PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	Trojan-W32/Onban.28672	바이러스 종류	Trojan
실행 환경	Windows	제작지	대한민국
발견일	20040319	바이러스크기	28672 (변형별로 사이즈가 다르다)
메일 제목
첨부파일
바이러스 증상
광고용 목적으로 작성된 애드웨어 프로그램으로 자체 버그로 인해 win9x(95/98/me) 운영체제에서 부팅이 안되는 증상이 발생 하고 있다. 가장 큰 증상으로 감염 후, 윈도우즈가 부팅되지 않으며, 실행 파일이 실행 될때 열려져 있는 explorer 의 창이 차례로 닫히는 증상이 있다. 또한, 잘못된 레지스트리의 값으로 다음의 오동작이 발생한다. 1. IE(인터넷 익스플로러) 초기 화면이 나온다(혹은 about:blank). 2. IE(인터넷 익스플로러) 가 실행안될 수도 있다. 3. 일부 확장자의 파일들이 오픈되지 않는다. 3. 일부 win9x의 경우 윈도우 부팅이 되지 않을 수 있다. 4. 바탕화면의 폰트 크기가 작아진다. 5. 웹페이지의 Link 및 팝업 창이 실행 되지 않는다. 해당 에드웨어가 전파되는 과정은 현재 확인되고 있지 않으나 웹을 통한 설치는 일반적으로 Active-X 컨트롤을 이용한 방법을 통해 설치된다. 위의 컨트롤은 터보백신 Online에 사용되며 인증을 받은 제품과 회사명 인증 업체가 나열되어 있다. 비인증 컨트롤은 업체명만 나와 있거나 컨트롤을 인증 한 업체명이 없는 경우가 대부분이며 광고용 모듈과 각종 스팸메일에서 띄우는 컨트롤은 이렇게 인증을 받지 않은 경우가 많으므로 취소 버튼을 눌러 프로그램 설치를 거부 해야 한다. 파일 크기는 종류마다 다르며 현재 신고된 샘플을 기준으로 보면 c:\windows 와 c:\winnt 폴더에 다음과 같은 파일을 생성한다. onban001.exe : 언인스톨 파일(28,672 byte) onban001.dll : 애드웨어 DLL 모듈 추정(73,728 byte) ob2.dat : 암호화된 광고 데이터코드 ob2.dll : 애드웨어 DLL 모듈(인터넷 익스플로어 실행시 자동으로 로드된다. ) ob4.dat : 암호화된 광고 데이터코드 ob4.dll : 애드웨어 DLL 모듈(인터넷 익스플로어 실행시 자동으로 로드된다.)
치료 방법	터보백신 ai, 터보백신 2001, 터보백신 Online 으로 치료 가능 합니다.
직접치료방법	* 수동 복구 방법 [시작]->[실행] 에서 regedit 치신 후 엔터. 레지스트리 편집기가 실행 되면 [편집]->[찾기] 에서 다음과 같은 키값을 찾아 삭제 한다. 3692ED0E-C7D0-4CB0-8F1A-D41D2AD15BBE CA35A44E-3799-49ED-98CF-C3944FE74370 0F9E1CB9-1B32-436B-B44C-BC7B7369CB9B 72FE0C43-2189-4325-953B-5EAC20D3C88B 5A7CBCDC-9228-4104-A57D-738CE50FBA4F 7806FEB9-83EC-40E8-8832-B310025E2FC2 * 부팅이 안될때 레지스트리 복구 방법 전원을 킨후 메모리 체크가 끝나고 f8을 몇번 눌러 보면 다음과 같은 부팅 메뉴를 확인 할 수 있다. 5번 Command prompt only를 선택 하여 부팅 한 후에 다음과 같이 명령어를 친후 엔터 레지스트리 체크 프로그램에서 3월 19일 이전의 날짜를 선택 하여 복구 한다. 만약 3월 19일 이전의 레지스트리 저장값이 없다면 문제가 되기 시작한 바로 전날의 날짜를 선택 한다. 복구가 끝난후 재부팅 하여 문제가 해결되었는지 확인 한다.