Process Explorer 와 Autoruns를 이용한 내컴퓨터 내가 지키기
인터넷을 하다보면 나도 모르게 설치되는 악성 프로그램들......
지워도 지워도 끝이나지 않는 경우가 많습니다.
대부분의 컴퓨터 초보자들은 그냥 대충 사용하던지 아니면
맛난걸로 아는 분들을 꼬셔서 포멧을 부탁하던지 하실 겁니다.
그냥 사용하자니 뭔가 찝찝하고, 포멧을 하자니 귀찮고 번잡합니다.
그래서 Tool을 이용해 악성 프로그램들을 100%까지는 아니어도 90%정도는 제거할 수 있는
방법을 소개하겠습니다.
제목이 어렵다고 하는 방법까지 어려운게 아니니 벌써부터 뒤로가기 눌르시면 안됩니다. ㅠ_ㅠ
- 프로그램 소개 및 다운로드 -
Process Explorer DownLoad : http://technet.microsoft.com/ko-kr/sysinternals/bb896653
Process Explorer 소개 : http://qaos.com/article.php?sid=2632
Process Explorer 은 작업관리자 확장 버전이라고 생각하시면 됩니다.
Autourns DownLoad : http://technet.microsoft.com/ko-kr/sysinternals/bb963902.aspx
Autoruns 소개 : http://qaos.com/sections.php?op=viewarticle&artid=335
자세한 소개는 위의 링크에 되어 있습니다.
- Tool을 이용한 제거 예제 -
먼저 Process Explorer 화면 입니다. Process Explorer 은 현재 실행중인 프로세스의 목록을 나열해 놓는데
작업관리자보다 상세한 사항을 보여줍니다.
- 프로그램 실행 경로 (프로세스를 더블클릭하면 나오는 화면) -
이 프로세스 목록을 확인하여 악성코드로 의심되는 경우 위의 X버튼이나 Delete 키를 이용하여
종료시켜주고, 해당 경로의 파일을 삭제하면 됩니다.
그러나 이부분에서 많이 힘들어들 하시는게 그냥 봐서는 도무지 이게 필요한 프로세스인지 악성코드인지
구분이 안되실 겁니다. 대충 몇가지를 꼽자면
일단 Process Explorer 상의 Campany Name이 없는 경우 의심해 봐야 합니다. (무조건은 아님)
두번째는 동일한 이름인척 하는 프로세스들 (가령 svchost.exe를 가장한 scvhost.exe)들도 확인해 주셔야 합니다.
세번째는 seach 나 toolbar, point 등등이 들어간 프로세스들 (직접 설치한 게 아니라면 99% 악성코드들 입니다.)
네번째는 Process Explorer 상에서 색깔이 노란색이나 붉은색으로 보이는 경우 (의심 가는 프로세스를 뜻합니다)
이정도로 꼽을 수 있습니다.
보다 자세한 건 http://qaos.com/sections.php?op=viewarticle&artid=335&page=6#appendix1 링크를 이용하시면 됩니다.
Process Explorer로 현재 실행중 인 프로세스를 종료 시키고,
두번째로 더 중요한 Autoruns를 이용하여 재발을 방지하는 겁니다.
- Autoruns 실행화면 -
Autoruns 프로그램은 컴퓨터가 실행될 때 자동으로 실행되는 프로그램들을 보여주고, 제거할 수 있도록 한 프로그램 입니다.
프로그램이 조금 복잡한데 너무 겁먹지 않으셔도 됩니다.
여기서 우리가 사용할 탭은 4가지 뿐이 안됩니다.
Logon, Internet Explorer, Scheduled Task, Services 의 탭의 정보만 이용하면 되는데요.
각각의 탭을 짧게나마 소개하자면
Logon 탭은 사용자가 로그온 할 경우 실행되는 목록 입니다.
Internet Explorer 의 경우 다들 아시겠지만 IE가 실행될 때 실행되는 목록입니다.
Scheduled Task는 이름에서만 봐도 알 수 있듯이 작업스케쥴러 입니다.
Services 는 컴퓨터가 부팅될 때 실행되는 목록입니다.
계속 실행되는 악성코드의 경우 위의 4가지 중에 분명히 들어가 있을겁니다.
이부분을 제거해주면 다음에는 실행되지 않겠죠?
- Autoruns를 이용해 등록된 프로세스 제거 하기 -
Autoruns는 컴퓨터에 필수적으로 등록되야 할 프로그램도 지울 수 있기때문에 사전작업을 꼭 해줘야합니다.
그게 뭐냐하면 Autoruns - 옵션의 Verify Code Signatures 와 Hide Signed Microsoft Entries 부분에
체크를 해주는 겁니다. 위의 두 부분에 체크를 하게 되면 왠만한 필수 프로세스들은 화면에 보이지 않기 때문에
실수할 위험성이 줄어듭니다. 체크한후 F5를 눌러 화면을 갱신하시고
첫번째로 Logons 탭을 보면
위의 화면과 같습니다.
여기에서 의심이 가는 프로세스들의 경로를 확인하고 삭제하시고 Autoruns 의 Delete 나 X 버튼을 이용하여 제거해 주시면 됩니다.
(Process Explorer 는 종료 후 프로그램 삭제하셔야 하지만, Autoruns의 경우 프로그램 삭제 후 Autoruns에서 제거해주셔도 됩니다.)
간혹 실행중인 프로그램이라 삭제가 되지 않는 다는 경우 이름만 변경해 주시고 재부팅 후 삭제해주시면 됩니다.
- 삭제가 되지 않느 경우 이름 변경 -
두번째로 Internet Explorer 탭을 보면
위의 화면과 같습니다. 위의 화면에서 보여지듯 각종 툴바나 악성코드들이 자주 등록되어 있습니다.
해당 경로와 Autoruns 에서도 삭제해 주시기 바랍니다.
새번째로 작업스케쥴러 인데
이 부분은 등록하신 프로그램이 있지 않다면 다 지우셔도 무방합니다. (가정용이 아닌 업무용들은 확인 하셔야 합니다.)
네번째로 Services 입니다.
이부분은 Process Explorer 와 마찬가지로 Description 이나 Publisher 부분이 등록되지 않은 경우
의심해 보시고 제거 해 주시면 됩니다.
위 화면에서 보면 wcsv가 악성코드인데요 대충 저런식으로 등록되어 있습니다. 해당 부분을 제거해 주시면 됩니다.
지금까지 Process Explorer 와 Autoruns를 이용해서 악성코드를 때려잡는걸 해봤는데요. 솔직히 부족한게 많습니다.
일반 사용자들이 봤을때 이 프로그램이 악성코드 인지 일반프로그램인지 모를 경우가 훨~씬 많거든요.
해서 프로세스 정보를 모를 경우
http://www.windowexe.com/ 사이트나
http://www.kr.filename.info/
등등 악성 프로세스 검색 사이트나 구글등의 검색사이트를 최대한 이용해 주세요.
퍼가실분은 마음껏 퍼가시고, 우리모두 악성코드들을 때려잡읍시다. 요새 너무 힘드네요 ㅠ_ㅠ