QAOS.com | msgfix 에 대한 치료법.

게시판홈 / 윈도우 / msgfix 에 대한 치료법.

새글쓰기 답글쓰기

저자

msgfix 에 대한 치료법.

Anonymous (0)
비회원

게시일: 2005-03-12 12:16|

안녕하세요.

저는 win 2000 server를 개인용 PC로 사용하고 있는 사람입니다.

이렇게 사용하고 있는 이유는 asp를 기반으로 하여 웹마스터를 공부하고 있끼 때문입니다.

이렇게 질문을 올리는 이유는 다름이 아니라 얼마전부터 컴퓨터가 느려지기 시작해서 부랴부랴 확인을 해봤더니

C:\winnt\system32\에 msgfix.exe, payload.dat 등등의 파일들이 돌아다니기 시자했습니다.

바이러스 경고가 뜨는대로 치료는 하고 있습니다만, 근본적인 원인을 해결하지 못하는 것 같습니다.

제가 아는게 없어 정확한 설명을 드리지 못함을 용서해 주시고 부디 해결방안을 알려주시면 감사드리겠습니다.

1. O/S : Win 2000 Server (SP4)

2. 사용중인 백신 프로그램 : Virobot Expert 4.0 (정품입니다. 제가 갖고 있는게 이거 밖에 없어서 다른 쉐어버전의 백신은 사용하기가 좀 그렇더라구요)

3. 증상들

(1) Root 디렉토리나 System32에 아래와 같은 파일들이 생성됩니다.

skssve.exe, msgfix.exe, payload.dat 등등

(2) 레지스트리에 Run, RunOnce 등에 위의 파일들을 실행하도록 나옵니다.

-------------------------
이것이 만약 백도어라면 어떻게 막을수 있나요? 어떻게 치료할 수 있는 것일까요?

이런걸 예방하기 위해서는 어떻게 하는 것이 가장 좋을까요?

Anonymous (0)
비회원

게시일: 2005-03-12 13:19|

일단 질문하기 전에 질문시 유의 사항을 읽고 질문하시기 바랍니다. 아울러 게시판을 검색해보면 알 수 있지만 님과 비슷한 질문을 올리는 사람들이 꽤 됩니다. 아울러 그런 게시물 마나 HijackLog를 요청하는 글도 함께 볼 수 있을 겁니다.

님처럼 백도어나 악성 스크립트가 설치된 경우 반드시 필요한 최소 정보가 HiJack Log입니다. Hijack Log를 작성할 줄 모르다는 글도 올라와 작성하는 방법까지 이미 팁으로 올려둔 상태입니다.

따라서 질문하기 전에 먼저 검색을 해보시고, 필요한 정보를 제공해야 답변이 가능합니다.

일단 님의 HijackLog가 없기때문에 모든 실행키를 백업하고, 삭제하는 것으로 진행하겠습니다. 이 방법으로 정상적으로 삭제된다면 실행 키를 복구하고, msgfix.exe에 관련된 실행키(Configuration Loader)만 삭제하면됩니다.

1. 시스템을 종료하고 F8를 눌러 OS 메뉴 호출
2. 안전 모드(명령 프롬프트 사용)로 로그인
3. 명령행에서 다음 명령 실행
dir /s C:\msgfix.exe
4. 발견된 모든 msgfix.exe 삭제
5. 명령행에서 다음 명령 실행
dir /s C:\skssve.exe
6. 발견된 모든 skssve.exe 삭제
7. 그외 dir 명령으로 msgfix.exe 관련 파일을 찾아서 삭제
8. 명령행에서 다음 명령 실행

reg save HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run LRun.hiv
reg save HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce LRunOnce.hiv
reg save HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx LRunOnceEx.hiv
reg save HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices LRunServices.hiv
reg save HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce LRunServicesOnce.hiv
reg save HKCU\Software\Microsoft\Windows\CurrentVersion\Run CRun.hiv
reg save HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce CRunOnce.hiv
reg save HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx CRunOnceEx.hiv
reg save HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices CRunServices.hiv
reg save HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce CRunServicesOnce.hiv

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

값을 삭제하지 않고 키를 삭제한 이유는 님의 Hijack Log가 없기때문입니다.

P.S. 1. 팁을 진행하기전에 HiJack Log를 먼저 작성한 후 HiJack 로그를 제 메일로 보내주기 바랍니다.
P.S. 2. msgfix.exe와 skssve.exe가 발견된 폴더를 알려주기 바랍니다.

Anonymous (0)
비회원

게시일: 2005-03-15 11:08|

payload.dat 는 agobot이나 sdbot 과 같은 bot류의 backdoor에 감염되었을때 생성되는 trojan의 사본입니다.

백도어가 이미 들어와서 돌아다니기 시작했다면 구석에 숨어있는 것들이 말씀 하신거 외에도 더 있을 확률이 높습니다.

제일 먼저
1. 보안 패치가 잘 되었는지 확인하시고
2. 관리자 계정에 본인이 기억 할 수 있는 어려운 암호를 걸어줍니다.
3. 인터넷 임시파일, %TEMP%폴더 등에 남아있는 불필요한 파일들을 모두 제거하고
4. 백신을 이용하여 하드디스크 전체 파일을 검사하세요.

참고로 bot류에 대한 진단율은 외산백신이 높은 편 입니다.
바이로봇도 이번달부터 비트디펜더 엔진을 적용해서 상당한 성능 향상이 있다고 하네요. 최신 버젼으로 업데이트 해서 사용해 보시기 바랍니다.

다음글: 하드디스크 상태가 매우 좋지 않습니다. (1)	4208	numberup	2005-09-09

이전글: 코덱 질문 (0)	4263	dyoverdx	2005-01-05

새글쓰기 답글쓰기

세상사는 이야기