부팅시특정사이트로자동연결 / 웜 해결방법

부팅시특정사이트로자동연결 / 웜 해결방법

Posted by on 2010/01/25 12:39

**부팅시특정사이트로자동연결 / 웜 해결방법
시스템 부팅후 가만히 두면..(또는 사용도중..) 언젠가부터.. 특정사이트(불특정사이트)로 웹페이지가 자동으로 열리고.. 잠시 자리를 비우고 돌아오면 몇십개의 사이트가 열려있는것을 확인하였다.
이것.. 저것 찾아보고 해결하려 하였으나. 결국은 O/S재설치라는 방법을 취했으나. 최근에 찾은 방법인데. 일단 해결된듯 하다.

아래 방법은 안철수연구소에서 발췌한 내용이다.

IceSword.zip

usbblock.zip

all-files.zip

 ====================================================================================================
1. 개  요
최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다.
**저의경우 :http://www.mainstories.com/index.php/business

2. 증 상
컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다.

 

3. 조치 방법
1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다.

2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다.
HKEY_LOCAL_MACHINE\
                         SOFTWARE\
                                    Microsoft\
                                           Windows NT\
                                                       CurrentVersion\
                                                                          Winlogon


3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:\RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다.

4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

5) Ice Sword를 실행하여 [File] 탭으로 이동합니다.

6) File 탭에서 이전에 이전에 레지스트리 편집기에서 Taskman 값에 기록된 경로로 이동합니다.
예) C:\RECYCLER\S-1-5-21-1202660629-1214440339-725345543-1003
**저의경우:C:\RECYCLER\S-1-5-21-9934610133-1538844265-892378779-9097\nissan.exe

7) 해당 경로로 이동하여 nissan.exe 파일을 찾아 마우스 오른 클릭 후 [force delete]를 선택하여 삭제합니다.
** 저의경우 "force delete"는 아무반응이 없고. "delete"만 먹었고. 일단 해결된듯 하다.

8) 해당 바이러스는 이동형 USB 디스크 장치를 통해 전파되는 Autorun 계열 악성코드 이므로 http://core.ahnlab.com/43 글을 참고하여 재감염을 예방하시기 바랍니다.

9) 마지막으로 컴퓨터를 재부팅 합니다.