[운영체제] 지긋지긋한 autorun 바이러스 잡아보자

평상시 사용이 빈번한 usb memory로 퍼지는 virus가 있습니다.

삭제해도 도로 생기는 아주 끈질긴 넘입니다.

PC 작동에 크게 영향을 미치지 않기 때문에 잘 모르는 경우가 있으나

증상

1. 시스템의 지연현상이나 USB장치의 쓰기 지연 실패등이 발생

2. 보호된 운영 체제 파일 숨기기 해제 기능 / 숨김 파일 및 폴더 표시 기능이 안됨

확인방법

1. REGEDIT 경로상에

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"kava"="C:\\\\WINDOWS\\\\system32\\\\kavo.exe"
"tava"="C:\\\\WINDOWS\\\\system32\\\\tavo.exe"

2. CMD > C:\\ ROOT 이동후 dir /ah 명령 실행
autorun.inf / 096.bat 화일이 생성되어있음

3. CMD > WINDOWS > SYSTEM32 폴더 이동후 dir /ah 명령 실행
kavo.exe / kavo0.dll / tavo.exe / tavo0.dll / tavo1.dll
등의 화일이 생성되어있음

제거방법

일반 백신 및 os상에서 제거 불가(서비스 및 시스템에 등록되어서 지워도 재생성됨)
부팅시 F8키고 고급옵션 메뉴 활성화
안전모드(도스프롬프트) 메뉴를 선택함

c:\\ root 이동

cd\\

attrib autorun.inf -h -r -s
del autorun.inf

attrib 096.bat -h -r -s
del 096.bat

c:\\windows\\system32 이동

cd windows

cd system32
attrib kavo.exe -h -r -s
del kavo.exe
attrib kavo0.dll -h -r -s
del kavo0.dll
attrib tavo.exe -h -r -s
del tavo.exe
attrib tavo0.dll -h -r -s
del tavo0.dll
attrib tavo1.dll -h -r -s
del tavo1.dll

ctrl+shift+esc 키를 눌러서 작업관리자 실행
파일 > 새작업 > regedit 실행 후 하기 항목 레지스트리 삭제
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"kava"="C:\\\\WINDOWS\\\\system32\\\\kavo.exe"
"tava"="C:\\\\WINDOWS\\\\system32\\\\tavo.exe"

재부팅후 보호된 운영 체제 파일 숨기기 해제 / 숨김 파일 및 폴더 표시 를 한다음에

사용하는 모든 외장장치를 확인후 autorun.inf 및 096.bat를 삭제하십시오

단, 각 장치를 내컴퓨터에서 더블클릭으로 열면 autorun.inf가 실행되면서 도루묵 입니다.

가급적 마우스 오른쪽을 이용해서 탐색 기능으로 열어서 삭제하십시오

추가적으로 lcmqm.exe / dynrn6e.cmd 등 희한한 화일이 random하게 생기기도 합니다