2008년 04월 24일
アーチャー의 바이러스 퇴치법 - kavo.exe, kxvo.exe 총정리
アーチャー가 이 바이러스를 박멸한게 벌써 대략 한달정도 되고 실험차라도 바이러스를 고의로 감염을 시키고 싶지 않아 기억에서 짜내서 이 글을 써본다. 원래 kavo.exe 치료를 위해 만들어진 kavo_killer가 kxvo를 치료한다는 점이 애시당초 의아하게 생각했지만 치료가 되어 그냥 넘어갔다만 이제는 워낙 변종이 많아 kavo_killer로 치료가 되지 않기에 바이러스 파일들을 수동으로 삭제하는 방법에 대해서 설명하고자 한다.
경고: 본 포스팅은 윈도우 파일을 강제 삭제하는 법을 포함하고 있다. 이 방법을 이용함에 따른 결과에 대한 책임은 스스로의 것이다. アーチャー는 이 방법을 이용함에 따른 결과에 대한 책임을 지지 않는다
동의한 사람만 클릭
이 포스팅은 푸른영혼님의 글과 アーチャー자신의 경험 그리고 그동안의 제보를 바탕으로 쓰여졌다. 다시한번 푸른영혼님께 감사의 말씀을 전한다.
푸른영혼님의 포스팅으로
바이러스의 유래
원래 이 바이러스는 스페인에서 처음 발견이 된 바이러스로 USB나 네트워크 드라이브를 통해서 감염된다. 각 드라이브에 ntdelect.com과 autorun.inf파일을 생성하고 윈도우 시스템 폴더에 kavo.exe와 여러 프로세스 파일들을 생성한다. USB 기기에 상주하고 있는 autorun.inf가 기기가 컴퓨터에 연결이 되면 자동으로 ntdelect.com을 실행하면서 바이러스를 감염시킨다. (참고: Windows XP상에는 ntdetect.com이라는 파일이 있다. 이 파일은 XP인스톨과 동시에 깔리는 파일이므로 바이러스와 혼동하지 마시길) 이 바이러스가 발견되고 얼마 지나지 않아 변종들이 나오면서 kxvo.exe와 nldelect.com으로 짝을 이루는 변종이 곧 발견되었다. 그리고 최근에는 nldelect.com마저 이름을 바꾸며 nndelect.com과 같은 이름으로 바꾸며 계속 퍼지고 있다.
원래 kavo.exe와 ntdelect.com의 경우에는 아래 포스팅에 있는 kavo_killer.exe로 치료가 되었다. 초기 kxvo.exe와 nldelect.com 마저도 kavo_killer로 치료가 되었지만 근래에 이르러는 워낙 이름을 바꾼 변종들이 나와 kavo_killer만으로는 치료를 장담할 수 없게된 실정이다.
바이러스 감염 증상들
여러 상황들을 종합해 보면 이 바이러스에 감염이 되었을시 다음과 같은 증상이 나타난다.
1. 내 컴퓨터에서 드라이브를 더블 클릭하면 새창에서 드라이브가 뜬다.
2. 숨긴 파일 표시가 되지 않는다.
3. IE에서 여러가지 문제가 생긴다.
4. 외국 사이트와 안철수연구소에서 얻은 정보에 의하면 위 바이러스는 온라인 게임 정보(아이디나 비번)을 유출하는것으로 알려져 있다.
바이러스 해결법
카스퍼스키로 바이러스 치료가 가능하다는 정보를 입수하였다. アーチャー의 컴퓨터에 이 바이러스가 감염되었을 당시 어느 백신도 치료는 커녕 발견하지도 못했으나 그건 벌써 몇달전. 현재 アーチャー의 컴퓨터에는 이 바이러스가 없기에 확인 불가. 시도해 보신 분의 피드백을 부탁한다.
수동으로 파일 삭제하기
이 방법은 안전모드에서 시도하기를 권장한다. 별다른 이유는 없지만 안전모드니까.. 그리고 자신이 보유하고 있는 USB기기 (USB에 연결하는 모든 저장소)를 연결하길 권한다. 안전모드에서도 USB기기를 인식하는걸로 안다. 아니라면 안전모드가 아닌 노멀부팅을 한다.
1. 시작->실행을 선택해 실행창을 띄운후 cmd를 입력하여 도스창을 불러오자. cd\를 입력해서 루트로 이동하자.
2. dir /ah를 입력해서 루트에 있는 파일들을 확인하자. 도스 유저라면 알겠지만 dir는 디렉토리에 있는 파일들을 보여주는 명령어, /ah는 숨긴파일을 보여주는 매개 변수다.
3. 바이러스에 감염이 되어있는 컴퓨터라면 autorun.inf와 ntdelect.com, nldelect.com등 delect.com을 포함한 이름을 가진 파일들이 보일것이다. (참고: NTDETECT.COM은 XP에서 쓰는 파일이다. 보인다면 지금부터 삭제를 시작하자.
4. 먼저 자신이 가지고 있는 USB기기를 컴퓨터에 연결한다. 예를 들어 기기가 D:\로 잡힌다면 커맨드 라인에서 d:라고 입력한다.
5. dir /ah를 입력해서 ?delect.com과 autorun.inf가 있음을 확인하자. 주변기기에 exe파일이 있을 확률이 매우 적은 관계상 의심 스러운 이름을 가지고 있다면 삭제하는게 좋다. 하지만 삭제 전에 Google에서 그 파일 이름을 검색을 해보자. 필요한 파일이면 많은 사이트들이 검색이 될것이다.
6. ?delect.com에 여러가지 파일 속성이 설정되어 있을것이다. 강제로 이걸 해제해야 한다. 예를 들어 ntdelect.com에 대한 파일 속성을 해제하고 싶다면 attrib ntdelect.com -s -h -r를 입력하자. -s는 시스템 파일 속성을, -h는 숨긴 파일 속성을, -r는 읽기 전용 파일 속성을 해제한다.
7. 파일을 삭제하도록 하자. 위 예와 같은 ntdelect.com을 삭제한다면 del ntdelect.com을 입력하도록 한다. 만약 읽기 전용때문에 문제가 발생하면 del ntdelect.com /f를 입력해서 읽기 전용 파일을 강제로 삭제하도록 하자.
8. autorun.inf파일도 위와 같은 방법으로 삭제하자
9. 위의 방법을 다른 USB기기를 연결해서 반복하도록 하자. USB기기의 바이러스 제거가 끝이 났다면 이제는 C:\로 돌아가자. (커맨드 라인에서 c:를 입력한다)
10. C 드라이브 루트에 존재하는 ?delect.com과 autorun.inf를 삭제하도록 하자. NTDETECT.COM은 XP 시스템 파일이다. 절대로 삭제하지 말자. 다른 의심스러운 파일도 삭제하자. 5번에서 설명했듯 삭제하기 전에 Google에서 검색을 해보도록 하자. 파일 용도를 설명하는 큰 데이터베이스를 가진 사이트가 요즘에는 많다.
11. cd C:\Windows\system32를 입력해서 시스템 디렉토리로 이동하자. dir /ah를 입력하면 fool?.dll, ieso?.dll과 kavo.exe 혹은 kxvo.exe가 존재할것이다. 위와 같은 방법으로 속성 해제후 삭제하도록 하자.
12. spoclsv.exe도 kxvo와 연관이 있는것 같다는 제보를 받았다. アーチャー의 노트북에는 더이상 kxvo가 감염이 되지 않아 확인이 불가능 하지만 Google 검색을 해보니 위험한 파일로 판명 되었다. kxvo와 연관성을 확인이 되지 않았지만 파일이 컴퓨터에 존재 한다면 삭제하도록 하자 C:\Windows\system32\drivers에 상주한다. 위 파일의 속성을 확인이 불가능하니 삭제를 해보고 속성이 걸려 있다면 위에 언급한 방법으로 속성 해제후 강제 삭제를 하도록 하자.
13. C:\Documents and Settings\사용자이름\Local Settings\Temporary Internet Files폴더에서 hax.exe와 ll.exe를 삭제하도록 하자. 이 두 파일들은 존재하지 않을 수도 있다. 만약 없다고 걱정하지 말자.
14. 이것으로 바이러스 파일의 강제 삭제를 끝이 났다. 하지만 바이러스가 레지스트리에 입력이 되어 있기 때문에 아직 약간의 작업이 더 필요하다.
15. 시작->실행에서 regedit을 입력하자. 레지스트리창이 뜬다. 작업을 시작하기 전에 파일->내보내기를 이용해서 레지스트리를 백업해 놓도록 하자.
16. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run를 찾아 가도록 하자. 이 위치에는 컴퓨터 시작시 자동으로 실행되는 프로그램들이 기록되어 있다. 이곳에서 kxvo나 kavo를 찾아서 마우스 오른쪽 버튼을 이용해서 값을 삭제하도록 하자. 그 후 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser 에 Helper Objects = 윈도우 시스템 폴더\ieso0.dll에 관한 레지스트리를 삭제하도록 하자
17. 임시파일들을 삭제하도록 하자. 익스플로러 아이콘을 오른쪽 버튼으로 클릭 후 속성으로 이동한다. 임시파일들을 삭제할 수 있는 버튼이 있다. 모두 삭제하도록 하자.
일단 바이러스를 시작 프로그램 레지스트리에서 삭제를 하였다. 더 확실하게 제거를 하고 싶으면 kxvo나 kavo값을 수동으로 찾아서 일일이 삭제하거나 이지클린같은 레지스트리 청소 프로그램을 이용해서 삭제 하여도 무방하다. アーチャー는 프로그램을 이용해서 삭제하는걸 권장한다. 아무래도 레지스트리 작업은 정교함을 요구하는 것이라...
마지막으로 수동 삭제 후 아직도 숨긴파일이 표시 되지 않는 경우는 레지스트리 에딧에서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL의 값이 '0'으로 되어 있다면 '1'로 수정해 준다.
혹시라도 자신의 컴퓨터에 특정 바이러스 파일이 없다고 걱정하지 말자. 워낙 변종이 많으니까..
자동으로 치료하기
다시 언급하지만 워낙 kxvo의 변종이 많은 지금 자동으로 치료하는 방법은 권장하지 않는다. 하지만 무슨 이유에서건 시도를 하고 싶은 사람을 위해 예전 포스팅을 링크한다.
예전 포스팅 - アーチャー의 바이러스 퇴치법 - ntdelect.com (혹은 nldelect.com)을 찾을 수 없습니다.
이상으로 대충 kavo바이러스와 변종에 대해서 정리를 해 보았다. kavo로 시작한 이 바이러스는 USB를 이용해서 전파된다는 특징과 셀 수 없이 생기는 변종 덕분에 치료하기가 상당히 힘든 바이러스이다. アーチャー는 안철수 바이러스 연구소에서 kavo 혹은 kxvo를 검색 후 dll파일들의 수동 삭제 (레지스트리 포함)를 권장한다.
아직까지 kxvo에 대한 관심이 높기에 글을 업데이트 했다. 앞으로 또 필요성을 느끼면 이 글을 업데이트 하도록 하겠다. 현재 바이러스 파일들이 컴퓨터에 상주하고 있지 않기에 스크린샷은 무의미 하다고 생각하지만 이해를 돕기 위한 이유등으로 요청이 들어온다면 올리도록 하겠다.
그만 접자
경고: 본 포스팅은 윈도우 파일을 강제 삭제하는 법을 포함하고 있다. 이 방법을 이용함에 따른 결과에 대한 책임은 스스로의 것이다. アーチャー는 이 방법을 이용함에 따른 결과에 대한 책임을 지지 않는다
동의한 사람만 클릭
이 포스팅은 푸른영혼님의 글과 アーチャー자신의 경험 그리고 그동안의 제보를 바탕으로 쓰여졌다. 다시한번 푸른영혼님께 감사의 말씀을 전한다.
푸른영혼님의 포스팅으로
바이러스의 유래
원래 이 바이러스는 스페인에서 처음 발견이 된 바이러스로 USB나 네트워크 드라이브를 통해서 감염된다. 각 드라이브에 ntdelect.com과 autorun.inf파일을 생성하고 윈도우 시스템 폴더에 kavo.exe와 여러 프로세스 파일들을 생성한다. USB 기기에 상주하고 있는 autorun.inf가 기기가 컴퓨터에 연결이 되면 자동으로 ntdelect.com을 실행하면서 바이러스를 감염시킨다. (참고: Windows XP상에는 ntdetect.com이라는 파일이 있다. 이 파일은 XP인스톨과 동시에 깔리는 파일이므로 바이러스와 혼동하지 마시길) 이 바이러스가 발견되고 얼마 지나지 않아 변종들이 나오면서 kxvo.exe와 nldelect.com으로 짝을 이루는 변종이 곧 발견되었다. 그리고 최근에는 nldelect.com마저 이름을 바꾸며 nndelect.com과 같은 이름으로 바꾸며 계속 퍼지고 있다.
원래 kavo.exe와 ntdelect.com의 경우에는 아래 포스팅에 있는 kavo_killer.exe로 치료가 되었다. 초기 kxvo.exe와 nldelect.com 마저도 kavo_killer로 치료가 되었지만 근래에 이르러는 워낙 이름을 바꾼 변종들이 나와 kavo_killer만으로는 치료를 장담할 수 없게된 실정이다.
바이러스 감염 증상들
여러 상황들을 종합해 보면 이 바이러스에 감염이 되었을시 다음과 같은 증상이 나타난다.
1. 내 컴퓨터에서 드라이브를 더블 클릭하면 새창에서 드라이브가 뜬다.
2. 숨긴 파일 표시가 되지 않는다.
3. IE에서 여러가지 문제가 생긴다.
4. 외국 사이트와 안철수연구소에서 얻은 정보에 의하면 위 바이러스는 온라인 게임 정보(아이디나 비번)을 유출하는것으로 알려져 있다.
바이러스 해결법
카스퍼스키로 바이러스 치료가 가능하다는 정보를 입수하였다. アーチャー의 컴퓨터에 이 바이러스가 감염되었을 당시 어느 백신도 치료는 커녕 발견하지도 못했으나 그건 벌써 몇달전. 현재 アーチャー의 컴퓨터에는 이 바이러스가 없기에 확인 불가. 시도해 보신 분의 피드백을 부탁한다.
수동으로 파일 삭제하기
이 방법은 안전모드에서 시도하기를 권장한다. 별다른 이유는 없지만 안전모드니까.. 그리고 자신이 보유하고 있는 USB기기 (USB에 연결하는 모든 저장소)를 연결하길 권한다. 안전모드에서도 USB기기를 인식하는걸로 안다. 아니라면 안전모드가 아닌 노멀부팅을 한다.
1. 시작->실행을 선택해 실행창을 띄운후 cmd를 입력하여 도스창을 불러오자. cd\를 입력해서 루트로 이동하자.
2. dir /ah를 입력해서 루트에 있는 파일들을 확인하자. 도스 유저라면 알겠지만 dir는 디렉토리에 있는 파일들을 보여주는 명령어, /ah는 숨긴파일을 보여주는 매개 변수다.
3. 바이러스에 감염이 되어있는 컴퓨터라면 autorun.inf와 ntdelect.com, nldelect.com등 delect.com을 포함한 이름을 가진 파일들이 보일것이다. (참고: NTDETECT.COM은 XP에서 쓰는 파일이다. 보인다면 지금부터 삭제를 시작하자.
4. 먼저 자신이 가지고 있는 USB기기를 컴퓨터에 연결한다. 예를 들어 기기가 D:\로 잡힌다면 커맨드 라인에서 d:라고 입력한다.
5. dir /ah를 입력해서 ?delect.com과 autorun.inf가 있음을 확인하자. 주변기기에 exe파일이 있을 확률이 매우 적은 관계상 의심 스러운 이름을 가지고 있다면 삭제하는게 좋다. 하지만 삭제 전에 Google에서 그 파일 이름을 검색을 해보자. 필요한 파일이면 많은 사이트들이 검색이 될것이다.
6. ?delect.com에 여러가지 파일 속성이 설정되어 있을것이다. 강제로 이걸 해제해야 한다. 예를 들어 ntdelect.com에 대한 파일 속성을 해제하고 싶다면 attrib ntdelect.com -s -h -r를 입력하자. -s는 시스템 파일 속성을, -h는 숨긴 파일 속성을, -r는 읽기 전용 파일 속성을 해제한다.
7. 파일을 삭제하도록 하자. 위 예와 같은 ntdelect.com을 삭제한다면 del ntdelect.com을 입력하도록 한다. 만약 읽기 전용때문에 문제가 발생하면 del ntdelect.com /f를 입력해서 읽기 전용 파일을 강제로 삭제하도록 하자.
8. autorun.inf파일도 위와 같은 방법으로 삭제하자
9. 위의 방법을 다른 USB기기를 연결해서 반복하도록 하자. USB기기의 바이러스 제거가 끝이 났다면 이제는 C:\로 돌아가자. (커맨드 라인에서 c:를 입력한다)
10. C 드라이브 루트에 존재하는 ?delect.com과 autorun.inf를 삭제하도록 하자. NTDETECT.COM은 XP 시스템 파일이다. 절대로 삭제하지 말자. 다른 의심스러운 파일도 삭제하자. 5번에서 설명했듯 삭제하기 전에 Google에서 검색을 해보도록 하자. 파일 용도를 설명하는 큰 데이터베이스를 가진 사이트가 요즘에는 많다.
11. cd C:\Windows\system32를 입력해서 시스템 디렉토리로 이동하자. dir /ah를 입력하면 fool?.dll, ieso?.dll과 kavo.exe 혹은 kxvo.exe가 존재할것이다. 위와 같은 방법으로 속성 해제후 삭제하도록 하자.
12. spoclsv.exe도 kxvo와 연관이 있는것 같다는 제보를 받았다. アーチャー의 노트북에는 더이상 kxvo가 감염이 되지 않아 확인이 불가능 하지만 Google 검색을 해보니 위험한 파일로 판명 되었다. kxvo와 연관성을 확인이 되지 않았지만 파일이 컴퓨터에 존재 한다면 삭제하도록 하자 C:\Windows\system32\drivers에 상주한다. 위 파일의 속성을 확인이 불가능하니 삭제를 해보고 속성이 걸려 있다면 위에 언급한 방법으로 속성 해제후 강제 삭제를 하도록 하자.
13. C:\Documents and Settings\사용자이름\Local Settings\Temporary Internet Files폴더에서 hax.exe와 ll.exe를 삭제하도록 하자. 이 두 파일들은 존재하지 않을 수도 있다. 만약 없다고 걱정하지 말자.
14. 이것으로 바이러스 파일의 강제 삭제를 끝이 났다. 하지만 바이러스가 레지스트리에 입력이 되어 있기 때문에 아직 약간의 작업이 더 필요하다.
15. 시작->실행에서 regedit을 입력하자. 레지스트리창이 뜬다. 작업을 시작하기 전에 파일->내보내기를 이용해서 레지스트리를 백업해 놓도록 하자.
16. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run를 찾아 가도록 하자. 이 위치에는 컴퓨터 시작시 자동으로 실행되는 프로그램들이 기록되어 있다. 이곳에서 kxvo나 kavo를 찾아서 마우스 오른쪽 버튼을 이용해서 값을 삭제하도록 하자. 그 후 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser 에 Helper Objects = 윈도우 시스템 폴더\ieso0.dll에 관한 레지스트리를 삭제하도록 하자
17. 임시파일들을 삭제하도록 하자. 익스플로러 아이콘을 오른쪽 버튼으로 클릭 후 속성으로 이동한다. 임시파일들을 삭제할 수 있는 버튼이 있다. 모두 삭제하도록 하자.
일단 바이러스를 시작 프로그램 레지스트리에서 삭제를 하였다. 더 확실하게 제거를 하고 싶으면 kxvo나 kavo값을 수동으로 찾아서 일일이 삭제하거나 이지클린같은 레지스트리 청소 프로그램을 이용해서 삭제 하여도 무방하다. アーチャー는 프로그램을 이용해서 삭제하는걸 권장한다. 아무래도 레지스트리 작업은 정교함을 요구하는 것이라...
마지막으로 수동 삭제 후 아직도 숨긴파일이 표시 되지 않는 경우는 레지스트리 에딧에서 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL의 값이 '0'으로 되어 있다면 '1'로 수정해 준다.
혹시라도 자신의 컴퓨터에 특정 바이러스 파일이 없다고 걱정하지 말자. 워낙 변종이 많으니까..
자동으로 치료하기
다시 언급하지만 워낙 kxvo의 변종이 많은 지금 자동으로 치료하는 방법은 권장하지 않는다. 하지만 무슨 이유에서건 시도를 하고 싶은 사람을 위해 예전 포스팅을 링크한다.
예전 포스팅 - アーチャー의 바이러스 퇴치법 - ntdelect.com (혹은 nldelect.com)을 찾을 수 없습니다.
이상으로 대충 kavo바이러스와 변종에 대해서 정리를 해 보았다. kavo로 시작한 이 바이러스는 USB를 이용해서 전파된다는 특징과 셀 수 없이 생기는 변종 덕분에 치료하기가 상당히 힘든 바이러스이다. アーチャー는 안철수 바이러스 연구소에서 kavo 혹은 kxvo를 검색 후 dll파일들의 수동 삭제 (레지스트리 포함)를 권장한다.
아직까지 kxvo에 대한 관심이 높기에 글을 업데이트 했다. 앞으로 또 필요성을 느끼면 이 글을 업데이트 하도록 하겠다. 현재 바이러스 파일들이 컴퓨터에 상주하고 있지 않기에 스크린샷은 무의미 하다고 생각하지만 이해를 돕기 위한 이유등으로 요청이 들어온다면 올리도록 하겠다.
그만 접자
# by | 2008/04/24 21:20 | kavo 관련 | 트랙백(1) | 핑백(1) | 덧글(15)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
제목 : 힐링포션의 느낌
방학 전에 학교 컴퓨터에서 USB메모리를 몇 번 썼더니 집 컴퓨터가 kxvo바이러스에 걸렸습니다. 문제의 USB메모리는 물론이고 디카, mp3p, 심지어 전자사전도 무사하지 못하겠군요....more
... 프로그램 퍼가실때 출처 부탁드립니다. 제가 만든 프로그램이 아니지만 그래도 제가 '발견'한건데 출처 없이 인터넷서 도는거 보면 씁쓸하네요. アーチャー의 바이러스 퇴치법 - kavo.exe, kxvo.exe 총정리 집에 있는 데스크탑(무지 낡은 펜티엄 3)에 있는 윈도우가 XX라서 SP2도 받지 못하고 있었고 노트북이 생긴 몇년전 부 ... more
참, 그리고 제쪽의 <III - kxvo.exe 이건 왜 생성되냐?>포스트를 보시면 3w.microsofthg.com/fer/hax.exe 의 주소로 바이러스 감염이 가능합니다. 여건이 되는대로 저도 피드백 드리겠습니다.
내부외부명령,실행할수없는프로그램,배치파일이라면서안대는데ㅠㅠ
그래서그냥 c: 여기서 속성해제하고 삭제하는데 몇개는되는데
autorun.inf 지워도 다시생겨요 ㅠㅠ어떻게해야되여?
좋은 정보 알려주셔서 감사합니다.
%systemroot%\system32\drivers에 위치해있으며
SHR 속성을 지니고 있으며
시작시에 자동으로 실행되며
attrib로 바꿔도 이녀석이 실행되어있으면
무용지물이죠;
속성도 다시 설정되고 파일도 다시 생기며
뻘짓을 하게 만든거죠;
많은 변종들이 있는것으로 보아
spoclsv.exe 도 변종인듯;
근데 오늘 또 걸려 가슴이 내려앉는 줄 알았어요. 그 때와는 조금은 다른 바이러스인 것 같은데, 방법을 찾다가 찾다가 여기까지 오게되었습니다. 그리고 고쳤습니다. ^^
그리고 제 증상은 조금 다른 것인데, C드라이브나 D드라이브를 클릭하였을 때 새창에서 뜨는 것이 아니라 아예 들어가지지 않고 연결프로그램이 뜹니다. 그러나 kavo 킬러로 해결된 걸로 보아, 이것도 관련된 증상인 것 같습니다.
그리고 이미 이 방법을 하기 전에, 카스퍼스키를 최신 업데이트하여, 돌려보았지만 못잡더군요. 카스퍼스키는 안되는 것 같습니다.
그리고 도스에서 autorun.inf 파일 이외의 ?delect.com 이 파일은 제 컴퓨터에서 발견 되지 않았습니다. kavo.exe 또한 system32에서 발견되지 않았는데, 가만히 생각해보니깐 카스퍼스키를 실행한 후라서 그런 것 같기도 합니다. 하지만 카스퍼스키가 뭔가를 많이 삭제를 했지만, 증상 해결은 되지 않았고, 여기와서 킬러를 실행하니깐 증상이 해결되었네요.
금승환제갈길// 아마 관련 파일을 삭제를 해서 연결 프로그램이 뜰것입니다. 저희 집에 컴퓨터 2대가 걸렸었는데 한대는 어떤 이유로 삭제가 되어 있었어서 연결프로그램 창이 떴거든요. 제 컴퓨터가 이 바이러스에 걸렸을 당시에는 여러 유명 백신들이 치료는 커녕 검색도 되지 않았었는데 지금은 어떤지 잘 모르겠습니다.
재부팅하면 치료된다고 표시된적도 있지만 역시 치료 안됩니다. 하지만 다른 백신들은 찾지도 못하는거에 비하면 훨 나은편이죠.. 수동으로 치료하는게최인듯.
6qe.com h2.com 8u.com의 파일들과 같이 autorun.inf파일들도 생생되더군요.
8번을 보시면 autorun.inf도 삭제하라고 쓰여 있습니다.