와. 세상 이렇게 맬웨어 malware 와 Trojan, 그리고 모니터링툴 바이러스가 막강하게 무서운지 몰랐었다. 어찌나 세상끝까지 나를 괴롭히려고 따라 다니는지 지긋 지긋 했다.
바이러스, 맬웨어 모두다 잡아버리는 프로그램을 돌리고 또 돌려도 다시 등장하는 지긋지긋한 녀석들이 이제는 모니터링 툴까지 설치해서 내 컴퓨터에 잠복근무를 하려고 들었다.
그렇다면 나도 거기에 대응을 해주어야지. 그래서 윈도우 디팬더를 열심히 돌려주었으나 별 효득이 없었다. ㅠ.ㅠ 이렇게 슬픈일이.. 계속 반복했다. 윈도우도 다시 설치하려고 했었으니 정말 끔직했다.
무엇보다도 이상한 녀석이 자꾸 뜨는 것 아닌가? 처음에는 오버워치인줄 알았다. -_ -;;
orcuswatchdog.exe 제거 하겠다는 굳은 다짐으로 검색을 시작했다. 그러다가 watchdog.exe 삭제 관련된 글들이 많아서 들어가고 들어가다가 이놈도 결국 비슷한 녀석인 점을 확인했고 바로 지독한 녀석들을 잡아 버렸다.
맥북프로레티나 경우는 orcuswatchdog.exe 파일이 계속 떴다가 지워졌다 혼자 반복했다. 당연히 미친 녀석이라는 것은 알았지만 .. 이렇게 쇼까지 할 필요있나 싶을 정도였다.
캡쳐로 볼 수 있다. 나타났다 죽었다를 반복하는 우리의 watchdog.exe 파일.. 쉣~
분명 눈에 보이는 OrcusWatchdog 파일
선택해서 지우려고 하면 지가 알아서 사라진다.
저 망할 ....
결국 항목을 찾을 수 없다고 지울 수 없다고 나오는 저놈....
오늘 내가 꼭 죽인.................
음 진정하고.
Windows Defender 얼마나 바이러스나 말웨어 맬웨어, 애드웨어를 잡아주는지 모르겠지만 기본제공인 것을 감안하면 있다는 것을 알려주는 것 만으로도 충분히 고마운 존재다.
그..그래도 신뢰는 영 ^^;;
이렇게 많이 잡힌 녀석들을 한번에 잡아 보겠다고 머리를 굴렸다.
자. 힘들게 준비한 프로그램으로 애드웨어, 바이러스 잡는 스크립트를 잘 돌려 주었다.
먼저 안전모드로 부팅하여 잡아주면 가장 좋겠지만 필수 사항은 아니다.
Windows 7 , Vista 안전 모드 부팅 방법
Windows 부팅 로고 화면이 직전 잠깐 보이는 검은 화면 상태가 되기 전부터 F8 키를 툭툭툭 누르면 나오는 고급 부팅 옵션 항목에서 '안전 모드' 또는 '안전 모드(네트워킹 사용)' 선택
Windows 10, 8. 또는 Windows 8.1 그 이상 윈도우 안전 모드 부팅 방법
설정/PC 설정 변경(단축: 윈도우 + I 키) ▷ 업데이트 및 복구 ▷ 복구 ▷ 고급 시작 옵션 ▷ 다시 시작 ▷ 문제 해결 ▷ 고급 옵션 ▷ 시작 설정 ▷ 다시 시작 ▷ 고급 부팅 옵션 항목에서 '안전 모드' 또는 '안전 모드(네트워킹 사용)' 선택
위 방법에서 혹시 잘 안된다면?
실행 - msconfig 입력 후 확인 또는 엔터
부팅 옵션에서 안전 부팅을 선택하고 적용/ 확인 누른 뒤 재부팅 하면 자연스럽게 아이콘과 모든 것이 대빵 만하게 크게 나오는 안전모드로 부팅될 것입니다.
믿는 둥 마는 둥 이번에 안되면 포맷을 해버려야지 했던 녀석이 참 유용하게 잡혔다.
네트워크 DNS까지 잡아주고 악성 및 유해 가능 시작 프로그램 레지스트리 까지 제거해 주니 세상 고마운 마음에 단번에 감사함을 표현했다.
이건 뭐~ 그 유명한 Malware 회사와 안랩을 뛰어 넘은 수준이었다.
와 정말 여러가지 프로그램으로도 잡히지 않았던 녀석들이 시간은 조금 오래 걸렸지만 해결 됐다.
그것도 레지스트리 까지 말끔하게 정리 및 제거 해주니까 신경 쓸 일이 덜었다.
-- 상세 보고 -- 대부분 생략, 제거된 부분만 발췌함
■ 악성 및 유해 가능 파일 제거 :
"C:\Windows\System32\Tasks\HD Audio" (격리/제거 성공)
"C:\Windows\btdvap.exe" (격리/제거 성공)
"C:\Windows\SysWOW64\WindowsInput.InstallLog" (격리/제거 성공)
"C:\Windows\SysWOW64\WindowsInput.InstallState" (격리/제거 성공)
"C:\Users\aiibl\AppData\Roaming\OrcusWatchdog (1).exe.config" (격리/제거 성공 [Active Scan])
"C:\Users\aiibl\AppData\Roaming\OrcusWatchdog.exe.config" (격리/제거 성공 [Active Scan])
■ 악성 및 유해 가능 <HKEY_CLASSES_ROOT> 레지스트리 제거 :
"HKCR\OCComSDK.ComSDK" (격리/제거 성공)
"HKCR\OCComSDK.ComSDK.1" (격리/제거 성공)
"HKCR\APPID\OCComSDK.DLL" (격리/제거 성공)
"HKCR\APPID\{257AE6D8-A9F3-4113-9AA8-5EED67D44267}" (격리/제거 성공)
"HKCR\Wow6432Node\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}" (격리/제거 성공)
"HKCR\Wow6432Node\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}" (격리/제거 성공)
"HKCR\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}" (격리/제거 성공)
"HKCR\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}" (격리/제거 성공)
"HKCR\Wow6432Node\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}" (격리/제거 성공)
"HKCR\Wow6432Node\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}" (격리/제거 성공)
"HKCR\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}" (격리/제거 성공)
■ 악성 및 유해 가능 <HKEY_CURRENT_USER> 레지스트리 제거 :
"HKCU\Software\IM" (격리/제거 성공)
■ 악성 및 유해 가능 <HKEY_LOCAL_MACHINE> 레지스트리 제거 :
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HD Audio" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BEE42448-CAC7-432C-A64B-C6D7E19C3940}" (격리/제거 성공 [Active Scan])
■ 웹 브라우저 - 구글 크롬 악성 시작 및 검색 페이지 제거 :
"C:\Users\aiibl\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" (격리/제거 성공)
■ 초기화 대상 서비스 및 레지스트리 확인 :
"HKCU\Software\Microsoft\Internet Explorer\Main : NoProtectedModeBanner" (초기화 성공)
■ 악성 및 유해 가능 시작 프로그램 레지스트리 제거 :
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run : sysboot" (격리/제거 성공)
모니터링툴 이라는 녀석은 이번에 검사하면서 처음 알았다. 아마 해킹의 일종이 아닐까싶다. 괜히 겁난다. 은행업무도 이 컴에서 보는데.. 찜찜하긴 하다.
아무튼 Trojan , MonitoringTool 따위는 세상에서 사라져 버렸으면 좋겠다.......흑.....ㅠ.ㅠ 무섭잖냐,,
맥북프로 레티나에 설치했던 오피스2016 자체에서 문제가 있었던 모양이다.
운좋게 악성 바이러스 맬웨어, 애드웨어를 생각보다 쉽게 잡을 수 있었다.
맥북프로레티나, 맥북에어, 데스크탑까지 3대를 동시에 모두 잡아 고쳐버렸다.
맥북프로는 비교적 빨리 끝났는데,, i7 사용중인 데스크탑은 아마도 용량이 테라급이라 조금 오래 걸렸나보다.
그나저나 제거된 녀석들의 경로 중, 디자인도 몇 개 이었던 것 같은데 괜찮겠지..?
혹시 필요하신 분은 비밀글로 메일 주소 주세요. 비밀 댓글은 제가 댓글 달아도 보실 수 없으니 메일로 출처 알려드릴게요. 출처없이 프로그램 제공은 어렵거든요. 경로 알려드릴게요. 댓글 주세요~
절대 홍보가 아닙니다~ 저처럼 포맷해야 하는 지긋지긋 한 경우를 피하고 싶으신 분께 조금이라도 도움이 되고자 올린 글이에요 ~ ㅎㅎ 그럼 모두 즐거운 IT 라이프 유지하세요!!!!!!!!!!!!!
뿅!!