숨긴파일 해제가 안 먹힘, USB 바이러스

제가 생각하기에는 요세 갑자기 유행하는 USB 바이러스 인거 같습니다.

이 바이러스는 어떻게 보면 제거 하기 쉽지만 또 어떻게 보면 상당히 제거하기가 힘듭니다.

일단 이 바이러스는 제가 보기엔 이렇게 아래 4가지 화일로 이루어져 있는데.

nndelect.com

nldelect..com

kxvo.exe

autorun.inf

여기서 nndelect.com 이 화일은 윈도우즈 숨긴파일 보여주기 명령어를 원천적으로 무효화 해줍니다.

(정확히 말하면 이게 아니지만 대충 이렇게 이해하시면 되는)

즉 제어판 폴더 옵션에서 아무리 숨긴파일 보기를 해도, 또는 아무리 레지스트리를 수정을 해줘도

절대로 숨긴파일이 보여지지 않게 됩니다.

그런데 위에 4가지 화일은 다 숨긴화일로 되어 있죠 그래서 제거하기가 힘듭니다. (보여야 삭제를 하니..)

이 4가지 화일을 삭제하는 방법은

윈도우즈키+R키를 누르셔서 실행화면을 여신후에

cmd 라고 칩니다.

그 후에

아래와 같이 cd\ 명령어를 치셔서 루트 디랙토리로 이동하신 후에 dir /ah (숨긴화일을 보여주는 명령어)라고 칩니다. 초록색 사각형

만약 바이러스에 걸리셨다면 루트폴더에 위에 빨간색 사각형으로 표시한 3가지 화일이 있을겁니다.

이 3가지 화일이 있다면 아래의 방법으로 삭제하세요.

attrib nndelect.com -s -h -r 

(nndelect.com 의 파일속성을 숨김해제 읽기전용해제 시스템화일 해제 시키는 명령어)

del nndelect.com /f 

(nndelect.com 화일 무조건 삭제)

attrib nldelect.com -s -h -r

del nldelect.com /f

attrib autorun.inf -s -h -r

del autorun.inf /f

이렇게 각화일의 속성을 변경시켜준후에 삭제 하시면 됩니다.

아래 초록색 사각형

여기서 주의 하실점은 대문자로 된 NTDETECT.COM 화일은 윈도우 시스템 화일이니 삭제하시지 마세요.

삭제하신후에 dir /ah 해보셔서 삭제 되었는지 확인하신후에

cd windows\system32 하셔서

dir /ah kxvo.exe 해보셔서

만약에 kxvo.exe 화일이 나오시면

똑같은 방법으로 지우시면 됩니다.

attrib kxvo.exe -s -h -r

del kxvo.exe /f

그리고

nndelect.com

nldelect.com

autorun.inf

이 세가지 화일은 C 드라이브 말고, 모든 외장형 드라이브 , usb 드라이브 , 파티션이 나뉘어진 다른 드라이브 모든 드라이브의 루트 폴더안에 숨겨진 화일로 존재하고 있으니

위에 c드라이브 삭제한 방법으로 반드시 전부다 삭제해 주셔야 됩니다.

만약 한 드라이브에 남아 있으면 다시 감염되니 반드시 확인하셔서 삭제해주셔야 합니다.

만약 kxvo 화일이나 nndelect.com 화일이

"다른 프로세스가 파일을 사용중이기 때문에 프로세스가 액세스 할 수 없습니다."

란 메세지가 나온다면

윈도우를 재부팅하시면서 F8키를 누르셔서

안전모드 (명령 프롬프트 사용)

이 모드로 들어가셔서 위에 방법을 사용하시면 삭제하실수 있습니다.

(전 처음부터 이방법을 추천해 드립니다.)

제가 추천해드리는 방법은 일단 모든 usb 드라이브를 다 컴퓨터에 연결시킨후. 윈도우즈 재부팅 하셔서

그때 F8키 연타하여

안전모드 (명령 프롬프트 사용)

이 모드로 들어가셔서

각 드라이브의 루트 폴더에 있는 nndelect.com autorun.inf nldelect.com 이 세가지 화일을

위에 설명한 attrib 명령어를 사용하여 삭제해주시는

것이 가장 좋을것 같습니다. 저도 이렇게 고쳤고요.

==========================================================================================

숨겨진 파일 해제가 안될때

------------------------------------------------------------------------------------------

autorun.inf 바이러스

<<증상>>
1) 각각의 드라이브에 숨겨진 autorun.inf  fun.xls.exe 두파일을 생성시킨다.
   혹은 autorun.inf는 그대로고, fun.xls.exe는 setup.exe나 sxs.exe 등과 같은 변종으로 존재할수도 있다.

2) 풀더옵션에서 숨겨진파일 보기를 할 수 없다.

3) 드라이브를 더블클릭하면 연결 프로그램이 뜬다.

4) 드라이브를 더블클릭하면 창이 전체화면으로 뜬다.

5) 드라이브를 선택하고 마우스 왼쪽 버튼을 누르면 제일 윗줄에 Auto가 뜬다.

6) Ctrl+Alt+Delete 키를 눌러 작업관리자를 열면
   응용프로그램탭에 실행하지도 않은  Excel 작업들이 있다.
   프로세스탭에 algsrvs란 프로세스가 있다.

7) 시작→실행에서 msconfig를 실행시켜 시스템구성유틸리티를 열고
   시작프로그램탭에 가면 시작항목에 msime82 와 msfun80 이 있다.

<<감염방법>>
이 바이러스에 감염된 저장장치(USB, CD, DVD 모든 저장장치)를 클릭하여 열면 감염됨

<<해결방법>>
1) 풀더옵션에서 '□보호된 운영 체제 파일 숨기기(권장)' 체크 해제, '□시스템 풀더 내용 표시' 체크

2) 인터텟으로 http://www.flychk.com/ 접속 FlyExplorer 다운로드 후 설치.
   'FlyExplorer' 설치를 안해도 무관

3) Ctrl+Alt+Delete 키를 눌러 작업관리자에서 모든 Excel 작업 끝내기

4) FlyExplorer실행시켜 모든 드라이브에 있는 숨겨진 autorun.inf  fun.xls  setup.exe  sxs.exe 파일
   Shift + Delete 키를 눌러 완전히 삭제
   FlyExplorer를 설치하지 못한경우 내 컴퓨텅에서 Ctrl+F 키 입력하여 검색도우미 실행
   검색도우미에서 '모든 파일 및 풀더(L)' 클릭 → 고급옵션에서 '□시스템 풀더 검색(Y)' 체크,
   '숨긴파일및 풀더 검색' 체크, '하위 풀더 검색' 체크 해제  → '찾는위치' 각각의 드라이브들 →
   전체 또는 일부 파일 이름(O)' 창에 위의 파일들을 입력하여 찾은후 오른쪽 창에서 선택한다음
   Shift + Delete 키를 눌러 완전히 삭제

5) C:\WINDOWS\system32 풀더의 algsrvs.exe  msfun80.exe msime82.exe 파일
   Shift + Delete 키를 눌러 완전히 삭제
  

6) 다시한번 모든 드라이브에 autorun.inf  fun.xls  setup.exe  sxs.exe 파일이 있는지 확인
   없으면 리부팅

7) 리부팅 후 인터넷 http://hojinzs.enterhost.co.kr/Anti%20Win-TrojanXema.45056.C.zip 접속하여
   다운로드 후 압축풀기 show hidden 파일 실행후 리부팅 하면 숨겨진 파일 보기 가능
   접속이 안돼면 새텍스트를 만들어 아래의 글을 카피한다음 저장후 도구의 풀더 옵션에서
   '□알려진 파일 형식의 파일 확장명 숨기기' 체크 해제 후 만든 텍스트의 확장명을 reg 로 수정후
   더블클릭하여 실행.
---------------------------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
---------------------------------------------------------------------------------------------

8) 시작→실행에서 regedit를 실행시켜 레지스트리 편집기를 열고
   내 컴퓨터를 클릭 한다음 Ctrl + F 를 눌러 찾기를 실행시켜 찾을 내용에 msime82 입력후 다음 찾기 클릭
   오른쪽 창에 나타나는 모든 레지스트리를 선택하여 삭제, 삭제되지않는 기본값 하나 있음.
   다시 내 컴퓨터를 선택한 상태에서 msfun80 입력후 다음찾기를 눌러 모든 레지스트리 삭제, 삭제되지 않는
   기본값 하나 있음. 리부팅 다시 레지스트릴 편집기를 실행시켜 msime82 와 msfun80 파일을 찾았을 때
   아무 것도 검색 되지 않으면 완료

9) C:\WINDOWS\Prefetch 풀더 안의 모든 파일 삭제

10) 리부팅후 치료 완료!

==============================================================================================
2번째 방법

----------------------------------------------------------------------------------------------

어차피 숨김파일만 보이면 autorun.inf파일은 삭제하고 재부팅하면 되니까요
숨김파일 보이는것만 알려드릴게요

윈도우키+R을 누르면 실행메뉴가 뜹니다.
이때 regedit을 입력하시구요
(위에 하신게 적용안되는 이유가 키값이 디워드가 아닌 문자열 값으로 되어있어
그런겁니다. 님도 웜바이러스같은거 걸리신듯 한데
이놈이 그 레지스트리까지 건드리는것 같네요)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL  오른쪽창에서

레지스트리 편집기에서
히든폴더까지 가보셧다니까 경로까지는 말 안드려도 가실겁니다.
showall이라는 키값폴더에서 보시면
CheckedValue라는게 보일겁니다.
이게 Dward가 아닌 문자열데이터 일겁니다.
키값을 삭제하신후에 그창에서 마우스 오른쪽 클릭한 후에
새로만들기-DWARD값을 선택하시고
이름을 아까 지웠던 CheckedValue로 적으시고
더블클릭 후에 1을 입력하신 후에 재부팅하시면 숨김파일이 다 나올겁니다.
거기서 autorun.inf파일을 삭제한 후 다시 재부팅하시면 해결됩니다.

만일 DWARD로 해도 안된다면
그 위치에 있는 Type키의 데이터가 Ratio가 맞는지도 확인하시고
아니라면 Ratio로 고치세요.
아마 CheckedValue가 잘못된게 맞을겁니다.