PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	Trojan-W32/LineageHack	바이러스 종류	Trojan
실행 환경	Windows	제작지	중국
발견일	20050519	바이러스크기	49,577 byte 외 다양함
메일 제목
첨부파일
바이러스 증상
스스로 전파되는 능력은 없으나 Browser Helper Object 와 윈도우 취약점을 이용 하여 익스플로러에 포함되거나, 웹페이지의 스크립트(iframe 태그이용)에 포함되는 등의 여러가지 전파방법을 사용한다. 특정 온라인 게임의 아이디와 비밀번호 입력시 키보드값을 가로채어 텍스트 파일에 기록, 특정 메일주소로 전송해 일부 개인정보 유출 위험을 내포하고 있다. 또한 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32, windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe, Cndll.dll, logo.dll, hzdll.dll, c:\windows 폴더에서 rundll32.exe(49,577 byte),또는 c:\windows 폴더에서 rundll32.exe(49,625 byte), c:\windows\system32 폴더에서 Internat.exe(49,577byte) 등 파일도 다양하게 생성한다. 그리고 다음 처럼 레지스트리를 추가하여 부팅시 자동 실행되게 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 [windows 9x] Runtt1 = C:\windows\system\Internat.exe [windows xp] Runtt1 = C:\windows\system32\Internat.exe [windows 2000] Runtt1 = C:\winnt\system32\Internat.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\ 항목에 {1E6918EA-351F-4501-A346-2942144DE626} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0AB57312-FF76-405E-9013-C6244D31AE2D}\1.0\0\win32 항목에 (기본값) = C:\windows\system32\Syshlp.dll explorer.exe 또는 iexplorer.exe 에 포함되어 실행되기 때문에 터보백신으로 치료시 해당 프로그램의 종료후 치료가 필요하다. 그리고 다음의 링크에서 보안패치를 받아 윈도우운영체제의 업데이트를 실행해야 한다. [MS04-013 취약점] http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp [MS05-001 취약점] http://www.microsoft.com/korea/technet/security/bulletin/MS05-001.mspx
치료 방법	터보백신 제품군으로 진단/치료 가능합니다.
직접치료방법	안전모드로 부팅 하십시요. 안전모드는 컴퓨터 전원을 넣은후 메모리 체크가 끝나면 키보드 버튼중 f8을 몇번 눌러 봅니다. 부팅 메뉴가 나오는데 여기서 safe mode(안전모드)를 선택 하여 부팅 합니다. 우선 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32, windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe, Cndll.dll, logo.dll, hzdll.dll 파일을 삭제 하십시요. hzdll.dll 파일은 winwy.exe 파일이 삭제되지 않으면 삭제할수 없습니다. 그리고 c:\windows 폴더에서 rundll32.exe(49,577 byte), 또는 c:\windows 폴더에서 rundll32.exe(49,625 byte), c:\windows\system32 폴더에서 Internat.exe(49,577byte) 파일을 삭제 하십시요. 또는 c:\windows\system32 폴더에서 Internat.exe(49,625byte) 파일을 삭제 하십시요. 비슷한 이름의 정상 파일이 있으므로 크기를 꼭 확인 하십시요. 삭제가 안되는 exe 파일이 있으면 ctrl-alt-del 키를 한꺼번에 누르면 작업관리자가 실행됩니다. 프로세스 탭을 선택 하시고 삭제가 안되는 exe 파일이 실행중인지 확인하십시요. 확인이 되면 선택후 [프로세스 종료] 버튼을 클릭 하십시요. 다음으로 [시작]->실행에서 "msconfig"를 치신후 엔터 시스템 구성유틸리티가 나오면 "시작 프로그램" 탭을 클릭 하여 (windows xp) loadMewy = c:\Windows\System32\winwy.exe Runtt1 = "C:\windows\System32\Internat.exe" "Menet" = "C:\WINDOWS\System32\netble.exe" (windows 98, me 인 경우) loadMewy = c:\Windows\System\winwy.exe Runtt1 = "C:\windows\System\Internat.exe" "Menet" = "C:\WINDOWS\System\netble.exe" 부분이 실행 되는 항목을 찾아 체크를 해제 하신후에 [확인] 버튼을 클릭 하신후 윈도우를 재부팅 하십시요.