C: 드라이브나 D:드라이브가 열리지 않을 때

 

요즘 신종 바이러스로 c나 d드라이브를 열때 안들어가지고 연결 프로그램 선택하라고 만듬

 

윈도 탐색기로 들어갈수 있어나 숨긴파일 보기가 안되어 autorun파일을 삭제할 수 없을 때

 

첨부파일을 다운 실행후 내컴퓨터의 도구->폴더옵션->보기->보호된 운영체제 숨기기 체크해제 및 숨긴파일 및 폴더표시 선택 후 c나d드라이에 들어가면 autoexec.run파일이 있는데 이를 삭제하면 되고 v3나 백신 프로그램 있으면 꼭 바이러스 치료할 것.

 

파일찾기 기능을 이용해서 시작 - 검색 - 모든파일 및 폴더 - 고급옵션 - 시스템폴더검색 체크 - 숨김파일 및 폴더 체크 - 검색합니다. autorun.inf 파일과 ctfne파일 삭제요

 

ctfne 파일같은경우 windows폴더에 system32폴더에 _ctfne 로 숨어 있고, windows폴더에 Prefetch 폴더에도 숨어 있더군요...

삭제 후 재부팅하시면 치료 완료됩니다.

 

다른 방법으로는

오토런 바이러스에 감염 된것으로 판단되는 바

루트에 생성되는 파일은 autorun.inf 파일은 숨김 속성 파일보기 체크를 하여도 보이지 않는 경우가 많더군요 

작업 표시줄에서 마우스 오른쪽 클릭 - 작업 관리자를 부릅니다.

 Alt+Ctrl+Del 로도 되죠.

프로세스 탭으로 이동하셔서 'explorer.exe' 를 프로세스 끝내기(E) 버튼을 이용해 종료 시킵니다.

 

열려 있는 모든 익스플로러가 종료되며 바탕화면의 아이콘들 역시 모두 없어집니다(부팅후 나타납니다. 걱정 마세요....^^)

그리고 검은 화면만 나오는데요.. (제가 바탕화면을 검은 색으로 해서 검은 화면만 나오는지는 잘 모르겟네요.. 어쨋던... 당황 하지 마시구...^^*)

Alt+Ctrl+Del 를 누르세요.. 작업관리자가 떠죠..? (아무것두 삭제된거 없으니깐.. 안심 하세요... 재 부팅 하면 아무일 없었던것 처럼 되요....^^)

 

다시 프로세스 탭으로 이동 하셔셔

작업 관리자에서 파일 - 새 작업(실행...)(N) 을 클릭하여 나오는 창에서 'cmd' 를 입력합니다.

 

도스창이 나오면 아래의 명령어를 입력합니다.

c:\ 엔터

del c:\autorun.* /f /s /q /a 엔터

명령어 입력시 주의하세요!! 잘못 입력하시면.. 드라이브 통체로 날릴 수 있습니다파일 삭제가 완료되고 커서가 나오면 다른 드라이브도 마찬가지로 실행 해 주세요.

 

D 드라이브의 경우

del d:\autorun.* /f /s /q /a

로 해 주시면 되겠죠.

(화살표키를 이용하셔서 D드라이브만 바꿔주셔도 좋겠네요.)

드라이브마다 두어번씩 반복 실행 해 주신 후 부팅하세요

*********************************************************************

 

 

 

사용자가 '윈도우 탐색기'나 '내 컴퓨터'에서 시스템의 드라이브를 더블클릭하여 폴더를 열거나 액세스하면 오류 메시지가 나타나는 현상이 근자에 자주 있습니다.

 

이 문제나 현상은 하드 드라이브는 물론, 휴대용 하드 디스크 드라이브, USB 플레시 드라이브 등에서도 나타나며 아래 내용과 같은 오류 메시지 대화 상자를 프롬프트합니다.

 

1) Windows Script Host Can not find script file autorun.vbs.

2) 에러 코드 800A041F 발생과 VBScript! 디버그 요청

3) 'Choose the program you want to use to open this file with:-' 연결 프로그램' 대화 상자

3. 특히 위 3)의 상황에서는 위 그림에서 보는 것과 같이 하단부의 '이 종류의 파일을 열 때 항상 선택된 프로그램 사용' 옵션이 선택 불가능하게 희미해져(Grayed out) 있습니다.

4. 이러한 현상이나 문제는 'autorun.vbs'가 바이러스, 또는 트로얀에 의해 생성되었을 때 발생합니다.

5. 이 바이러스는 통상 'autorun.inf'란 파일을 모든 하드 드라이브나 USB 드라이브의 루트 폴더에 로드하고, 'autorun.reg'를 레지스트리에 적용하고 병합하는 스크립트를 포함하고 있는 'autorun.bat'를 실행합니다.

6. 결과적으로 아래 레지스트리 키를 변경하여 시스템이 기동이 되면 바이러스가 로딩되고 최종적으로는 'autorun.vbs'를 실행시킬 'wscript.exe'를 호출하는 'autorun.bat'가 실행되는 순서를 거치게 됩니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Userinit=userinit.exe,autorun.exe

7. 그러나, 사용자 시스템에 설치된 보안이나 바이러스 처리 프로그램이 'autorun.vbs'란 파일이 바이러스에 감염되었음을 감지하여 이를 삭제, 제거, 이동, 검역소 보관 등의 조치를 취하게 되면, 나머지의 남은 파일들(autorun.*)이나 레지스트리 값은 그 상태를 유지하여 'autorun.vbs'를 계속 참조하기 때문에 사용자가 드라이브를 클릭하여 폴더를 열려고 하면 오류가 발생하게 됩니다.

 

8. 이 오류를 수정하는 방법을 아래에 제시합니다.

CTRL-ALT-DEL(아니면 CTRL-SHIFT-ESC) 키를 동시에 누르거나 '작업 표시줄'을 클릭하여 '작업 관리자'를 선택하는 방법으로 '작업 관리자'를 엽니다.

프로세스 탭을 선택하여 'wscript.exe'라는 프로세스가 실행 중이면 선택한 상태에서 하단부의'프로세스 끝내기' 버튼을 클릭하여 종료 시킵니다.

'Explorer.exe' 프로세스를 터미네이트합니다.

 

작업 관리자에서 '파일'-'새 작업(실행...)'을 선택합니다.

'열기' 텍스트 박스에 'cmd'를 타자 후 엔터 키를 누릅니다.

아래 명령을 순서적으로 타자 후 엔터 키를 누릅니다.

 

del c:\autorun.* /f /s /q /a

del d:\autorun.* /f /s /q /a

del e:\autorun.* /f /s /q /a

 

여기서 c, d, d,는 사용자 시스템의 드라이브 문자를 얘기하며, USB 플레시 드라이브나 휴대용 드라이브를 외장용으로 사용하는 경우도 모두 위 명령을 실행하여야 합니다.

작업 관리자에서 '파일'-새 작업(실행...)'

'regedit'를 타자 후 '확인'을 누릅니다.

아래 레지스트리 분기점까지 찾아 갑니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

값 이름과 값 데이터가 올바른지 체크합니다.

'userint.exe'의 값 데이터 중 드라이브 문자(C)가 틀린 경우라도 이는 맞는 값이며, Comma는 정상적임에 유의합니다.

 

“Userinit”=”C:\WINDOWS\system32\userinit.exe,”

값이 올바르지 않으면 바른 값으로 수정합니다.

 

 

 

[하드디스크를 클릭하면 연결프로그램이 뜰 때]

 

하드디스크나 외장형 디스크, 또는 USB디스크를 내컴퓨터에서 클릭했을 때, 연결프로그램이라고 나오는 현상은,각 드라이브 루트에 있는, autorun.inf 파일때문에 그렇다. (숨김파일로 되어 있다.)

 

이 파일은 바이러스로 인해서 생겨난 파일이고, 지워도 지워도 다시 생긴다.

 

혹 autorun.inf 파일이 보이지 않을 경우,

도구 - 폴더옵션 - 보기 에 들어가서 숨김파일 모두보기에 체크하고, 보호된 운영체제 파일 숨기기를 체크 해제 해준다.

 

이렇게 해도 안 보인다면,

http://hojinzs.enterhost.co.kr/Anti%20Win-TrojanXema.45056.C.zip

 

위의 파일을 받고, 안에 든 레지스트리 3개를 설치(병합)한다.

순서는 히든 레지스트리를 가장 나중에 설치해주면 되겠다.

자. 이제는 잘 숨어 있던 바이러스가 보일 것이다.

 

autorun.inf fun.xls

autorun.inf는 그대로고, fun.xls는 setup.exe나 sxs.exe 등과 같은 변종으로 존재할 수도 있다.

 

이걸 그냥 지우면, 사라진다. 하지만, 곧 다시 생성된다. 다시 생성되는 것을 막기 위해 컨트롤 알트 델을 눌러주고.

 

프로세스 텝에서 algsrvs 라는 프로세서를 죽여준다.

(algsrvs라는 프로세서가 계속 새롭게 바이러스를 만들어 준다. 그래서 지워도 계속 생긴다)

 

이 프로세서를 죽인 후에, 아까 지웠던 autorun.inf와 fun.xls 파일을 지워준다.

다른 하드드라이브도 마찬가지로 지워준다.

 

여기서 중요한 것은, 더블클릭을 할시에, 다시 시작된다는 것이다.

그러니 항상, 마우스 오른쪽 버튼 - 열기 를 실행해서 폴더를 옮겨다니자!

 

자 이제는 다 지워졌다. 하지만 재부팅하면 다시 살아난다. 그러니 그전에 숙주파일들을 다 죽여줘야 하겠다.

 

이 파일들은, windows폴더 아래에 있는 system32 라는 폴더 안에 숨어 있다.

algsrvs.exe msfun80.exe msime82.exe

 

이렇게 3개 파일을 시프트 델을 눌러서 삭제 해주면 되겠다.

위의 모든 순서가 귀찮은 분은,

 

1. 컨트롤 알트 델 - 프로세스 텝 - algsrvs 프로세스 죽이기.

2. http://kr.ahnlab.com/info/download/html/v3neo.html 에서 v3 neo롤 받아서,

C드라이브의 루트에 넣고, 폴더명을 v3 로 변경해 준다. c:\v3\

그 다음 시작 - 실행을 클릭후, cmd 라고 입력하고 엔터를 치면, 도스 창이 뜬다.

여기서 c:\ 라고 친후 엔터,. cd v3 라고 치고 다시 엔트, 그다음에 v3 c: 라고 치고 엔터

누르면 v3 네오가 실행되면서 위의 파일 3개를 잡아준다. (바이러스가 나오면 붉은글자가 뜨고 Y를 눌러주면 된다.)

 

3. 바이러스가 다 잡혔으면 각 폴더에 있는 autorun.inf 와 fun.xls 파일들을 죽여 주면 된다.

혹 보이지 않을 경우, 숨김파일을 해제해주고, 숨김파일 해제가 안될경우,

http://hojinzs.enterhost.co.kr/Anti%20Win-TrojanXema.45056.C.zip

이 파일을 받고 병합후 다시 시도하면 보인다.

 

 

C,D 드라이브를 더블클릭하면 연결 프로그램을 찾는 창이 나올 때

 

위와 같이 하드디스크 메뉴에 AUTO가 추가되어 바로 열기가 안될 때가 있다.

 

원인은 아래 그림의 2파일 때문이다.(해킹프로그램이라고 한다)

악성코드/바이러스 프로그램으로 전혀 치료되지 않으며, 방법은

컴퓨터 부팅 후 메모리 테스트가 끝난 후 F8키를 1초 간격으로 눌러준다.

 

그러면 XP멀티 부팅 메뉴가 나타나는데 이때 맨위의 "안전모드"를 선택 하여

안전모드로 부팅하자.

CTRL+ALT+DEL키를 눌러 작업관리자를 실행 후 프로세서란의 SVOHOST.exe를 선택 후

프로세서 끝내기를 한다.(SVOHOST.exe파일이 없으면 작업관리자를 끝내도록 하자.)

 

안전모드 상에서 C,D드라이브에 위그림의 2개 파일을 삭제해준다.

(안보일시 도구-폴더옵션의 시스템파일 숨김 체크 해제/숨김또는 파일폴더 보기 체크)

 

이후 시작-실행의 regedit를 입력하고 확인을 눌러 아래 경로로 찾아간다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

오른쪽 메뉴에서 기본값을 제외한 모두를 삭제해주자.(RUN폴더 아래 -RUN이란 폴더가 있다면 같이 삭제 해준다.) 이후 WINDOWS\SYSTEM32폴더에 아래의 3개 파일이 남아 있다면 삭제하도록 한다.

 

winscok.dll

 

sxs.exe

 

autorun.inf

 

이후 재부팅하여 윈도우 모드로 접속하면 auto가 사라진 것을 확인 할 수 있다.

재부팅 후 윈도우 화면에서 아래와 같은 창이 나타난다면,

다시 안전모드 부팅 후 아래 그림과 같이 C:\windows\Prefetch LAJQHF.EXE파일을

삭제 하고 레지스트리 편집기를 열어

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run의

 

오른쪽 메뉴 기본값을 제외한 모두를 삭제한다. (-RUN폴더는 폴더체로 삭제)

이 증상은 USB메모리를 통해 감염되기 쉬우므로 각 드라이브와 USB메모리의

SXS.EXE , AUTORUN.INF파일을 안전모드상에서 전부 삭제 해주도록 하자.

 

윈도우 부팅 후 꼭 SXS.EXE와 AUTORUN.INF파일이 없어진 것을 확인할 것!