QAOS.com | [질문]삭제되지 않는 레지스트리, 그리고...

게시판홈 / 윈도우 / [질문]삭제되지 않는 레지스트리, 그리고...

새글쓰기 답글쓰기

저자

[질문]삭제되지 않는 레지스트리, 그리고...

Anonymous (0)
비회원

게시일: 2005-10-13 12:54|

...는 대체 이유가 뭘까요?

뭐 대단한 거 지우려는 것도 아니고, 윈도우 부팅할때 자동실행되는 프로그램 몇개 있는 항목 지우려고 하는 것 뿐인데요. (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
물론 다 그런건 아닙니다만, 몇개 항목이 속을 썩이는군요. 저의 경우엔 ZoneAlarm이 그렇구요.
regedit 열고 직접 지우려면 지울 수 없다고 에러가 뜨고, www.sysinternals.com에서 다운받은 startup.exe나 autoruns.exe 사용해서 지우면 지워지긴 하는데 지멋대로 다시 생겨 있고 그러거든요.
프로그램이 자기를 보호하는 어떤 로직이 있는 것 같은데... 어떤 분은 말하길, 프로그램을 제거한 후에야 지울수 있다고 하는데... 저는 제거까지 하고 싶진 않거든요. 단지 부팅시에 자동으로 시작되지 않게끔만 하고 싶을 뿐입니다.

혹시 이유를 아시거나, 지우는 방법을 아시는 분은 도움 부탁드립니다.

그리고 두번째...궁금증...

레지스트리 안에서, 부팅시 실행되는 프로그램들이 기록되는 위치는

HKLM\System\CurrentControlSet\Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

...대표적으로 이렇게 5곳인걸로 알고 있거든요. (다른 위치 특별히 없죠?)
그런데, 부팅이 완료된 후 작업관리자 들어가서 프로세스 떠있는 것들 보면, 위의 5곳에 등록돼 있는 프로세스 말고도 몇개가 더 떠 있지요.
얘네들은 대체 레지스트리 어디에 기록돼 있는 건가요?
아니면 레지스트리 말고 다른 곳 어디인지...

답변 부탁.. 드립니다.

Anonymous (0)
비회원

게시일: 2005-10-14 11:33|

인용!

글쓴이: ad2019la 날자:2005-10-13 12:54
뭐 대단한 거 지우려는 것도 아니고, 윈도우 부팅할때 자동실행되는 프로그램 몇개 있는 항목 지우려고 하는 것 뿐인데요. (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
물론 다 그런건 아닙니다만, 몇개 항목이 속을 썩이는군요. 저의 경우엔 ZoneAlarm이 그렇구요.
regedit 열고 직접 지우려면 지울 수 없다고 에러가 뜨고, www.sysinternals.com에서 다운받은 startup.exe나 autoruns.exe 사용해서 지우면 지워지긴 하는데 지멋대로 다시 생겨 있고 그러거든요.
프로그램이 자기를 보호하는 어떤 로직이 있는 것 같은데... 어떤 분은 말하길, 프로그램을 제거한 후에야 지울수 있다고 하는데... 저는 제거까지 하고 싶진 않거든요. 단지 부팅시에 자동으로 시작되지 않게끔만 하고 싶을 뿐입니다.

혹시 이유를 아시거나, 지우는 방법을 아시는 분은 도움 부탁드립니다.

ZoneAlarm을 사용하지 않기때문에 확답은 힘듭니다만 일부 프로그램 중 Run 레지스트리를 감시하는 프로그램이 있습니다. 이런 프로그램이 실행되고 있는 동안은 지워지지도 않고 지워도 바로 생성됩니다. 따라서 지우고 싶다면 Run 레지스트리를 감시하는 프로그램을 제거해야 됩니다.

인용!

그리고 두번째...궁금증...

레지스트리 안에서, 부팅시 실행되는 프로그램들이 기록되는 위치는

HKLM\System\CurrentControlSet\Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

...대표적으로 이렇게 5곳인걸로 알고 있거든요. (다른 위치 특별히 없죠?)

불필요한 프로그램의 실행 막기를 참조하기 바랍니다.

Anonymous (0)
비회원

게시일: 2005-10-14 12:34|

답변 감사드립니다.
질문을 올린 후 답변을 기다리면서 이것저것 시도를 해보던 중, 흥미로운(?) 사실 하나 발견했는데요.
ZoneAlarm.. 이거 웃기더군요.
레지스트리 주욱 따라가보니 start란 키값이 2로 돼 있길래 이걸 0으로 하면 혹시 되지 않을까 싶어 해봐도 안되고,

부팅시 자동실행을 해제하기 위해서 서비스 목록에서 'Auto'로 돼 있는 걸 바꾸려고 해도 접근이 거부되는군요.

처음엔 짜증이 났다가, 이젠 호기심이 발동하네요.
말씀하신 대로 어떤 다른 프로세스가 감시하기 때문에 그러는 거라면, 그 프로세스가 어떤 건지를 어떻게 추적할 수 있을까요?

참고로 process explorer로 찍은 스냅샷을 올립니다.
맨 아래 부분에 있는 vsmon.exe와 zlclient.exe가 존알람을 실행하면 뜨는 프로세스입니다.

아마 제 추측으로는 여러개의 svchost.exe 중 하나가 아닐까...하는데, 확증을 못하겠네요.
스니퍼나 이더피크가 네트웍 인터페이스에서 떡 하니 지키고 있으면서 시스템 내-외부의 TCP/IP 통신을 모니터링할수 있는 것처럼, 시스템 내부의 각 애플리케이션들 간의 통신(또는 대화)을 모니터링할수 있는 툴이 있다면 확실히 추적할수 있을것 같은데...

아예 확 언인스톨 시켜버릴까 하다가, 이것도 공부하는 기회다 싶어서 또 질문을 올립니다.

[ 메시지수정: ad2019la 일시: 2005-10-14 20:00 ]

Anonymous (0)
비회원

게시일: 2005-10-14 22:26|

저도 존알람을 쓰지는 않습니다. (-_-) 한번 이렇게 해보세요.

1. cmd창에서 tasklist /svc 로 각 프로세스가 띄우는 서비스 확인
2. taskkill /f /pid NNNN 으로 해당 프로세스를 강제종료
3. 그런 후에 레지스트리나 서비스 삭제나 중지 테스트

Anonymous (0)
비회원

게시일: 2005-10-15 02:17|

인용!

글쓴이: ad2019la 날자:2005-10-14 12:34
레지스트리 주욱 따라가보니 start란 키값이 2로 돼 있길래 이걸 0으로 하면 혹시 되지 않을까 싶어 해봐도 안되고,

예. 바이러스 때문인지 시작 유형을 변경할 수 없도록 해두었더군요.

인용!

부팅시 자동실행을 해제하기 위해서 서비스 목록에서 'Auto'로 돼 있는 걸 바꾸려고 해도 접근이 거부되는군요.

이 부분도 마찬가지 입니다.

인용!

참고로 process explorer로 찍은 스냅샷을 올립니다.
맨 아래 부분에 있는 vsmon.exe와 zlclient.exe가 존알람을 실행하면 뜨는 프로세스입니다.

그림이 작아서 어떤 프로세스가 run 레지스트리를 잡고 있는지 알 수 없습니다. 이 경우는 그림보다는 Hijack Log를 작성하는 것이 낫습니다.

한가지 테스트해본 결과 ZoneAlarm은 run 레지스트리 잡고있는 프로세스가 아닙니다. 즉, 님의 시스템에는 Run 레지스트리를 잡고 있는 프로세스(스파이웨어)가 있습니다. 그러나 그림이 작아서 현재로서는 확인할 수 없습니다. HiJack Log를 작성해서 올려 주시기 바랍니다.

Anonymous (0)
비회원

게시일: 2005-10-15 04:05|

두분 답변 감사드립니다.

timebombapple 님 :
현재 ZoneAlarm이 종료 자체가 불가능한 상황은 아닙니다. 정상종료도 되고, 강제종료도 다 되거든요. 다만 부팅시 자동실행을 막기 위해 레지스트리나 서비스 목록에서 설정값을 바꾸려고 접근할 때 거부되는 상황입니다. ^^;

artech 님 :
말씀하신대로 Hijack log 올려 봅니다. 이번에 첨 써보는 거라 어떻게 보는지 잘 모르겠군요;;
한줄한줄이 좀 길어서 게시판에 다 안올라가네요. 보기에 불편하시지 않을지...

감사합니다.

Logfile of HijackThis v1.99.1
Scan saved at 3:52:46 AM, on 10/15/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Ahnlab\Smart Update Utility\AhnSD.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Ahnlab\V3\MonSysNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\totalcmd\TOTALCMD.EXE
D:\AIDA32v3942\aida32.bin
D:\System Management\ProcessExplorerNt\procexp.exe
C:\Documents and Settings\Administrator\My Documents\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: V3 - {9E3849D6-41EF-4B2F-86B7-632EF90758E4} - "C:\Program Files\Ahnlab\V3\V3Bar.dll" (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to QQ Customized Panel - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: Add to QQ Emoticons - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Google 검색(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel로 내보내기(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send picture by MMS - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: Send the Picture by QQ MMS - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 비슷한 페이지 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: 이전 링크들 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 캐시된 페이지 스냅샷 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: 한국어로 번역(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Chinese Navigation - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra 'Tools' menuitem: Chinese Navigation - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra button: ¸®¼A¡ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: Tencent QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQiA²E¹¤¾ßIoEeOA - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: 18D63578-EA2F-4A59-A49A-7F62E6B3DF3E -
O16 - DPF: DCD7F1D9-8E57-45F8-8C0C-4400CD84C8BF -
O16 - DPF: Yahoo! Chat 1.3 - http://jcs.chat.dcn.yahoo.com/c174/chat.cab
O16 - DPF: {03F49E0E-C43A-4037-BBD6-D681E998A08E} (CodeAx Class) - http://www.nhic.or.kr/EP/web/common/cabfiles/CM_CodeAx.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://cartoon.stoo.com/v3d/vmp/MetaStream3.cab
O16 - DPF: {08AC405D-A4A0-448B-8AAF-9D2903CC4A51} (EmpasSM Control) - http://im.emimg.com/note/bin/empassm.cab
O16 - DPF: {091CDD73-1401-4643-9B9C-65B091C88685} (MyLinker Control) - http://ohmynews.contents.mylinker.co.kr/module/MyLinker.cab
O16 - DPF: {0C4A9D28-66B5-4A70-B915-B6AEA5112472} (Icon02 Control) - http://www.ssaeworld.com/site/icon02.cab
O16 - DPF: {18D63578-EA2F-4A59-A49A-7F62E6B3DF3E} (ImP3 Control) - http://activexdown.paran.com/paranactivex/data/ImP3.cab
O16 - DPF: {1B91C0FD-5850-47EA-8D56-72E65B5B95F5} (adcoppak Control) - http://www.donga.com/docs/adcop/download/ocx/adcoppakcontrol.cab
O16 - DPF: {1CCA7AD8-4FF3-4449-B994-FD5CD326444C} (NMPCertX Class) - http://www.4insure.or.kr/ssotrust/setup/NMPCertX.cab
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - http://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {2022EE84-1E1F-45B0-8D35-FF9DA75366BC} (ExpressViewer Class) - http://download1.softforum.co.kr/XecureExpressI/xei_install2.cab
O16 - DPF: {27AAC9F7-A327-4ABE-A361-C39744135D07} (EHtml Control) - http://www3.edaily.co.kr/efriends/efActiveX/LiveUp.CAB
O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://file.nx.com/activex/public_new/nxpm.cab
O16 - DPF: {2C197E55-080B-42A4-BFD0-9595B3534CF4} (KVPplugin00 Control) - https://www.vpay.co.kr/KVPplugin01.cab
O16 - DPF: {340CCF52-D65F-4A11-80B3-13DC23697B59} (BugsInstall Control) - http://player.bugs.co.kr/install/BugsInstall_10_04.cab
O16 - DPF: {39FC0CF9-86F3-4502-B773-D16706EDEC83} (SCSK Control) - http://www.hanabank.co.kr/plugin/download/scsk/SCSK4.cab
O16 - DPF: {3C8CD698-4086-4CD7-A5D4-CF17794A9906} (NInst Control) - http://plugin.netpia.com/pfull/NInst.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {3DAE9C86-4D54-4D33-A82D-E4F9150E2D86} (NateOnMMSAtx2 Class) - http://viewsms.nate.com/NateOnMMS_AX2.cab
O16 - DPF: {42128F7F-C516-485B-9C19-E06AB07C33E5} (´U¿i¼OCAÆ® AIº≫¾i AO·A±a ActiveX AAÆ®·N) - http://www.daulsoft.com/JapanEditor/cab/DaulJapanEditorAX.cab
O16 - DPF: {430DE918-D723-40BE-B3D7-CC18430BB061} (MarkAny WebSAFER - Control V1.6) - http://www.iros.go.kr/iris/maws09.cab
O16 - DPF: {458F5FA5-E8F8-4D7B-96FA-43419A71B5A7} (ToonsXDaum2 Control) - http://comic.daum.net/download/ToonsXDaum2.cab
O16 - DPF: {4875D0C5-5FE1-4488-8BB8-5A7D0ECDF93B} (Empas Filebox Control) - http://filebox.empas.com/EmpasFilebox.cab
O16 - DPF: {48ECCD73-123C-4C25-A64C-76E8E8A30CAF} (XPayMPIOCX Control) - http://mpi.dacom.net/XPayMPI/Xecure_LiveUpdate_XPayMPIOCX.cab
O16 - DPF: {4DED8BE6-C27E-40D2-9BD0-24BE513B4E6F} (TurboIS Control) - http://cdn.naver.com/naver/tms/turbois.cab
O16 - DPF: {4E52C32F-C143-4963-A758-2DB07703CB49} (YahooCS Class) - http://kr.memo.yahoo.com/CAB/YahooWCS.cab
O16 - DPF: {518419D1-F74F-48E5-9D98-599EC0DAFBEA} (MpiPlugin Class) - https://kspay.ksnet.to/ksmpi/KSNetMPI.cab
O16 - DPF: {51C99F40-9E0E-4BF1-A92A-77121CC01AD0} (IMBCClient Control) - http://touch.imbc.com/ocx/Online.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/054f97334282f797bb15/netzip/RdxIE601_ko.cab
O16 - DPF: {5DAEF053-DEF0-4752-A963-CCE9B49B0B79} (Gogs Class) - http://item2.naver.com/WEB-INF/cab/nbgm.cab
O16 - DPF: {60F039CE-9490-4361-A769-5419FD166359} (egnInstallXCtrl2 Control) - http://empasweb.nefficient.co.kr/empas/gamenara/egnInstallXCtrl2.cab
O16 - DPF: {68253470-5D4F-4CDF-8D9C-353C14A2F013} (SVPorsche Control) - http://www.seemedia.co.kr/products/lu/sm22/182/SVPorsche.cab
O16 - DPF: {6AD92401-CE2D-452B-AA63-1291D60EC2D2} (AxINIplugin40 Control) - http://member.nate.com/initech/plugin/axINIplugin40.cab
O16 - DPF: {6E6C2901-1750-40BF-81B1-865787F6A49D} (CongnamulMap4World Control) - http://www.congbird.com/ActiveX/CongnamulMap4World.cab
O16 - DPF: {6FE760D3-7851-4879-8838-62D9881D7177} (IniMasHandler Class) - http://emailimg.sktelecom.com/inimas/autocontroll/IniMasPlugin.cab
O16 - DPF: {72FBE00B-45B7-40CC-8CAF-C21F2AEB5B66} (NamoWeCtl 5.0 for devpia) - http://www.devpia.com/Forum/Namo/NamoWec.cab
O16 - DPF: {73257F5A-A0E3-4904-A64E-CE6D892E404D} (Empas File Upload Control) - http://mail.empas.com/kr/EmpasFileUpload.cab
O16 - DPF: {7606693A-C18D-4567-AF85-6194FF70761E} (GomWeb Control) - http://app.ipop.co.kr/gom/GomWeb.cab
O16 - DPF: {799BB2EC-572A-42A9-84AD-112806F4F551} (Imweb Control) - http://activexdown.paran.com/paranactivex/data/imweb.cab
O16 - DPF: {7BAE772F-FD08-48BB-A96B-63B3A5003C2F} (ezPay Control) - http://www.finger.co.kr/down/payment/ezpay/ezPay.cab
O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://download.softforum.co.kr/Published/XecureWeb/v5.5.3.2/xw_install.cab
O16 - DPF: {7FC751A9-492D-41B1-9F8D-D2C8809D8907} (EmoWebInstallerCtl Class) - http://pimg.hanmail.net/tv/cabs/MyTVInstaller.cab
O16 - DPF: {85AF9A98-3423-45E4-8BAD-85645F16AC31} (P3 Bugs VoD Loader Class) - http://player.bugs.co.kr/install/mv/p3bvset.cab
O16 - DPF: {938527D1-CDB7-4147-998A-B20FCA5CC976} (Cdmcco Class) - http://cafeimg.hanmail.net/cab9/dmcc2.cab
O16 - DPF: {93F79C47-F414-4EEE-95C5-A0F0ACE59A0E} (ALDx Class) - http://www.altools.co.kr/ALDX.cab
O16 - DPF: {94E55585-4097-42D8-9C14-747A8D8E39B2} (IntiSession Control) - http://intsession.dreamwiz.com/lib/ManiaMsgAddOn.cab
O16 - DPF: {95ECBC00-7121-4379-BD64-69B42A0F1123} (MapID Control) - http://www.mapid.net/ActiveX/MapID_V15.cab
O16 - DPF: {982FD75B-5A8E-4CF3-8FCF-1DB2EA052083} (MagicInstallX Class) - http://www.4insure.or.kr/webfn/MSSO/MagicInstallX.cab
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} (CNNIC_IDN) - http://client.jogo.cn/download/cnnic/cdn_eng.cab
O16 - DPF: {9A583488-22F4-4DB2-B427-33A34B7C5D5F} (DaumVM Class) - http://messenger.daum.net/autologin/cab/dmvm3.cab
O16 - DPF: {9AEBAA67-8B4D-4884-9EB7-8C6BEA20CE5C} (FileManager Control) - http://club.nate.com/NetEditor.cab
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myfirewall/myfirewall20.cab
O16 - DPF: {9BED3AC7-E6D4-43E7-B8A1-1FA502F639E1} (XTools Control) - http://player.bugs.co.kr/install/mv/XTools.cab
O16 - DPF: {9C0E15B1-AB75-4CD6-9D1C-EDC6B934B952} (JoinsSession Control) - http://memo.joins.com/lib/JoinsSession.cab
O16 - DPF: {9D9C8579-69E9-4184-8153-C8F85EC25E69} (AtlCtrl Class) - http://www.wowform.com/icon0223.cab
O16 - DPF: {A00B2A53-60D9-4477-ADA3-60490770C5E0} (UploadList Control) - http://wwl604.daum.net/hanmail-ax/hanmail.cab
O16 - DPF: {A2A4336A-E49E-44E8-B152-E98E841CFA24} (Update Control) - http://www.chzero.com/urimap/urimap_activex/ZeroMapUpdate.cab
O16 - DPF: {A40EEF5E-54E0-41CE-9638-C7D3806E54A4} (Kcpv3datx Control) - https://secure.kcp.co.kr/downloads/v5/v3dplus.cab
O16 - DPF: {AD435D31-ED5C-4148-9DD8-92211F9DAC34} (RSA Class) - https://pointsok.okcashbag.com/skmpp/SKMPPClient2.cab
O16 - DPF: {B6B8968B-F2CE-47C2-B749-E2BA385BB226} (CourtPrintInfo Class) - http://www.iros.go.kr/iris/MaPrintInfoCourt.cab
O16 - DPF: {BF628973-1E86-4D0E-B42C-EDDECFFABDBC} (Bugs AoD Class) - http://player.bugs.co.kr/install/BugsLoader20041018.cab
O16 - DPF: {C1143E84-B2B1-473B-9F20-E62DD754FCAF} (VineTransfer Control) - http://chbib.chb.co.kr/infovine/VineTransfer.cab
O16 - DPF: {C50341E9-CDC1-4377-AB88-3486CCD0FDA1} (cycnset Class) - http://ms1.cyworld.com.cn/music/package/cycnset.cab
O16 - DPF: {C8F26FC9-9A44-4F32-93B3-8BDAFBFA8F25} (CodeKillerCtl Class) - http://www.codekiller.co.kr/activex/codekiller.cab
O16 - DPF: {CF362BDB-4EA2-11D5-AB47-000102913414} (SetGlb Control) - http://touch.imbc.com/ocx/SetGlb.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://update.nprotect.net/nprotect/module/npx.cab
O16 - DPF: {D24EE16E-E32A-4386-BF42-433F25346533} (Naver Mail File Upload Control) - http://mail.naver.com/activex/NvFileUpload.cab
O16 - DPF: {D27C4C56-3737-471C-8964-750D288FA03C} (CPopSendQAx Class) - http://app.ipop.co.kr/popsend/popsendmulti.cab
O16 - DPF: {D44C7CBF-FB35-41CF-8D6C-C0A2143EB46C} (Yessign3 Control) - http://www.yessign.or.kr/yessignCert/yessign3.cab
O16 - DPF: {D5722E4F-2BA0-11D6-A114-00D0591CC9BB} (HanaClient Class) - http://www.hanabank.co.kr/portal/webcall/HanaClient.cab
O16 - DPF: {D572CD64-9310-4712-8FFC-A4F9DC9D4AC1} (QbicUpdate Control) - http://qbic.hanafos.com/component/QbicUpdate.CAB
O16 - DPF: {D6485BB6-A852-4735-8C2F-2B85E4139CB7} (MagicTCX Class) - http://www.4insure.or.kr/ssotrust/setup/MagicTrustConnector.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/kftc/npkcx.cab
O16 - DPF: {D8F001C6-43B1-4CFD-9DAF-C8BEAE0E2B6D} (Touch Control) - http://touch.imbc.com/ocx/test/Online.cab
O16 - DPF: {DCD7F1D9-8E57-45F8-8C0C-4400CD84C8BF} (Imhtml Control) - http://activexdown.paran.com/paranactivex/data/imhtml.cab
O16 - DPF: {DDE6FED7-88AB-405B-9D77-FD4CDA8B9EB5} (Qbic Control) - http://qbic.hanafos.com/component/Qbic.CAB
O16 - DPF: {E0D3C611-F582-4E25-A547-5D535FBFA8E5} (ShellSFM20FCom Class) - http://download.banktown.com/kbstarActiveX/BtCxSFM20F.cab
O16 - DPF: {E1CDC08F-F464-4682-AE6A-7689451387C0} (CAFE multiupload control) - http://cafeimg.hanmail.net/activex/dmcm.cab
O16 - DPF: {E78928A6-3D2A-4BF7-A100-F3FBAA351B49} (KvpIspCtlD Control) - http://www.vpay.co.kr/kvpfiles/KVPISPCTLD.cab
O16 - DPF: {E831AA9C-C980-4F16-B252-09AAF40D0E9B} (Kdfense9 Control) - http://kings.cachenet.com/kdfx218/kbstar/kdfense9.cab
O16 - DPF: {EC5D5118-9FDE-4A3E-84F3-C2B711740E70} (SKCommAX Control) - https://www.kiwoom.com/SKCommAX/SKCommAX.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {F1F07506-6CB4-44AC-8615-66D1234EFD05} (WebCtl Class) - http://www.hanabank.co.kr/plugin/INIS50.cab
O16 - DPF: {F36BB72B-9876-4C6D-B22F-D68E480A39B5} (XFileUploadListDown.ListDownCTL) - http://pds.devpia.com/XFileUpload/XFileUpload_onlyone.CAB
O16 - DPF: {F480B021-E226-406F-A23D-22118518B736} (Login Control) - http://update.gample.net/gample/activex/login.cab
O16 - DPF: {F61919F5-1292-4447-A904-1943D72ACF04} (CertCheck for KB Control) - http://img.kbstar.com/cab/certCheck.cab
O16 - DPF: {FA309B66-7778-11D8-A7CA-0020ED52230E} (RPRTRegisterX Control) - http://www.iros.go.kr/iris/RPRTPrintRegisterX.cab
O16 - DPF: {FB49C5D6-ABCC-47ED-AC05-B80E578183B0} (DSCertManagerX Class) - http://www.4insure.or.kr/webfn/MSSO/DSCertManagerX.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ahnlab Task Scheduler - AhnLab, Inc. - C:\Program Files\Ahnlab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MonSvcNT - AhnLab, Inc. - C:\PROGRA~1\Ahnlab\V3\MonSvcNT.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Anonymous (0)
비회원

게시일: 2005-10-15 16:08|

존알람.. 집에 가서 깔아봐야겠네요.

tasklist /svc 로 그 존알람 서비스를 띄우는 프로세스(svchost 라고 생각했습니다.)를
종료후에 테스트 해보시라는 말이었는데, 생각해보니 도아님 말씀대로 존알람이 아닌
다른 스파이웨어가 잡고 있다면 안되겠네요. 하하;;;;

음.. filemon(+regmon)으로 서비스 중지 시도를 했을 때 나타나는 변화를 살펴보면
어케 되지 않을까.. 합니다.

p.s. 존알람은 예전 백오리피스 나왔을 때 한번 깔아서 보고 바로 지웠는데;
요즘은 평이 아주 좋아진 거 같더군요. ^^

Anonymous (0)
비회원

게시일: 2005-10-24 03:27|

자신의 권한 상태를 확인해보세요.

다음글: 래지스트리에 대해 여쭙니다. (0)	4126	alligator	2005-11-01

이전글: 하드디스크 상태가 매우 좋지 않습니다. (1)	4208	numberup	2005-09-09

새글쓰기 답글쓰기

세상사는 이야기