srosa, hidr.exe ...Trojan Bagle Worm, Win32/Virut. 5127, Win32/Viking 등
요즘 바이러스나 악성코드의 주요 특징 중 하나는
레지스트리를 임의로 조작하여
안전모드로의 부팅을 하지 못하도록 한다던가,
(네이버 지식에 봐도 어떤 해결책도 안나오더군요;;; 혼자 맘고생했다는;;)
시스템의 중요한 프로그램들을 파괴하는 등 예전과는 다른 양상을 보이고 있습니다.
특히 새로운 백신을 설치해 정밀검사를 할려고 백신을 설치하다보면
설치 오류가 나버립니다.
경험하신 분들이 많겠지만, 저의 경우에 있어서도 백신프로그램이 삭제되고 언인스톨러 프로그램의
중요한 파일이 삭제되어 실행이 안되는 등 그 심각성이 점차 늘어났었습니다.
심지어는 안전모드로 부팅 중 블루 스크린이 뜨면서 '0x0000007b'라는 메세지가 나타나
어찌할 수 있는 방법이 없었습니다.
또한 랜카드 드라이버를 잘못 삭제해서
하드웨어추가로 잡아줄려고 하는데
이마저 바이러스가 방해를 하더군요.
윈도우업데이트..보안패치 물론 안됩니다.
인터넷 검색 해 보니, srosa, hidr.exe ...Trojan Bagle Worm 이란 유형의 경우
이러한 증상이 나타난 것으로 나오더군요.
그럼 제가 해결했던 방법들을 말씀드리겠습니다.
srosa, hidr.exe ...Trojan Bagle Worm 이놈들의 특성은 감염이 된 운영체제 안에서는
탐색기 폴더옵션 보기항목에서 아무리 숨김 폴더와 파일 및 시스템 폴더들을 보이게 하더라도
보이지 않는다는 겁니다.
(완전히 감추다니;; 이런 코드 어떻게 만드는지... 바이러스도 데이터라면 어디엔가 이상한 파일명으로
존재해야 되는게 아닌지...)
따라서 필히 WinPE가 있어야 합니다.(WinPE에 대해서는 별도로 설명하지 않겠습니다.)
최근엔 USB용도 있으니, 검색을 해보시기 바랍니다.
1. WinPE로 부팅을 하신 후
C:\windows\system32\driver에 srosa.sys 와 mdelk.exe hldrrr.exe(?) 또는 hidr.exe 파일을 삭제하시고,
또한 windows 폴더 또는 system32 폴더 내에 exefld 라는 폴더를 만들고 숫자.exe의 파일이 생성 되기도 하는데 이 역시 삭제하십시오.
때론 다른 폴더에 숨어 있을 수 도 있으니 파일 검색을 통해 확인하시고 삭제하셔야 될 경우도 있습니다.
중요한 것은 확실하게 삭제하셔야 한다는 겁니다.
2. 자체 PC로 재부팅 하신 후(WinPE 말구요..)
시작 -> 실행 -> regedit 하시고, Ctrl + F 하셔서 sorsa를 검색하여 모두 삭제하십시오.
물론 기본적인 레지스트리 주소는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 입니다.
3. 이제 기본적인 것은 모두 해결했습니다. 그러나 아직 안전모드로 부팅이 안될 수 있습니다.
안전모드로 부팅 했을 때 블루스크린이 뜨면서 0x0000007b라는 메세지가 보인다면,
분명 바이러스 또는 악성코드에 의하여 레지스트리의 SafeBoot항목이 모두 삭제 되었기 때문입니다.
따라서 이전에 레지스트리 파일을 백업 받아 놓았다면 백업 레지스트리 파일의 실행으로
문제는 간단하게 해결할 수 있지만,
그렇지 않을 경우는 XP를 다시 설치해야 하는 상황이 될 수도 있습니다.
만일 동일한 사양의 컴퓨터가 있다면 그 컴퓨터의 레지스트리 에디터로 들어가
SafeBoot 항목을 내보내기 하여 임의의 이름으로 저장(ex: SafeBoot.reg 등) 한 후
원래의 컴퓨터에 복사 실행하여 간단하게 해결할 수 있습니다.
그러나 이도 저도 없는 경우라면
XP를 다시 설치해야 합니다.
물론 동일한 기존의 Windows폴더에 설치하는 것이 아니라
다른 폴더를 지정하여 별도의 XP를 설치 하는 겁니다.
단지 안전모드의 SafeBoot 항목을 복사하기 위한 방법입니다.
좀 무식한 방법이긴 합니다만,
위의 상황에선 어쩔 수 없습니다. 그래서 미리 미리 레지스트리 백업파일을 만들어 놓는
준비성이 필요한 거란 생각이 듭니다.
적어도 SafeBoot 항목만이라도(이유는 악성코드 또는 바이러스
를 만드는 사람들이 노리는 것이 안전모드에서 바이러스 및 악성코드를 치유할 수 있는 가능성이
크기 때문이라는 것입니다. 때문에 SafeBoot항목만이라도 먼저 보관해두는 것이 유리하죠.
이 어둠의 사람들? 이제 안전모드에서 자신의 바이러스 코드를 제거못하게 안전모드 접근 못하게
컴퓨터 뵹신 만들어놓습니다. 아까도 거론했지만 멀쩡한 백신까지 제거해버립니다.
모든 응용프로그램 설치시 오류나게 합니다. 장치드라이버까지;;; 백신 재설치는 말할것도 없고;;)
주의사항 : 추후 다시 편집하면 되긴 하지만, 편의를 위해서 부팅드라이브에 있는
boot.ini파일을 복사해 놓으시던지 다른 이름으로 바꿔 놓으십시오.(이유는 아래 있습니다.)
또한 Documents and Settings 폴더 아래 있는 폴더의 이름을 기억하시거나 갈무리 하셔서
나중에 삭제하실 때 확인하시기 바랍니다.
4. XP를 다시 설치 하셨다면 부팅 화면에 두개의 XP가 보일 겁니다.
새로 설치한 XP를 선택하시고 부팅하시고
6. 부팅이 된 후 다시 시작 -> 실행 -> regedit 하신 다음HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
항목을 내보내기 하셔서 임의의 이름으로 저장하십시오. (예: SafeBoot.reg 등)
물론 하위 항목들이 어떻게 생겼는지 잘 기억해 두시기 바랍니다.
(갈무리 하는 방법도 좋은 방법입니다. 물론 컴퓨터가 실수할 일은 없을 겁니다만,
혹시 모르니... 한번더 확인하고 가자는 겁니다.)
그리고 재부팅 하시기 바랍니다.
7. 원래의 XP로 부팅하고 조금 전에 만든 SafeBoot.reg라는 파일을 실행하시고
위의 주의사항에서 말씀드렸던 boot.ini파일로 복원 또는
복사해서 원래대로 복구하십시오.
만일 기존의 파일이 준비가 되어 있지 않을 경우는 boot.ini파일을 편집을 하여
복수 부팅이 되지 않도독 해야하는데,
그 내용은 아래 링크로 가시면 확인하실 수 있습니다.
8. boot.ini 를 기존의 파일로 복구 하셨다면 이제
새로 설치했던 XP의 폴더 및 Documents and Settings 폴더 아래 설치된
폴더 잘 확인하시고 완전히 삭제(Shift + Del) 하십시오.
(주의: 삭제하시기 전에 시작 -> 실행 -> regedit 하셔서
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot의
하위 항목들이 앞서 새로 설치되었던 XP의 그것과 동일하고 제대로 있는지 확인하십시오.
정상이 아니라면 다시 위 4번 부터 다시 실행하셔야 합니다.)
9. 이제 마무리 입니다. 여기까지 하셨다면 거의 모든 문제는 혀결된 것입니다.
그러나 아직 찌꺼기가 남아 있을 수 있습니다.
갑자기 _desktop.ini 파일들이 폴더마다 생겨나기 시작하기도 하기 때문입니다.
(그 파일은 바이러스가 감염되어 있지만, 치명적인 녀석은 아닌 듯 합니다.
파일의 정보를 보기 위해 노트패드 등으로 열어 보면 단순히
감염된 날짜로 보이는 일자 "2008-2-13" 처럼 입력이 되어 있을 뿐입니다.
그러나 GameSetup.exe 등의 이름으로 바이러스 파일을 생성하는데
중요한 역할을 하는 것으로 보입니다.)
이 경우 검색을 하셔서 시작 -> 검색 -> 파일 또는 폴더 하셔서
검색 대상을 모든 드라이브로 설정하시고
_desktop.ini파일을 모조리 찾아 완전히 삭제하시면 됩니다.
그렇게 하신 후 V3neo를 사용하시길 추천합니다.
V3플러스 네오라는 것은 도스를 이용하여 사용하는 방법입니다
V3neo를 받아 C: 드라이브에 V3란 폴더를 만들고 압축을 해제 합니다.(물론 컴퓨터를 잘 아신다면
임의의 폴더와 드라이브를 지정하셔서 사용하실 수도 있겠습니다.)
c:\>cd v3 를 입력합니다. 이건 v3 실행파일이 있는 c:\v3 디렉토리로 이동하는 명령입니다.
이제 v3 실행파일이 있는 c:\v3>로 이동되었으니 비로소 바이러스 검색명령을 입력합니다
c:\v3>v3 c: /s/a/u 라고 입력을 해준다 그럼 자동으로 치료를 할 것입니다.
드라이브가 여러개 있는 경우 "c:\v3 c: /s/a/u"란 명령에서 두번째 c:의 드라이브 명을
d:, e:, F: 등 해당되는 드라이브 명으로 바꿔가면서 바이러스를 검색하면 됩니다.
단 주의 사항으로 이곳에서 간혹 치료하다가 삭제가 안되기 때문에
삭제를 하란 메세지가 뜰 겁니다. 그럼 'y'를 누르시면 됩니다.
그러나 앞서 말씀드린 것 처럼 먼저 검색을 해서 완전히 삭제를 한 경우라면 거의
치료가 된 것이나 다름 없을 것이기 때문에 이런 번거로움이 발생하지 않을 겁니다.
여기까지 입니다.
마지막으로 최신의 바이러스 백신으로 시스템 상주를 시켜 모니터링도
작동한 상태에서 드라이브 전체를 한번 주~욱 검색하셔서 혹시 남아 있을지 모를
바이러스 및 악성코드를 확인해 보시기 바랍니다.
그리고 p2p를 사용하실시 다운받은 화일들은 반드시 바이러스 검사를 하세요~
[KPOP][MV]렉시 4집 Ma People 
