최근 외장하드를 연결만 하면 폴더가 열리지 않고 연결된 프로그램을 찾는 화면이 나와서 드라이브를 열기 위해서는 시작메뉴에서 실행을 열어서 드라이브명을 직접 입력해서 열곤 했었다.

내컴퓨터-도구-폴더옵션-보기 에서 "보호된 운영 체제 파일 숨기기" 체크 해제하고 "숨김 파일 및 폴더 표시 안 함" 체크 해제를 하면 드라이브 루트에 autorun.inf 화일이 있는것이 보이길래 autorun.inf화일을 삭제하면 다시 원상태로 되곤 했었다.

그렇게 썼었는데, 어제는 내컴퓨터에서 C드라이브 외에 다른 드라이브를 클릭하면 새로운 창이 뜨면서 드라이브 탐색기 화면이 뜨는거였다.

이것저것 옵션을 다 해봤는데, 안되길래 인터넷을 검색해보니 이런 현상때문에 고민하는 사람들이 많이 있었던것 같다.
아마도 autorun.inf 관련된 바이러스가 내컴퓨터에 감염된것 같았다.

인터넷에 있는 여러가지 방법들을 다 동원해봤었는데, 별로 효과가 없어서 결국은 컴퓨터에 설치되어 있던 V3 Internet Security 2007 Platinum으로 해결을 했다.

전체검사를 하자니 시간이 너무 많이 걸려서 각 드라이브별로 바이러스 체크를 하니 처음 30초 정도에 각 드라이브 루트에 있던 바이러스들이 모두 발견 되었다. 더 이상 검사할 필요가 없다 싶어서 검사를 종료하고 바로 치료를 했다.

하지만 이렇게 한다고 바로 치료가 되는것이 아니다.

autorun.inf 화일을 지워야 하는데, 내컴퓨터나 탐색기에서 지우기 위해서는 화일이 보여야 하는데, 이 바이러스가 "보호된 운영 체제 파일 숨기기" 와 "숨김 파일 및 폴더 표시 안 함" 옵션에 체크를 해제해도 바로 해제가 풀리도록 방해하기 때문에 도스프롬프트에서 삭제해야 한다. (autorun.inf화일이 삭제가 안되는 이유는 바이러스가 아닌 사용자가 만들어 놓은 시스템화일이라고 생각하기 때문에 자동삭제가 안되는것 같다 - autorun.inf화일은 시디 같은데에 자동실행 명령어를 넣어서 시디를 넣으면 자동으로 프로그램이 실행되게 하는 용도로 쓰이는 화일이다)

도스프롬프트에서 삭제하는 방법은 시작 메뉴에서 실행 버튼을 누르고 열기 칸에 "cmd"라고 입력한다.

그리고는 "del c:\autorun.inf /arsh"라고 입력한다.
같은 요령으로 "del d:\autorun.inf /arsh"라고 입력한다.
같은 요령으로 "del e:\autorun.inf /arsh"라고 입력한다.
이동식드라이브가 G드라이브라면 "del g:\autorun.inf /arsh"라고 입력한다.

이런식으로 모든 드라이브에 있는 autorun.inf 화일을 삭제하고 컴퓨터를 리부팅 한다음에 내컴퓨터로 하드디스크와 이동식 드라이브를 클릭하면 정상 작동한다.

autorun.inf화일만이 문제가 아니라 Oky9b9x.bat , 9nwep.bat , br8ym2l.bat 같은 바이러스 화일들이 계속해서 자동으로 생성감염되기 때문에 반드시 V3와 같은 백신으로 먼저 치료를 한 후에 autorun.inf화일을 삭제해야한다.
알약이나 다른 백신으로 치료는 안해봤지만 아마도 되지 않을까 싶다.

참고로 감염되었다가 치료했던 바이러스는 아래와 같다.


백신은 최신엔진으로 업데이트 되어 있지 않으면 아무런 의미가 없다. 꼭 백신은 자동업데이트 되게 해서 최신엔진 상태로 해놓자!

컴퓨터와 관련해서 질문을 받는 경우가 많이 있다.
잘 모르는 내용이라도 질문을 받게 되면 찾아서라도 해결해줘야 마음이 놓이고 보람도 있다.
장인어른께서 컴퓨터를 열심히 하시는데, 가끔씩 문제가 생기면 믿음직한(?) 사위에게 도움을 청하신다.

오늘도 아침에 출근하는데 장인어른께 전화가 와서 무슨일인가 싶었는데, 컴퓨터에 이상하게 자꾸 뜬다고 해결을 해달라고 말씀하셨다.

컴퓨터 화면을 직접보면 해결해드리기가 쉬울텐데 말로만 설명을 들으려니 답답했다.
화면에 보이는 내용 그대로 읽어 달라고 말씀드리고, 받아적은다음에 인터넷에서 키워드로 검색을 해보았다.

"Pro Antispyware 2009"

여러가지 검색결과가 나왔는데, 역시 예상했던대로 안티스파이웨어프로그램을 가장한 악성코드였다.
잘정리된 사이트가 있어서 내용을 정리해서 스파이웨어제거프로그램과 함께 이메일로 보내드렸는데, 악성코드 때문에 웹브라우저 사용이 어렵다고 하셔서 설치되어있는 알약으로 바이러스 검사를 해보시라고 설명해드렸다.

감사하게도 알약으로 검사해보니 빨간색으로 위험한 악성코드가 4개가 발견되어서 치료 하고 재부팅하고 나니까 제거 된것 같다고 하셨다.
주말에 가서 컴퓨터를 다시 한번 봐드리기로 했다.

요즘은 인터넷하다가 버튼 하나만 잘못누르면 이상한 프로그램들이 너무나 많이 설치되고, 마치 좋은 백신프로그램인것처럼 그럴싸하게 꾸며놓고 사용자를 낚시질하는 못된 프로그램, 못된 사람들이 많은것 같다.
특별히 검사를 하지 않아도 안좋은 프로그램이다 싶으면 자동으로 알아서 치료해주는 백신프로그램들이 좀 많이 나왔으면 좋겠다.

참고로 Malwarebytes' Anti-Malware 라는 프로그램으로 치료하면 된다고 하는데, 이것도 낚시인거 아니야? 순간 의심해보고 인터넷으로 검색해본결과 요즘 뜨는 괜찮은 프로그램이라고 한다.

Malwarebytes' Anti-Malware 다운받기 클릭 (설치실행방법은 아래 스크랩내용에 있음)

"Pro Antispyware 2009" 외에도 "Antivirus XP 2008" 등 왠지 겉모습만보면 그럴싸한 백신프로그램으로 보이는 악성프로그램들이 참 많이 있다고 한다. 밑에 목록을 참고 해보길... 이름이 왠지 다 그럴싸하지 않은가? ^^

Winweb Security 2008
SpywareRemover 2009
Antivirus Trigger
XP Protection Center
SecureFile Shredder
Ultra Antivirus
trojan TDSServ
Antivirus Pro 2009
Personal Defender 2009
WinDefender 2009
XP Antispyware 2009

인터넷을 이용하는 많은 분들에게 꼭 당부하고 싶은 얘기는 "~를 설치 할까요?" 물어보면 정말 확실하다 싶은것이 아닌 이상에는 "아니오" 또는 "NO"를 선택하라는 것이다. 인터넷 사용할 때는 YES맨이 되지 말고 부정적인 사람이 되자... 그게 정신 건강에 좋을것이다. ^^ 

자신의 컴퓨터에 백신프로그램이 없다면 밑에 있는 알약이나 V3 Lite 중에 하나를 설치하도록하자!
개인사용자에 한해서 무료 프로그램이니 집에 있는 컴퓨터라면 꼭 설치하도록 하자!

알약 : http://alyac.altools.co.kr        V3 Lite : http://v3lite.com/

관련 사이트 내용을 스크랩해서 넣어보았다. 밑에 화면에 있는 "Pro Antispyware 2009" 라고 되어있는 프로그램이다. 그럴싸하지 않은가? 왠만큼 컴퓨터에 지식이 없는 사람이면 다들 낚시질 당할듯...


How to remove Pro Antispyware 2009 (Uninstall Instructions)

Posted by Grinler on October 20, 2008 @ 11:10 AM · Views: 19,935


What this programs does:

Pro Antispyware 2009 is a rogue anti-spyware from the same family as Antispyware Pro XP and AntiSpyware 2008 XP. Pro Antispyware 2009 is advertised through the use of misleading advertisements found on web sites that pretend to be online anti-malware scanners. During the course of the advertisement, it will pretend to scan your computer and then display a warning box stating that your computer is infected with a variety of malware. It will then proceed to tell you to download and install ProAntispyware 2009 in order to clean your computer.

When Pro Antispyware 2009 is installed it will be configured to automatically start when you logon to Windows. When the program starts, it will scan your computer and list a large amount of fake infections that cannot be removed unless you first purchase the software. While running, the programs will also display fake pop-up and Windows taskbar security alerts stating your computer is infected or being attacked and that you should purchase the program to protect yourself. These messages, and fake infections, are just a way that the developers try to scare you into purchasing their software. Last, but not least, Pro Antispyware 2009 will also install an adware Trojan as a browser helper object in Internet Explorer. This adware will then display pop-ups on your computer from mxlivemedia.com when using Internet Explorer.


Pro Antispyware 2009 screen shot
Pro Antispyware 2009 screen shot
For more screen shots of this infection click on the image above.
There are a total of 5 images you can view.


This guide will walk you through removing Pro Antispyware 2009 and any associated malware that may have been installed with it.


Threat Classification:


Advanced information:

View Pro Antispyware 2009 files.
View Pro Antispyware 2009 Registry Information.


Tools Needed for this fix:


Symptoms that may be in a HijackThis Log:

O2 - BHO: mxlivemedia browser enhancer - {FDA08241-09F3-2DBE-22B1-5B44B581231C} - C:\WINDOWS\system32\gisyflngpshcvuakv.dll
O4 - HKLM\..\Run: [mfhsornwnduy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\gisyflngpshcvuakv.dll"
O4 - HKCU\..\Run: [Pro Antispyware 2009] "C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe" /autorun


Guide Updates:

10/21/08 - Initial guide creation.


Automated Removal Instructions for Pro Antispyware 2009 using Malwarebytes' Anti-Malware:


  1. Print out these instructions as we will need to close every window that is open later in the fix.

  2. Download Malwarebytes' Anti-Malware, or MBAM, from the following location and save it to your desktop:

    Malwarebytes' Anti-Malware Download Link

  3. Once downloaded, close all programs and Windows on your computer, including this one.

  4. Double-click on the icon on your desktop named Download_mbam-setup.exe. This will start the installation of MBAM onto your computer.

  5. When the installation begins, keep following the prompts in order to continue with the installation process. Do not make any changes to default settings and when the program has finished installing, make sure you leave both the Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware checked. Then click on the Finish button.

  6. MBAM will now automatically start and you will see a message stating that you should update the program before performing a scan. As MBAM will automatically update itself after the install, you can press the OK button to close that box and you will now be at the main program as shown below.

    MalwareBytes Anti-Malware Screen

  7. On the Scanner tab, make sure the the Perform quick scan option is selected and then click on the Scan button to start scanning your computer for Pro Antispyware 2009 related files.

  8. MBAM will now start scanning your computer for malware. This process can take quite a while, so we suggest you go and do something else and periodically check on the status of the scan. When MBAM is scanning it will look like the image below.

    MalwareBytes Anti-Malware Scanning Screen

  9. When the scan is finished a message box will appear as shown in the image below.

    MalwareBytes Anti-Malware Scan Finished Screen

    You should click on the OK button to close the message box and continue with the Pro Antispyware 2009 removal process.

  10. You will now be back at the main Scanner screen. At this point you should click on the Show Results button.

  11. A screen displaying all the malware that the program found will be shown as seen in the image below. Please note that the infections found may be different than what is shown in the image.

    MalwareBytes Scan Results

    You should now click on the Remove Selected button to remove all the listed malware. MBAM will now delete all of the files and registry keys and add them to the programs quarantine. When removing the files, MBAM may require a reboot in order to remove some of them. If it displays a message stating that it needs to reboot, please allow it to do so. Once your computer has rebooted, and you are logged in, please continue with the rest of the steps.

  12. When MBAM has finished removing the malware, it will open the scan log and display it in Notepad. Review the log as desired, and then close the Notepad window.

  13. You can now exit the MBAM program.

Your computer should now be free of the Pro Antispyware 2009 program. If your current anti-virus solution let this infection through, you may want to consider purchasing the PRO version of Malwarebytes' Anti-Malware to protect against these types of threats in the future.

If you are still having problems with your computer after completing these instructions, then please follow the steps outlined in the topic linked below:

Preparation Guide For Use Before Posting A Hijackthis Log



Associated Pro Antispyware 2009 Files:

O2 - BHO: mxlivemedia browser enhancer - {FDA08241-09F3-2DBE-22B1-5B44B581231C} - C:\WINDOWS\system32\gisyflngpshcvuakv.dll
O4 - HKLM\..\Run: [mfhsornwnduy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\gisyflngpshcvuakv.dll"
O4 - HKCU\..\Run: [Pro Antispyware 2009] "C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe" /autorun


Associated Pro Antispyware 2009 Windows Registry Information:

HKEY_CURRENT_USER\Software\Solt Lake Software
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDA08241-09F3-2DBE-22B1-5B44B581231C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mfhsornwnduy"

블로그 만드는게 쉬운줄 알았는데, 시간이 꽤 걸렸네요...

왠지 네이버나 다음에 블로그를 만들기 보다는 티스토리가 좋아보여서 가입하려고 하니까 초대장을 받아야 되네요.

아마도 예전에 구글메일 만들려면 초대받아야 만들 수 있게 한거랑 비슷하게 한것 같아요~

어쨌든 인터넷으로 초대장 구걸하러 다니다가 너무나 친절하신 tweek님께서 초대장을 보내주셔서 이렇게 티스토리에 가입하고 블로그까지 만들어서 첫번째 포스팅을 하게 되었습니다.

너무나도 신기하게도 초대장 보내주신 tweek님도 하연이 아빠라는사실!

tweek님 블로그 열심히 꾸밀게요~ 저의 어리버리함에도 불구하고 두번씩이나 초대장 발송해주셔서 감사드려요 ^^

앞으로 이 공간을 통해서 많은 나눔들이 있기를 소원하며 이 공간을 통해서 오직 하나님의 이름이 높아지기를 기대합니다!
