다음의 악성코드에 감염되면 재부팅시 정상적으로 부팅이 되지 않습니다.
1. 악성코드에 감염되면 다음과 같은 경로에 파일을 생성합니다.
(윈도우 폴더)\(랜덤한 네임).dat (Trojan.Win32.Delf.18432)
2. 다음의 악성코드를 드라이버 관련 레지스트리에 생성합니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="(시스템 폴더)\..\(랜덤한 네임).dat 0yAAAAAAAA"
3. 재부팅시 정상적으로 부팅이 되지 않습니다.
<수동조치방법>
1. 정상 시스템에 감염된 시스템의 하드를 Slave 로 연결 후 부팅합니다.
2. 레지스트리 편집기(시작→실행→regedit)를 실행합니다.
3. HKEY_LOCAL_MACHINE 선택하고 하이브 로드(파일→하이브 로드)를 합니다.
4. 감염된 하드의 WINDOWS\system32\config 에서 software 파일을 선택하고 열기를 클릭합니다.
5. 키 이름에 임의의 키를 입력합니다.
6. HKEY_LOCAL_MACHINE\키 이름\Microsoft\Windows NT\CurrentVersion\Driver32 경로에서 midi9 값을 삭제합니다.
7. 하이브 로드시 입력한 임의의 키(HKEY_LOCAL_MACHINE\키 이름)를 선택한 후 하이브 언로드(파일→하이브 언로드)를 합니다.
8. Slave로 연결된 하드를 감염된 시스템에 연결하고 부팅한 후 바이로봇 최신버전으로 진단 및 치료합니다.
출처 : 하우리
댓글