2008년 01월 10일
アーチャー의 바이러스 퇴치법 - ntdelect.com (혹은 nldelect.com)을 찾을 수 없습니다.
워낙 kxvo변종이 많은 관계상 이제 더이상 이 방법으로 치료가 가능하다는 장담을 하지 못합니다. 새 포스팅을 참고하시길 권장합니다. 그리고 프로그램 퍼가실때 출처 부탁드립니다. 제가 만든 프로그램이 아니지만 그래도 제가 '발견'한건데 출처 없이 인터넷서 도는거 보면 씁쓸하네요.
アーチャー의 바이러스 퇴치법 - kavo.exe, kxvo.exe 총정리
집에 있는 데스크탑(무지 낡은 펜티엄 3)에 있는 윈도우가 XX라서 SP2도 받지 못하고 있었고 노트북이 생긴 몇년전 부터 데스크탑은 부모님들 용으로 방치(?)해 놓은 상태였는데 몇달 전부터 바이러스 증상이 나타났다. 게다가 노턴 바이러스 백신 프로그램쪽에 이상이라 백신이 켜지지도 않았다. 그 덕분에 여러 바이러스가 왔는지 컴터가 거의 맛이 간 상태에 까지 이르렀다.
덕분에 USB로 전파되는 최신 바이러스 (이름은 각각 백신 제조 업체마다 다르게 불러서 모르겠다)도 상주하고 있다가 アーチャー의 외장형 하드에 잠복하고 있다가 노트북에 연결하자 바로 바이러스!!! 대충 감을 잡은건 내컴퓨터에서 드라이브를 더블 클릭 하면 새창으로 뜨는것. 분명히 한창에서 띄우는걸로 세팅이 되어있건만!!
기억을 더듬자 데스크탑에서도 내컴퓨터에서 드라이브를 더블클릭하면 ntdelect.com를 찾을 수 없다라는 메세지가 뜬게 생각이 나 바로 ntdelect.com을 구글로 검색 해보니 왠걸, 신종 바이러스라고 하는게 아닌가. 빌어먹을 며칠전에 포맷했단 말이닷!!
프로그램에 스파이웨어가 상주하고 있다는 제보 받았습니다. 제 노턴(정품)으로는 아무것도 검색이 되지 않으나 노턴은 이 바이러스 검색도 못했기 때문에... 사용하실때 조심하세요. アーチャー 에서 노턴과 Ad-aware로 검색을 해보았지만 스파이웨어는 검색이 되지 않았습니다.
치료법은??
이 바이러스는 자신을 레지스트리에 등록해서 C:\Windows\system32\kavo.exe를 윈도우 시작시 구동을 한다고 한다. アーチャー 의 컴퓨터는 현재 이 바이러스를 제거 해서 확인 할 수 없지만 아직 바이러스가 있거나 아래 방법으로 치료가 되지 않는다면 Process Monitor를 이용해 현재 컴퓨터에 구동되고 있는 프로세스를 확인해 보도록 하자.
ProcessMonitor.zip
위 프로그램은 윈도우에 실행되고 있는 프로세스를 보여준다. 리스트에서 kavo.exe혹은 많이 비슷한 이름(변종의 경우)이 보이면 kavo.exe관련 바이러스에 걸린 것으로 보여진다.
アーチャー 컴퓨터에는 kavo.exe가 이미 삭제가 되어서 kavo.exe가 자동으로 구동이 되는지 확신은 못하겠지만 아래 프로그램을 돌리고 불필요 레지스트리에 C:\Windows\system32\kavo.exe란 값이 있는 레지스트리가 있었기에 바이러스가 있다면 시작시 kavo.exe가 저절로 구동이 된다고 생각되어 진다. 이 부분 확인을 해 주실 수 있는 사람이 있다면 부탁하는 바이다.
이 바이러스는 USB를 통해 전파되어서 각 드라이브에 autorun.inf파일들 생성해서 그 드라이브에 접근을 하면 바로 다시 바이러스를 전파하는 방식이었다. 최근에 USB 메모리나 외장형 하드가 강세이니 이런 방법을 다 쓰는군. アーチャー한테는 외장형 하드 3가 있기에 즉시 하드 사용을 중지하고 인터넷 탐색에 나섰다. 그런데 워낙 최근에 발견된 바이러스라 노턴같은건 탐지도 못하는것 아닌가.
왠만한 옛날 바이러스라면 하드만 포맷하면 되겠지만 アーチャー 노트북은 파티션을 나눠서 C드라이브는 OS용, D드라이브는 여러 프로그램 저장용으로 쓰고 있었다. 정말 중요한 것들은 외장형 하드에 저장이 되어 있었고 2개는 당시 컴퓨터에 연결이 되어 있지 않았기에 최악의 상태는 아니었지만 그래도 160GB짜리가 컴퓨터에 연결이 되어 있었고 그 하드에는 PSP관련 프로그램들 등등 자그마치 70GB 정도의 데이터가 들어 있었다. 이 나라 느린 인터넷으로 받는다고 얼마나 고생했는데..
그래도 한번 고치려고 노력이나 해보자라는 정신(?)을 가지고 서핑 도중 대만에서 어느 프로그래머가 만든 전용 백신 프로그램이 있기에 돌려보았다. 그랬더니 정말로 바이러스 프로그램들이 사라진게 아닌가. 나중에 알았지만 アーチャー의 컴퓨터에 있던 바이러스는 변종이어서 레지스트리의 프로세스 파일 위치나 이름들이 약간씩 틀려 있었음에도 이 프로그램이 프로세스 파일과 exe 파일을 제거하는데 성공했다. 짧게 줄이자면 나중에 발견했지만 레지스트리에 찌꺼기가 남아있어서 지워줘야 했다는 사실.
만약에 당신의 컴퓨터에서도 같은 증상(내 컴퓨터에서 드라이브를 더블 클릭 하면 새창으로 뜨는 현상)이 발생하면 kavo.exe ntdelect.exe(アーチャー의 경우는 nldelect.exe)파일의 감염을 의심해보는게 좋다. 그럴 경우에 제일 먼저 백신 프로그램을 돌려보고 치료나 검색 자체가 되지 않는다면 (얼마 간은 그러리라 본다) 다음의 방법을 따라 하자.
1. 파일을 다운 받고 압축을 푼다.
kavo_killer.zip
2. 프로그램을 실행 시킨다. 그리고는 아무런 옵션 건드릴 필요 없이 가장 오른쪽의 버튼(뒤에 배경으로 그림 있는 버튼)을 누른다.
3. 이로써 바이러스 프로그램 제거를 마쳤다. 하지만 한가지 남은게 있으니. 바로 레지스트리 찌꺼기 정리...
4. 레지스트리 프로그램들을 다운 받는다. アーチャー는 이지클린을 사용했다. 다운은 http://foruser.nazip.net/에 가서 하자.
5. 레지스트리 최적화를 실행한다. 최적화를 하면서 바이러스 찌꺼기를 잡아주는데 그 이유는 레지스트리에 적혀있는 파일들이 사라졌기 때문이다. 레지스트리가 존재하지 않는 파일을 가리키고 있기에 최적화를 실행하면 잡아준다. アーチャー의 경우는 C:\Windows\System32\kav0.dll인가 하는 프로세스 파일과 G:\nldelect.com H:\nldelect.com을 잡았다.
6. 검색된 레지스트리를 제거한다.
7. 윈도우 검색으로 가서 '모든 파일 및 폴더'를 선택한 후, '고급 옵션'에서 '숨긴 파일 및 폴더 검색'에 체크후 모든 로컬 드라이브와 이동식 드라이브에서 delect라는 이름의 파일이 있는지 검색하자. ntdelect.com이나 アーチャー의 컴퓨터에 있었던 nldelect.com이 있다면 잡아 낼 것이다. (アーチャー가 바이러스 감염 여부를 파악한 경위가 위 파일이 존재하지 않아서 였으므로 검색이 되지 않았다. 답글에 보니 어떤분은 스스로 삭제를 해야 했다고 하기에 이렇게 적어 본다.
혹은
7. 내 컴퓨터 위 메뉴에서 도구 -> 폴더 옵션 -> 보기 탭으로 가자. 숨긴 파일 및 폴더 표시에 체크를 하고 보호된 운영 체제 파일 숨기기에 체크를 해제한다. 그 후 각 드라이브 루트 C:\, D:\등등 으로 가서 ntdelect.com 이나 nldelect.com을 삭제하도록 하자.
주의: NTDETECT.COM이란 파일이 C:\에 존재할것이다. 이 파일은 윈도우 구동에 필요한 파일이므로 절대, 다시한번 말한다. 절대로 삭제하지 말자.
ntdelect.com이나 nldelect.com이 검색이 되지 않는다는 제보 받았습니다. 빠대님 제보 감사합니다. 그러나 파일들이 임시 폴더에 저장되어 있다는 제보도 받았다. アーチャー의 컴퓨터에서는 더이상 확인이 불가능 하므로 그냥 삭제를 해도 무방하다. C:\Documents and Settings\자신의 로그인명\Local Settings\Temp에 있는 파일들을 전부 삭제하도록 하자. 말그대로 임시폴더이므로 삭제해도 윈도우 구동에는 전혀 지장이 없다.
8. アーチャー의 경우에는 위의 방법을 마쳐도 찌꺼기가 레지스트리에 존재함을 알아내었다. nldelect.com의 경우는 Search Assisstance라는 마이크로소프트 자체 프로그램 레지스트리에 상주하고 있었다. 그 값을 지워도 アーチャー의 컴퓨터에는 아무런 이상이 없었다. 지워도 무방한 듯 하나 장담은 못하겠다.. ㅡㅡ; nldelect.com과 ntdelect.com등을 레지스트리에 존재하는지 찾아보자 (시작->실행->regedit이라고 치면 레지스트리 편집기가 나온다.) 레지스트리 편집은 위험하므로 스스로 결과에 책임을 질 사람만 시도하자.
9. 가능한 사람은 포맷을 하자. 바이러스가 정상적으로 삭제가 되었다면 이제 USB를 연결해도 문제가 없을 것이다. 이지클린 구동후에도 찌꺼기가 상주함을 발견했다. (Search Assistance라는 Microsoft 익스플로러에 딸려 있는 프로그램 레지스트리에 상주해 있음을 확인 했다. 어차피 컴퓨터 포맷을 한지 얼마 되지 않아서 アーチャー는 다시 포맷을 하기로 결정.)
어제 이 바이러스 덕분에 하루를 종일 잡아먹고 속도 많이 썩였다. 덕분에 다른 포스팅을 할 생각도 못했을뿐더러 어떤 토픽을 정할지 조차 결정할수 없었다. 대충 iR Shell은 끝이 난것 같은데.. 뭘 해야 하나?? 벌써 지식이 바닥나나??
어쨌건, アーチャー와 같은 문제를 가지고 속을 썩히고 있는 불쌍한(?) 사람들에게 이 글이 도움이 되었으면 한다.
마지막으로 한마디 하자면.. 바이러스 제작하는 뭣같은 인간들아. 그럴 머리가 있다면 좀 도움이 되는데 써라..PSP커펌을 제작하던가 한다는...
[닫기]
アーチャー의 바이러스 퇴치법 - kavo.exe, kxvo.exe 총정리
집에 있는 데스크탑(무지 낡은 펜티엄 3)에 있는 윈도우가 XX라서 SP2도 받지 못하고 있었고 노트북이 생긴 몇년전 부터 데스크탑은 부모님들 용으로 방치(?)해 놓은 상태였는데 몇달 전부터 바이러스 증상이 나타났다. 게다가 노턴 바이러스 백신 프로그램쪽에 이상이라 백신이 켜지지도 않았다. 그 덕분에 여러 바이러스가 왔는지 컴터가 거의 맛이 간 상태에 까지 이르렀다.
덕분에 USB로 전파되는 최신 바이러스 (이름은 각각 백신 제조 업체마다 다르게 불러서 모르겠다)도 상주하고 있다가 アーチャー의 외장형 하드에 잠복하고 있다가 노트북에 연결하자 바로 바이러스!!! 대충 감을 잡은건 내컴퓨터에서 드라이브를 더블 클릭 하면 새창으로 뜨는것. 분명히 한창에서 띄우는걸로 세팅이 되어있건만!!
기억을 더듬자 데스크탑에서도 내컴퓨터에서 드라이브를 더블클릭하면 ntdelect.com를 찾을 수 없다라는 메세지가 뜬게 생각이 나 바로 ntdelect.com을 구글로 검색 해보니 왠걸, 신종 바이러스라고 하는게 아닌가. 빌어먹을 며칠전에 포맷했단 말이닷!!
프로그램에 스파이웨어가 상주하고 있다는 제보 받았습니다. 제 노턴(정품)으로는 아무것도 검색이 되지 않으나 노턴은 이 바이러스 검색도 못했기 때문에... 사용하실때 조심하세요. アーチャー 에서 노턴과 Ad-aware로 검색을 해보았지만 스파이웨어는 검색이 되지 않았습니다.
치료법은??
이 바이러스는 자신을 레지스트리에 등록해서 C:\Windows\system32\kavo.exe를 윈도우 시작시 구동을 한다고 한다. アーチャー 의 컴퓨터는 현재 이 바이러스를 제거 해서 확인 할 수 없지만 아직 바이러스가 있거나 아래 방법으로 치료가 되지 않는다면 Process Monitor를 이용해 현재 컴퓨터에 구동되고 있는 프로세스를 확인해 보도록 하자.
ProcessMonitor.zip
위 프로그램은 윈도우에 실행되고 있는 프로세스를 보여준다. 리스트에서 kavo.exe혹은 많이 비슷한 이름(변종의 경우)이 보이면 kavo.exe관련 바이러스에 걸린 것으로 보여진다.
アーチャー 컴퓨터에는 kavo.exe가 이미 삭제가 되어서 kavo.exe가 자동으로 구동이 되는지 확신은 못하겠지만 아래 프로그램을 돌리고 불필요 레지스트리에 C:\Windows\system32\kavo.exe란 값이 있는 레지스트리가 있었기에 바이러스가 있다면 시작시 kavo.exe가 저절로 구동이 된다고 생각되어 진다. 이 부분 확인을 해 주실 수 있는 사람이 있다면 부탁하는 바이다.
이 바이러스는 USB를 통해 전파되어서 각 드라이브에 autorun.inf파일들 생성해서 그 드라이브에 접근을 하면 바로 다시 바이러스를 전파하는 방식이었다. 최근에 USB 메모리나 외장형 하드가 강세이니 이런 방법을 다 쓰는군. アーチャー한테는 외장형 하드 3가 있기에 즉시 하드 사용을 중지하고 인터넷 탐색에 나섰다. 그런데 워낙 최근에 발견된 바이러스라 노턴같은건 탐지도 못하는것 아닌가.
왠만한 옛날 바이러스라면 하드만 포맷하면 되겠지만 アーチャー 노트북은 파티션을 나눠서 C드라이브는 OS용, D드라이브는 여러 프로그램 저장용으로 쓰고 있었다. 정말 중요한 것들은 외장형 하드에 저장이 되어 있었고 2개는 당시 컴퓨터에 연결이 되어 있지 않았기에 최악의 상태는 아니었지만 그래도 160GB짜리가 컴퓨터에 연결이 되어 있었고 그 하드에는 PSP관련 프로그램들 등등 자그마치 70GB 정도의 데이터가 들어 있었다. 이 나라 느린 인터넷으로 받는다고 얼마나 고생했는데..
그래도 한번 고치려고 노력이나 해보자라는 정신(?)을 가지고 서핑 도중 대만에서 어느 프로그래머가 만든 전용 백신 프로그램이 있기에 돌려보았다. 그랬더니 정말로 바이러스 프로그램들이 사라진게 아닌가. 나중에 알았지만 アーチャー의 컴퓨터에 있던 바이러스는 변종이어서 레지스트리의 프로세스 파일 위치나 이름들이 약간씩 틀려 있었음에도 이 프로그램이 프로세스 파일과 exe 파일을 제거하는데 성공했다. 짧게 줄이자면 나중에 발견했지만 레지스트리에 찌꺼기가 남아있어서 지워줘야 했다는 사실.
만약에 당신의 컴퓨터에서도 같은 증상(내 컴퓨터에서 드라이브를 더블 클릭 하면 새창으로 뜨는 현상)이 발생하면 kavo.exe ntdelect.exe(アーチャー의 경우는 nldelect.exe)파일의 감염을 의심해보는게 좋다. 그럴 경우에 제일 먼저 백신 프로그램을 돌려보고 치료나 검색 자체가 되지 않는다면 (얼마 간은 그러리라 본다) 다음의 방법을 따라 하자.
1. 파일을 다운 받고 압축을 푼다.
kavo_killer.zip
2. 프로그램을 실행 시킨다. 그리고는 아무런 옵션 건드릴 필요 없이 가장 오른쪽의 버튼(뒤에 배경으로 그림 있는 버튼)을 누른다.
3. 이로써 바이러스 프로그램 제거를 마쳤다. 하지만 한가지 남은게 있으니. 바로 레지스트리 찌꺼기 정리...
4. 레지스트리 프로그램들을 다운 받는다. アーチャー는 이지클린을 사용했다. 다운은 http://foruser.nazip.net/에 가서 하자.
5. 레지스트리 최적화를 실행한다. 최적화를 하면서 바이러스 찌꺼기를 잡아주는데 그 이유는 레지스트리에 적혀있는 파일들이 사라졌기 때문이다. 레지스트리가 존재하지 않는 파일을 가리키고 있기에 최적화를 실행하면 잡아준다. アーチャー의 경우는 C:\Windows\System32\kav0.dll인가 하는 프로세스 파일과 G:\nldelect.com H:\nldelect.com을 잡았다.
6. 검색된 레지스트리를 제거한다.
7. 윈도우 검색으로 가서 '모든 파일 및 폴더'를 선택한 후, '고급 옵션'에서 '숨긴 파일 및 폴더 검색'에 체크후 모든 로컬 드라이브와 이동식 드라이브에서 delect라는 이름의 파일이 있는지 검색하자. ntdelect.com이나 アーチャー의 컴퓨터에 있었던 nldelect.com이 있다면 잡아 낼 것이다. (アーチャー가 바이러스 감염 여부를 파악한 경위가 위 파일이 존재하지 않아서 였으므로 검색이 되지 않았다. 답글에 보니 어떤분은 스스로 삭제를 해야 했다고 하기에 이렇게 적어 본다.
혹은
7. 내 컴퓨터 위 메뉴에서 도구 -> 폴더 옵션 -> 보기 탭으로 가자. 숨긴 파일 및 폴더 표시에 체크를 하고 보호된 운영 체제 파일 숨기기에 체크를 해제한다. 그 후 각 드라이브 루트 C:\, D:\등등 으로 가서 ntdelect.com 이나 nldelect.com을 삭제하도록 하자.
주의: NTDETECT.COM이란 파일이 C:\에 존재할것이다. 이 파일은 윈도우 구동에 필요한 파일이므로 절대, 다시한번 말한다. 절대로 삭제하지 말자.
ntdelect.com이나 nldelect.com이 검색이 되지 않는다는 제보 받았습니다. 빠대님 제보 감사합니다. 그러나 파일들이 임시 폴더에 저장되어 있다는 제보도 받았다. アーチャー의 컴퓨터에서는 더이상 확인이 불가능 하므로 그냥 삭제를 해도 무방하다. C:\Documents and Settings\자신의 로그인명\Local Settings\Temp에 있는 파일들을 전부 삭제하도록 하자. 말그대로 임시폴더이므로 삭제해도 윈도우 구동에는 전혀 지장이 없다.
8. アーチャー의 경우에는 위의 방법을 마쳐도 찌꺼기가 레지스트리에 존재함을 알아내었다. nldelect.com의 경우는 Search Assisstance라는 마이크로소프트 자체 프로그램 레지스트리에 상주하고 있었다. 그 값을 지워도 アーチャー의 컴퓨터에는 아무런 이상이 없었다. 지워도 무방한 듯 하나 장담은 못하겠다.. ㅡㅡ; nldelect.com과 ntdelect.com등을 레지스트리에 존재하는지 찾아보자 (시작->실행->regedit이라고 치면 레지스트리 편집기가 나온다.) 레지스트리 편집은 위험하므로 스스로 결과에 책임을 질 사람만 시도하자.
9. 가능한 사람은 포맷을 하자. 바이러스가 정상적으로 삭제가 되었다면 이제 USB를 연결해도 문제가 없을 것이다. 이지클린 구동후에도 찌꺼기가 상주함을 발견했다. (Search Assistance라는 Microsoft 익스플로러에 딸려 있는 프로그램 레지스트리에 상주해 있음을 확인 했다. 어차피 컴퓨터 포맷을 한지 얼마 되지 않아서 アーチャー는 다시 포맷을 하기로 결정.)
어제 이 바이러스 덕분에 하루를 종일 잡아먹고 속도 많이 썩였다. 덕분에 다른 포스팅을 할 생각도 못했을뿐더러 어떤 토픽을 정할지 조차 결정할수 없었다. 대충 iR Shell은 끝이 난것 같은데.. 뭘 해야 하나?? 벌써 지식이 바닥나나??
어쨌건, アーチャー와 같은 문제를 가지고 속을 썩히고 있는 불쌍한(?) 사람들에게 이 글이 도움이 되었으면 한다.
마지막으로 한마디 하자면.. 바이러스 제작하는 뭣같은 인간들아. 그럴 머리가 있다면 좀 도움이 되는데 써라..
[닫기]
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- 여러분이 사용하는 백신은? by 퍼런날군
- [부작용] 백신 접종 후 바이러스가 배출되나요? by sdoctors
- 대략 고마운 바이러스(?) by Minhee
- USB를 저장장치를 통해서 전파되는 바이러스 by 키노모토
- 무료 백신을 쓰세요 by 페로페로
# by | 2008/01/10 00:00 | kavo 관련 | 트랙백 | 핑백(1) | 덧글(113)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
... 치료는 커녕 발견하지도 못했으나 그건 벌써 약 한달전. 현재 アーチャー의 컴퓨터에는 이 바이러스가 없기에 확인 불가. 시도해 보신 분은 피드백 부탁드립니다. 예전 포스팅에는 kavo_killer라는 프로그램을 이용해서 자동으로 삭제하는 법을 적어 놓았다. 하지만 최근에는 워낙 많은 변종들이 돌기에 몇몇 경우에는 kavo_kille ... more
한동안 고생했는데,,마음이 다 후련하네요~~
고맙습니다 ^^
복받으실꺼에욤 !
정말 고맙습니다.
이거보고 노트북은 해결 했네요.. (혹시 모르니깐 내일또 점검해봐야 겠네요..)
집에 있는 PC 2개는 해결못하고 일하는곳으로 올라왔는데..
다음에 집에 내려가면 꼭 해봐야 겠네요..
감사합니다. ㅠ_ㅠ
갈루아// 그렇죠. 보조 드라이브에 백업을 하려고 연결을 하면 바로 그 즉시 드라이브에 바이러스를 심기 때문에 로컬 드라이브 포맷후 연결을 하면 그 드라이브에 상주 하던 바이러스가 다시 C:로 와서 데이터 포기하고 전부 싹 드라이브를 포맷하지 않는 이상은 되지 않았던거죠.
열목어// 집에 있는 PC도 해결이 되면 좋겠네요.
혹 다른 분들 주의 바랍니다;;;;
일단 내컴퓨터에서 각 드라이브들이 새로 열리는 현상은 사라졌구요;;;
kavo.exe는 정상적으로 삭제하는 모양인데, 스파이웨어가 심어져 있기는 하네요..
감사합니다~
근데 그 담부터 nldelect.com 관련 문구는 안 나오네요.
C:\WINDOWS\Prefetch에 숨어있엇구요
덕분에 컴퓨터 완치됫네요
감사합니다
포멧만 5회를 하고도....
ㅜ.ㅡ 아무소용 없었다.
usb는 늘 안전할 줄 알았느데.
ㅜㅜ// 도움이 되었다면야...
지긋지긋// 아무래도 요즘에 USB 안쓰는 물건이 없어서 그런것 같아요.
제임스// 뭐라고 말하기 힘드네요. 외장형 하드가 100% 새거였는지요. 완전 새거라 님께서 포맷을 하셔야 했다면 거기에서 전염될 확률이 거의 없지만 그렇지 않고 산 곳에서 포맷을 하거나 했다면 거기서 전염되었을 확률도 있네요. 프로그램을 하드 연결하고 한번 돌려주세요. ntdelect나 nldelect는 모든 드라이브에 상주 할테니 도구->폴더 옵션->보기->보호된 운영 체제 파일 숨기기에 체크를 풀어주시고 숨긴 파일 및 폴더 표시에 체크후 ntdelect.com이나 nldelect.com을 수동으로 지우시면 일단 안심하시면 될것 같습니다. 레지스트리에 찌꺼기가 남아있을테지만 kavo.exe나 kxvo.exe란 프로세스가 더이상 뜨지 않는다면 바이러스 제거 완료했다고 보셔도 될거구요.
레지스트리에서도 삭제도 했는데.. 여전히.. 없어지지 않아.
마지막으로 ka* 검색해 보고 있습니다.
제가 아주아주 가끔 쓰는 외장형 하드가 더블 클릭을 하면 바로 안 열리더니.. 그 외장하드도 감염이 되어 있었던게 아닌가 하는 의심이 드네요..
중요한 모든 자료는 다 그 곳에 백업 해 놓았는데..
컴맹이 이상한 바이러스 걸리니.. 일도 안 잡히고 어떻게 해야 할 지도 모르겠어요.
전 정말 상상도 못했습니다 . 바이러스 처음 걸렸거든요
그래서 바이러스라고는 생각지도 못했는데 님 아니었으면 계속 고행
할 뻔 했습니다 감사합니다
바이러스 정보라 제 쪽에서 링크하나 업어가고싶습니다.
혹여 원치 않으시면 말씀해주세요 ^^
근데 kxvo.exe 도 똑같은 종류인가요 ?레지스트 검색에 이게 나왔네요 ㅋ
서용태// 이 바이러스가 사실 표면으로 들어나는 증상은 없습니다. 온라인 게임할때 아이디등 정보를 빼가는 정도라고 하는것 같아요. 그래도 제 경우나 다른 분들은 바이러스 파일이 없어져서 컴퓨터가 찾기에 발견한거라서 어느정도는 운이 좋은거지요.
푸른영혼// 애시당초 이 글은 많은 이에게 도움이 되고자 쓴 글이니 가지고 가셔도 됩니다. 하지만 출처는 밝혀주시면 감사하겠습니다. 날려 쓴 글이기는 해도 남의 사이트에 제 이름이 올라와 있으면 기분이 좋은 지라.. (부끄~)
금님♡// kavo.exe가 ntdelect.com이랑 같이 노는(?) 바이러스고 kvxo.exe가 nldelect.com이랑 도는 변종인것 같네요. 얼마 안되서 또 같은 바이러스가 걸렸다면 아직 바이러스에 감염된 드라이브가 있다는 말인것 같네요. 집에 가지고 계신 USB 드라이브 (외장형 하드 포함) 전부 연결하신후 그 드라이브 루트에 있을 autorun.inf와 nldelect.com 혹은 ntdelect.com 파일을 스스로 삭제해 보세요. 그 후 kavo_killer.exe 프로그램과 찌꺼기 제거를 하시면 될 것 같네요.
좋은 정보 감사합니다~~~
징굴~ // 도움이 되었다니 다행이네요
고마워요 ㅠ.ㅠ// 컴퓨터 AS를 맡겨도 데이터 백업 시켜 달라고 했으면 같은 일이 발생했을 것입니다. 프로그램이 바이러스 파일들을 삭제를 하기 때문에 치료가 된 것입니다. ^^;
컴퓨터 a/s 답변에서도 해결하지 못한것을 해결해 주셨어요...
대단 하십니다...
덕분에.이제한시름덜엇어요-
인터넷도너무느려서,다운받느라혼났어요-
정말감사해요-
빠대// 제 경우는 바이러스 걸린걸 알게 된 경위가 이미 nldelect.com 파일이 어떤 이유로 없어 져서 파일을 찾을 수 없다고 나와서 알았기 때문에 이미 nldelect.com 없어진 경우였고요. kavo가 있을때는 수동으로 n*delect.com이 지워지지 않았다는 말씀인가요? 뭐 그리고 n*delect.com은 바이러스를 만드는 파일인걸로 알고 있습니다. 그렇기에 사실 중요한 것은 kavo를 지우는 것이지요. n*delect.com은 치료 후 더이상 감염을 막기 위해서 삭제하는 것이고요. 어쨌건 도움이 되었다니 다행이네요.
c드라이브 열 때 같은창에서는 뜨는데 제일 중요한 숨김 파일 및 폴더 보기 설정이 안되는건 마찬가지네요;;
그리고 저는 kxva.exe라는 파일도 있었고 왠지 비스므레 지웠어요 ㅜㅜ
그건 그렇고 난 왜안되지 ,, 대체 뭐가 문제야!@~!@!~#!ㅜ$ㅜ퓨ㅜㅇ추
아무래도 이 바이러스의 영향이 아니 었나 보군요;;그리고 제가 치료한 방법은http://kin.naver.com/detail/detail.php?d1id=1&dir_id=106&eid=kr+3lFFaivONAFmrE3aVJBQMpa/nYEeh&qb=bm5kZWxlY3Q= 에서 set4rise이란 분의 방법이었습니다..
원래 kavo_killer라는것도 해당 특정 파일을 강제로 삭제 시키는 프로그램인데 원래는 kavo.exe나 ntdelect.com을 삭제 시켜야 합니다. 하지만 제가 돌렸을때는 kxvo.exe와 nldelect.com도 같이 삭제를 해주더군요. 그런데 아무래도 nndelect.를 생성하는 바이러스는 kavo_killer가 치료를 하지 못하는 듯 하네요.
그게 삭제해야할 바이러스 파일이고요.
시스템 파일은 ntdetect.com이겠죠. 'l'대신 't'입니다.
저도 여기서 치료법을 보고 갔는데 오타를 눈치채지 못했군요.
참, 아쳐님.. c:\documents and settings\username\local settings\tempotary internet files\에 hax.exe 가 kxvo.exe 를 생성하는것 같습니다. 그리고 nndelect.com 에 이어서 codelect.com 까지 생기네요 OTL
푸른영혼// 그런가요? 다행이 제건 그런 파일들이 번지기 전에 치료 했기에.. 게다가 다른 문제 때문에 포맷을 해버려서 더이상 같은 문제가 벌어지지 않네요. 그래서 사실 어떤 파일들이 생성 되는지 실험(?) 더이상 못해보고 있습니다.
며칠 전, D 드라이브가 새창으로 뜨는 게 의아했지만 그냥 넘겼거든요 ..
C 드라이브 클릭하니까 연결프로그램 찾으래서 식겁했습니다 !!
이때 부터 의심이 가서 숨김파일 보기 해봤더니 역시나 ...
와 정말 감사합니다 덕분에 치료 깨끗이 했네요 ^0^
이젠 D 드라이브 C 드라이브 모두 정삭적으로 열리고 숨김파일도 보여요 !!
갑자기... 데스크탑 켜면서 이상한 말이 뜨는데 무시했거든요.
제가 완전 컴맹인지라..
그러더니 외장하드를 전혀 열수가 없더라구요. 연결프로그램을 정하라니..ㅠ.ㅠ
그 안에 들어있는 자료들..... 몇년에 걸쳐 모은건데...어찌하라구...ㅠ.ㅠ
님 덕분에 하라는 대로 했더니 열리네요.. 정말 감사합니다.
사실.. 아직도 어리버리인지라..제대로 되었는지는 모르겠어요.
저 같은 경우는 nndelect 에다가 codelect, xsdelect 까지 있었구요.
(사실..지워도 되는건지 겁이났지만..그냥 지워버렸습니다.ㅍ.ㅍ)
kavo killer 인가..그거 했어도 여전히 system32 안에 kxvo 가 있더라구요.
손으로 지웠어요..
근데 지금 엄청 걱정이... 이렇게 되면 외장하드도 치료된게 맞을까요?
노트북에다가 연결해도 될런지...
사실 바이러스인지 모르고 데스크탑으로 열리질 않길래, 외장하드를 다른 노트북 2개에다가 연결해봤었거든요..
다행인지 노트북은 현재 정상적으로 운영되고 있어요.
다시 노트북에다가 외장하드 연결해야할지.... 아님. 이 외장하드는 어찌 처리해야할지 난감합니다....
미국에 살고 있습니다만 여기까지 퍼졌네요 ㅎㅎ
유용한 정보 감사드려요!!
kavo_killer
msvbvm60.dll
pandakiller
regedit
taskkill
프로그램 5개있고 클릭하니 안되요~~
컴맹이라 프로그램 다운하는데도 힘드네요 ㅋ
그래서 다시 다운받고 압축한번푸니 파일하나 있습니다
그리고 클릭하니 알약으로 바이러스 걸렸다고 나오네요 ..치료 버튼 나와서 누르니 끝나네요 ...알약을 지우고 다시 해봐야겠어요~~
저같은 경험있으신분 참고하세요 ㅎㅎ
저는 autorun.inf만 지우면 해결되는줄알고 지웠는데 다시 생성되더라고요.
다시 알아보니 또 지워야할파일이있더군요
다른님들은 nndelect.com 이나 nldelect.com이신것같은데.
저는 변종인가..? ntdeIect.com 이었네요 e와e사이가 엘 l(L)인줄알았는데
자세히보니 아이i(I)더군요
대문자아이랑 소문자엘과 비슷해서 헷갈렸는데 자세히 쳐다봐서 알게되었네요
혹시 이문제때문에 헤매시는분 참고 하시길 ^^
저는 안전모드로 접속해서 dir / ah 로 확인하면서 지웠습니다
Krizalid// ntdelect.com이면 오리지널인 kavo.exe에 감염이 되었을것 같습니다. kavo.exe의 경우는 위에 프로그램 쓰시면 됩니다.
이것도 같은 바이러스인가요?
뭐 어떤걸 삭제해야 하는건지 모르겠어요 ㅠㅠ
쫌 가르쳐 주세요~~ ㅠㅠ
그럼.. kavo.exe는 어떤경로로 바이러스에 걸린거죠?
이것두 usb바이러스 인가요?
처음에는 copetttt.com 프로그램을 찾을 수 없다
라고 떳는데요...
제가 뭔갈 잘못만졌는지..
D:\ 는 올바른 Win 32 응용 프로그램이 아닙니다로 떠요;;
검색을해서 D드라이브에 있는걸 찾으면 열리긴 열리구요..
왜 그런건가요? ㅠㅠㅠㅠㅠㅠㅠ
아 제발 좀 도와주세요~~ ㅠ
ㅁㄴ// 같은 문제가 더이상 발생하지 않기를..
CCleaner 를 실행했다가 Startup 에 kxva 항목이 있어서 의심되서 검색했더니 이렇게 찾게되네요, 치료기 공유해주셔서 감사합니다~!!!
빨리 회사에 돌려야 겠네요.. -_-;;;
고생하고 포멧도 많이 했는데
이렇게 간단하게 해결해주시다니 감사합니다
정말 고마워요 님같은 분들이 우리같은
양민을 살리는거삼 ㅡㅜ
전 그 nldelect 파일과 관련되 메시지는 없었구요..
분명한건. 어제 오늘 USB(과거에도 한번 이상했던 ㅠ.ㅠ)를 급해서 한번 썼다는 것
그리고 나서 부팅시 ".. 참조할수 없습니다"라는 식의 경고창이 떴었어요..
그리고는 ㅡㅡ; 내 컴퓨터에서 C드라이브, D드라이브 들어가려니깐...
" 연결프로그램을 찾을수 없습니다"라는 메시지가 한두번 뜨더니..
이젠 뜨지도 않네요;; 저 앞이 빈칸이었어요;; 뭔가 어떤 연결프로그램인지;;;
정말 궁금할 정도로 빈칸;; 그리고는 증상이 갑자기 바탕화면의 아이콘들이
싸그리 사라져 버리네요 ㅡㅡ;;
지금 알약으로 검사 중인데.. V3에서는 아무 이상 없었는데;;
트로이 목마 / 해킹툴 영역에 "V.TRJ.VB-atg " 가 위험도 아주높음으로 걸렸고
에드웨어 영역에 "A.TBR.BZ" 라는 위험도 보통이 무언가가 탐지되었네요..
무려 100개 가까운 파일이 감염된 것으로 나오는데요...
autorun.ini 파일도 보이는 걸로 보아하니.. USB 바이러스 같은데..
이건 처음 보시는 건가요???
모두들 KAVO 관련 이야기 하시는데 ㅡㅡ; 전 그런건 안 보이거든요...
system32폴더에 kavo, kxvo 파일등은 안 보이거든요;;
음음 이건 신종인가요??
애드웨어는 별로 걱정 하지 않으셔도 되고 트로이 목마는 위험하기는 하지만 지금 상황과는 별 상관 없는 것으로 보여집니다.
kavo나 kxvo가 보이지 않는다면 정말 신종일 가능성이 있네요.
아래 웹사이트게 가셔서 제일 밑에 보시면 리스트들이 나오는데 그게 kxvo의 다른 이름들입니다. 가서 혹시 그런 이름의 파일들이 system32폴더에 있는지 확인해주세요.
http://www.prevx.com/filenames/X289967154020299796-X1/KXVO.EXE.html
그러니깐 이제 아무 이상없이 잘 되는걸요;;
음흠.. 분명히 USB로 인한 바이러스는 맞는 것 같아요..
autorun.ini 파일들이 C, D 드라이브에 있었고..
그 파일들에 그 트로잔 계열의 바이러스가 있었거든요.. 음음;;
다행히 잘 처리는 하였는데,
그런에 바탕화면에 모든 아이콘이 사라진건.. 처음 한번만 그랬었어요.
그리고 재부팅 이후로는 괜찮았구요..
V3 2007만 믿고 있었던게;; 조금 불찰이었나 봅니다..
지금은 알약과 함께 돌리고 있어요.
사이트 가서 봤는데.. 잘은 모르겠어요 흠;;
현재까진 사용이 잘되고 있어서 안심입니다;; ㅎ
아무튼 감사 합니다 ^^
그리구요 궁금한것이 있는데요..
IO.cmd라는 파일이 자꾸 바이러스라고 카스퍼스키에서 찾아내는데 이것은 또 무엇인가요??
그리고 tavo.exe라는 파일또한 kavo와 동일한 바이러스 인가요??
union1983@nate.com이쪽으로 답변주시면 감사합니다.
그래도 이지클린으로 한번돌려서 기분이 깔끔하네요
감사합니다 ^^*
라윤석//답변 드렸습니다. 메일함 체크해 보세요..
1989alstn//도움이 되었다면 다행이네요..
알약으로 검사-치료는 되는데 다시 되던데요.
혹시 이 usb 다시쓰면 다시 걸리는건가요?
액세스할수 없다고 나오네요
kavo_killer를 실행하면 바로 밑에 바이러스 실시간 감시하는데
(노애드씁니다) 악성코드 치료/차단 했다고 동시에 뜨고...
이 악성코드 입니다. Trojan.Agent.AGGJ
뭘까요...
사용하고 있는 파일이라고 나오는데 켜진 프로그램은 없거든요 ㅠㅠㅠ
어찌된 일일까요
돌아왔어요
5분전만 해도 포맷할라고 생각중이었는데
학교 컴터로 mp3충전후 우리집 꽂은 후에 숨긴 파일이 안보여;;;;
넘 감사해요^^