EazyZoom 이라는 악성 프로그램에 감염되었었습니다.

알약 같은 백신 프로그램으로는 감지되지 않았습니다. 하지만 증상이 지독했습니다.

이 프로그램 하나때문에 멀웨어 진단프로그램으로 PC 전체를 검사하거나 컴퓨터를 포맷하는 것은 시간낭비라고 판단되어... 개별적으로 찍어낸 사례를 포스팅해 봅니다.

아무래도 전문 치료 프로그램에 의존하지 않았기 때문에, 완벽하지 않을 수 있습니다.

 

 

1. 증  상

 

· 인터넷을 하지 않아도 팝업창으로 '애슐리 메디슨' 같은 선정적인 광고가 지속적으로 출력됩니다.

  (애슐리 메디슨이여, 남자한테만 돈 쳐받지 말고 여자한테도 똑같이 돈을 받아라! 아니면 똑같이 돈을 받지 말던가! 이 남성차별주의 기업 같으니라고!!!)

· 웹브라우저로 네이버 접속 시, 상단 일정 영역을 추가해서 광고를 띄웁니다.

· 인터넷 도중 광고 팝업창들이 떼로 뜹니다.

· 윈도우 작업관리자(단축키 : Ctrl+Shift+ESC) 에서 nhidmek , nhi3mek , nhiamek , nhiwmek 같은 정체불명의 프로그램이 상주해 있는 것을 확인할 수 있고, 하위로 확장시켜보면 eriiebbo , oojypudz 같은 이상한 영문이 나옴.

· Everything 같은... 모든 파일을 빠르게 찾아주는 프로그램으로 위 작업관리자에 나온 것들을 검색해 보면 동일한 파일들이 나옵니다. 경로는 C:\Programdata\eazyzoom\1.1.0.3 이었습니다. 동일 경로 안에 uninstaller.exe도 있었는데, 실행이 쉽지 않았습니다(이게 실행되면 일이 쉽게 풀릴 것 같은데...). 해당 폴더나 파일을 삭제하려 해도 잠금이 걸렸는지 불가능합니다.

· 윈도우 탐색기로는 죽었다 깨도 eazyzoom 폴더가 검색되지 않습니다.

· 윈도우 “제어판 - 관리 도구 - 컴퓨터 관리 - 서비스 및 응용 프로그램 - 서비스” 에 eriiebbo , oojypudz 가 등록되어 있는데, '설명' 탭을 보면 “알 수 없는XXX”라고 나와있을 겁니다. 서비스 중지도 안 됩니다. 레지스트리 에디터로 해당 서비스 항목으로 접근하여 삭제를 시도해도 삭제불능.

 

 

2. 강제 삭제 과정(싸우자!!)

 

· 안전 모드로 부팅합니다.

· 레지스트리 에디터(regedit)로 eriiebbo , oojypudz 서비스를 찾아서 삭제합니다.

 

▲ 경로는 위와 같습니다.

HKEY_LOCAL_MACHINE → SYSTEM  → CurrentControlSet → Services

 

· 안전모드에서는 윈도우 탐색기로도 C:\Programdata\eazyzoom\1.1.0.3 에 접근이 될 겁니다. eazyzoom 폴더 통째로 삭제합니다.(nhidmek , nhi3mek , nhiamek , nhiwmek 등의 파일들이 통째로 지워질 겁니다.)

 

▲ 잘 가~

 

· 레지스트리에디터로 eazyzoom 을 검색하여 해당되는 항목을 모조리 삭제합니다.

· 재부팅합니다. 끝.

반응형