Trojan Bagle Worm 바이러스 치료(hidr.exe)

증상: – 사용하던 백신 프로그램의 실행파일이 삭제되고, 다시 설치 되지 않음

         – 백신 또는 몇몇 프로그램 설치중 “Error 1304 메시지”와 함께 파일 복사가 진행안됨

         – windows 폴더 또는 system32 폴더 내에 exefld 라는 폴더를 만들고 숫자.exe의 파일이 생성

         – 윈도우의 안전모드 접근시 블루스크린 오류(안전모드 진입 불가)

해결방법:
         – 안전모드로 들어갈 수 없는 이유는 아래의 키가 삭제되었기 때문인데, 같은 운영체제에서 복사해서
           이용가능한 것 같다. 따라서 해당 키 파일을 복사해서 넣으면 안전모드로 들어갈 수 있고, 온라인 무료
           백신을 통해 치료할 수 있다.
                 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot”

         – 온라인 백신 체이서: 바로가기 (검사시 “메모리 검사”에 체크를 하고 하면 hidr.exe 파일 삭제가능)

         – hidr.exe 파일이 삭제되어도 위의 파일 설치 오류가 발생하게 되는데 이것은 srosa.sys 서비스 때문이다.
           따라서 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa” 항목을 삭제하고,
           system32/driver 내의 srosa.sys 파일을 삭제한다.(파일위치가 다를 경우 검색하여 삭제)

특징: – 작업관리자를 통해 프로세스(hidr.exe)가 보이지 않기 때문에 바이러스가 걸렸는지 모를 수 있음.
           안전모드에서도 보이지 않고, 메모리 부트섹터 검사를 했을 경우 확인되는 것 같음.

참고내용: http://kr.ahnlab.com/info/smart2u/virus_detail_6585.html
              http://blog.naver.com/nologout/41935442


<Bagle Virus 전용 백신 – 스페인어>
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

You may also like...

댓글 남기기