windows\system32, cd
    \windows\system 등으로 입력한다.)
    3. regsvr32 c:\윈도우 시스템 폴더명\sav12.dll 입력후 엔터를 누릅니다.
    -> 예) regsvr32 /u c:\winnt\system32\sav12.dll
    4. 윈도우로 돌아와서 sav12.dll 파일을 찾아 지웁니다.
    파일이

    닫기

12. 애드웨어 제거 프로그램인 다잡아(AD-Spider)가 실행(업데이트)이 안되는경우

    요즘들어 많은 악성코드 변종 프로그램들이 생성되고 있습니다.
    더욱이 저희 프로그램을 아예 실행이 되지못하도록 강제 종료하는 악성코드들도 나타나고 있습니다.
    이러한 악성코드에 의해 저희 다잡아 프로그램이 실행이 되지 않습니다.
    이런 프로그램들은 최신버젼의 다잡아(1.21이상)에선 패치가 되었으나 그 이하의 버젼에서는다잡아프로세스를 강제종료 시키는 경우가 발생하고 있습니다.
    해결책은 최신판의 다잡아를 다운받아 설치하시면 해결하실수 있습니다. 설치가 안되시거나 업데이트가 안되시는분들은 악성코드 프로세스를 종료하신후 업데이트 후에 치료해 주세요.
    
    Ctrl + Alt + Del 키를 누르거나, 작업표시줄에서 마우스 오른쪽버튼을 클릭하시고,작업관리자를 선택하십시오.
    
    애드스파이더의 실행을 방해하는 악성코드를 선택한 후에 프로세스 끝내기 버튼을 누릅니다.
    악성코드 프로세스 : antinuad.exe, tachimsm.exe
    추가발견 악성코드 프로세스 : spoolsa.exe, amtinxad.exe
    추가발견 악성코드 프로세스(작업관리자 실행불가) : mhntachy.exe, msnsay.exe
    
    작업관리자가 안될경우 다운받아 실행하세요.
    [다운로드]
    
    프로그램 상단에 (다잡아 - 악성프로그램 및 애드웨어 삭제 프로그램)을 누른 후에, 다잡아(AD-Spider)업데이트를 누릅니다.
    
    출처 : http://www.ad-spider.com

    닫기

13. 인터넷이 10분 정도 지나면 끊어지거나 컴퓨터가 재부팅및 느려짐(사세르 바이러스)

    [적용 운영체제]
    Windows XP, Windows2000
    
    [증상]
    
    
    
    
    
    
    
    
    
    5월 1일 발견된 신종 웜 바이러스입니다 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다. 보안패치 안된 시스템이 공격 패킷을 받을 경우 네트워크 과부하로 인한 인터넷 끊김이나 에러가 발생하며 시스템이 자동 종료될 수 있다
    
    [발생원인]
    Win32/Sasser.worm.15872는 MS04-011 취약점을 이용해 전파되는 웜바이러스에 감염되면 생기는 현상
    
    [해결방법]
    필히 순서대로 진행을 해주시기 바랍니다.
    화면에 나오는 바이러스를 일시적으로 아래 그림에 나와 있는 방법으로 중지 시킬수 있습니다. 그러나 완전히 제거 후 패치를 하셔야 감염되지 않습니다.
    
    
    
    1) 시작 -> 실행 -> 열기란에taskmgr 입력 후 확인을 누르면Windows 작업관리자 창이 나옵니다.
    2)프로세스 탭을 누른 후 아래 내용중에 avserve 항목을 선택 후 프로세스 끝내기 버튼을 누르면,인터넷을 하실 수 있습니다.
    2.LSASS Vulnerability (MS04-011) Exploit 를 이용하는 공격으로부터 유해패킷을 차단하는 윈도우 XP MS04-011 취약점 패치
    
    XP MS04-011 취약점 패치
    
    클릭을 하시면 MS패치사이트로 이동을 합니다.오른쪽에 있는 [Windows XP용 보안 업데이트(KB835732)] 다운로드를 눌러주시고 열기 선택하여 설치해주시길 바랍니다.
    현재 4단계 변형이 나온상태입니다. 계속되어 변형 바이러스가 나오고 있으므로 정확한 진단 및 치료가 어려울수도 있습니다. 이점 참고하시길 바랍니다.
    
    
    

    
    

    3. 바이러스 백신 프로그램을 이용해서 정밀 점검 및 치료후 컴퓨터를 재부팅합니다.
    바이러스 백신의 실시간 감시 기능은 활성화 시켜주시기 바랍니다.
    

    
    

     

    닫기

14. 하자아이 사이트로 시작페이지가 변경되었을 때

    <발생원인>
    * 하자아이(http://www.hajai.com)사이트로 인해 시작페이지가 변경되지 않을때 *
    
    <해결방법>
    1.시작페이지가 하자아이 시이트로만 접속이되며, 악성코드 삭제프로그램으로 해결되지 않을때 사용합니다.
    2.http://my.hajai.com/myguide/myguide_073.htm로 이동합니다.
    3.하자아이 시작페이지 해제 버튼을 누릅니다.
    
    
    
    4.시작페이지를 변경할수있는 hajakill.exe 화일을 받을 수 있는 창이나옵니다
    이곳에서 저장하지말고, 열기를 눌러줍니다.
    
    
    
    5.프로그램이 제거되며 완료되었다는 창이나옵니다.
    
    
    
    *주의*
    hajakill.exe 화일을 저장하여 실행하면 다음과 같은 메시지가 나올 수 있으니 저장하지 마시고
    열기를 눌러주시기 바랍니다.
    
    

    닫기

15. [XP] 작업표시줄에 검색창(SEARCH BAR)이 뜹니다.

    <증상>
    작업 표시줄에 search bar 검색창이 뜹니다.
    
    
    
    <해결방법>
    시작 -> 제어판 -> 프로그램 추가/제거 -> Windows SA 항목을 제거 해주시기 바랍니다.
    
    
    <주의>
    위 방법으로 제거후에 BlazeFind라는 인터넷 창이 나오면 인터넷 창을 닫고 컴퓨터를 재부팅후에 사용하시면 완전히 제거가 되십니다.
    만약 제거가 안되신다면 아래 클릭하셔서 AD-FREE로 악성 코드 검사를 해주시기 바랍니다.
    
    AD-FREE 사용 방법
    

    닫기