본문 바로가기

조치 가이드

Total Security 조치 가이드

1. 개 요
 최근 새롭게 변형되어 등장한 허위 안티 바이러스(AV) 프로그램인 Total Security에 대한 피해사례가 다수 보고되어 조치가이드를 작성하게 되었습니다.

2. 주요 증상
1) 바탕화면이 아래와 같이 바뀝니다.


2) 아래의 그림과 같은 “Total Security” 라는 허위 안티바이러스(AV) 프로그램이 실행 됩니다.

3)  증상 발생 시 조치방법
 먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

 

Ice Sword 프로그램을 실행 후 [Process] 메뉴로 가서 [숫자8자리.exe] 프로세스를 찾은 후 아래 그림처럼 마우스 오른 클릭 후 [Terminate Process]를 선택합니다.
 


이제 Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로 이동합니다.
C:\Documents and Settings\All Users\Application Data

해당 경로로 이동을 하면 [숫자8자리] 이름으로 된 폴더가 있습니다. 해당 폴더를 역시 마우스 오른클릭 후 [Force Delete]를 누릅니다. (만약 다수 존재한다면 모두 삭제 하시기 바랍니다.)
 

그리고 시스템을 재부팅을 합니다.



* 내용 추가
만약 Ice Sword가 실행이 되지 않는다면 아래 다른 프로그램으로 실행 후 조치를 해보시기 바랍니다.

1) gmer.zip을 다운로드 하여 압축을 해제합니다.
[gmer툴 다운로드(클릭)]

2) gmer.exe를 실행합니다.
3) '>>>>' 탭을 클릭하면 추가 메뉴가 나타나며 여기서 'Files' 탭을 클릭하여 아래 경로의 폴더로 이동하여 파일을 찾습니다.

[의심 파일 경로]
C:\Documents and Settings\All Users\Application Data\숫자8자리\숫자8자리.exe

4) 그리고 해당 파일을 선택하여 'Delete' 클릭하여 파일을 삭제 합니다.

5) 시스템을 재부팅 한 후 증상을 확인 합니다.


  • 이전 댓글 더보기
  • Decenton 2011.02.16 16:14 댓글주소 수정/삭제 댓글쓰기

    gmer.exe파일을 사용하여 안전모드에서 제거했습니다.
    8자리 숫자 폴더가 안보이는 분들은 뭔가 바이러스 삘이나는 폴더를 제거하시면 됩니다.
    저는 그렇게 치료했습니다.

  • 지나가는 과객 2011.02.21 14:15 댓글주소 수정/삭제 댓글쓰기

    자세한 순서
    1. 무조건 안전모드 (F8)연타... 네트워킹 가능 모드로 부팅
    2. 윈도 탐색기로 C:\Documents and Settings\All Users\Application Data 폴더로 가서
    바이러스 걸린 시간에 생성된 폴더를 (중요) 찾는다. 이것으로 이 폴더가 바이러스 파일이라는 걸 대번에 알수 있고, 더 응용하면 검색 기능으로 바이러스 걸린 시간에 생성된 폴더를 모두 찾아본다.
    모르는 이상한 폴더명이면 무조건 바이러스이고 그 안에는 폴더와 같은 실행파일과 또 하나의 파일이 있다
    이 조건이 맞으면 무조건 바이러스
    2. icdsword는 윈도 사용자에 따라 잘 안되고 복잡하므로 gmer.exe를 다운 받아서 iexplore.exe 로 파일명을 변경하여 실행
    4. 2번에서 찾아낸 폴더로 이동해서 실행화일들만 지워준다.
    5. 정상 재부팅 한 다음에 나머지 폴더들도 지워주면 땡!!!

  • 지나가는 과객 2011.02.21 14:21 댓글주소 수정/삭제 댓글쓰기

    윗 글에 추가
    6. 시작 -> 실행 -> 박스에 regedit 라고 치고
    맨 위로 올려서 내 컴퓨터.. 를 클릭한다음 Ctrl+F로 검색창 열고
    아까 지운 파일명 혹은 폴더명 (.exe는 안쳐도 되고 이름만)을 쳐서 검색해서
    우측창에 있는 검색된 부분에 우클릭한 후 삭제해주면 됨. 안해도 되지만 확실하게 팍팍

  • ㅜㅜ제발빨리좀여 2011.02.28 16:50 댓글주소 수정/삭제 댓글쓰기

    다운을 해도 압축을 풀수가 없습니다 시스템툴이 다 막아서요 그리고
    시스템툴아이콘도 없어서 이걸 어떻게 해야 되나요...

  • 급해요 ㅠㅠ 2011.03.02 17:15 댓글주소 수정/삭제 댓글쓰기

    직접 들어갔더니 숫자랑 영어섞인 바이러스 걸린 시간에 생성된 그 폴더가 보여서 그냥 del + shift 로
    삭제했는데 일단은 재부팅하니까 그 화면은 없어졌는데
    괜찮은건가요 ? 아니면 뭘 더해야하나요 ? ㅠㅠ
    혹시나해서요 - 그냥 del 로 지워도 괜찮은건지.

  • 급해요! 2011.03.05 20:34 댓글주소 수정/삭제 댓글쓰기

    다운로드를 받아서 계속 열기를 해도 아얘 열리지가 않아요!!
    저장하기전에 열기도 눌러봤는데 뜨지를 않네요,..
    어떡해야돼죠?

  • 아;; 2011.03.07 16:22 댓글주소 수정/삭제 댓글쓰기

    이거 진짜 미치겠습니다. 아예 시스템툴이 이걸 막아버렸습니다/..

  • 치료방법 2011.03.08 16:09 댓글주소 수정/삭제 댓글쓰기

    2011년 3월 8일 해결방법입니다.


    아~ 드디어 해결했습니다 ㅠ.ㅠ 거지같은 system tool

    우선 방법은 이렇습니다 재부팅 안전모드 부팅해서 시스템 복원하는 방법입니다.

    재부팅하여 안전모드 프롬프트 들어가는 방법은 아톰보트님의 블러그에서 배웠습니다.

    컴퓨터 재부팅후 F8을 안전모드 창이 뜰때까지 그냥 한번식 눌러줍니다 ^^

    그런 다음 아래 아톰보트님 방법으로 시스템복원 들어가서 SYSTEM TOOL 깔기 이전날짜로

    복원하면 해결됩니다 ^^ 저같은 경우는 자동복원저장기능으로 2틀전 저장되어있어서

    해결되었지만.. 저장안되신분들은.. 지못미.. ㅠ.ㅠ


    아래 링크는 아톰보트님의 블러그 안전모드에서부터 시스템복원 실행방법입니다 ^^

    http://blog.naver.com/khs18jjang?Redirect=Log&logNo=102666463

  • 짜증대박 2011.03.09 03:42 댓글주소 수정/삭제 댓글쓰기

    4. 제어판 - 폴더 옵션(범주 말고 아이콘으로 해야 쉽게 찾습니다)에서 보기 - 숨김 파일 및 폴더 - 모두 보기로 설정을 바꿉니다.
    5. C:\ProgramData 에 바이러스 감염된 날짜에 설치 된 모든 폴더를 삭제 합니다.
    6. 재부팅... 아마도 해결이 됐을 겁니다.

    프로그램이 설치 되어 있는 폴더 명은 수시로 바꿀 것으로 생각이 됩니다.
    일단 레지스트리만 막아 놓으면 프로그램 실행이 안 되기 때문에, 재부팅 후 고급 옵션으로 검색을 하여서 찾아서 지우시면 됩니다.

    하여간 저런 강아지만도 못한 사기꾼들은 곧 천벌 받을 겁니다.

  • 짜증대박 2011.03.09 03:43 댓글주소 수정/삭제 댓글쓰기

    한 시간 반의 사투 끝에 드디어 처리를 한 건지 안 한건지 모르겟는 데, 하여튼 두번 재부팅 결과는 아무것도 안 나오네요. 저는 윈도우7 쓰고 있구요, 다들 증상은 아시겠지요.
    제가 치료한 순서입니다.

    (저처럼 컴퓨터 왕초보를 위해 차근차근 설명할께요)

    1. 일단 프로그램명을 확인해야 하는 데 숫자 8자리는 아니었고, 영어와 숫자 혼합으로 되어 있었습니다.
    그 ^^같은 프로그램 창을 활성화 시킨 후 아래쪽 작업 표시줄을 오른쪽 클릭하면 파일명을 확인 할 수 있습니다.
    2. 안전모드로 실행 시킨후 레지스트리 편집기를 실행시킵니다. 윈도우 키 또는 윈도우 버튼을 누른 후 '프로그램 및 파일 검색'에 'regedit'를 입력하여 실행시킵니다.
    3. 레지스트리 편집기에서 'ctrl + F'로 검색창을 띄운 후 파일명을 입력하고 의심되는 키값을 모두 삭제합니다.

  • 이호현 2011.03.14 18:48 댓글주소 수정/삭제 댓글쓰기

    이름 바 꾸고 실행시켯는대 안뜨내요 어떻게해요? 빠른답변좀부탁드려요 20분안에하면좋을것닽내요..

  • 이호현 2011.03.14 18:48 댓글주소 수정/삭제 댓글쓰기

    이름 바 꾸고 실행시켯는대 안뜨내요 어떻게해요? 빠른답변좀부탁드려요 20분안에하면좋을것닽내요..

  • 압축파일을 클릭을 하면 실행이 안됩니다. 그래서 그밑에 보충으로 설명돼있는 Egmer툴 다운로드를 눌러도 실행이 안돼네요 ;; 실행이 돼야 할텐데 실행이 안돼니 ㄷㄷ

  • 김미희 2011.03.19 21:21 댓글주소 수정/삭제 댓글쓰기

    두개다 페이지가 안열리고 Warnign만 계속떠요ㅠㅠㅠㅠㅠ
    어떻해야되요ㅠㅠ

  • Syestem Tool 2011.03.20 19:08 댓글주소 수정/삭제 댓글쓰기

    위에 김미희 님처럼 실행은 안되고 Warning이라고 계속떠서 봤더니.
    “Total Security” 이 아니라 > “Syestem Tool”이더라고요.

    다른건가요? 다르면 어떻게 치료하는거에요? ㅠㅠ

  • 덕분에. 2011.03.21 01:31 댓글주소 수정/삭제 댓글쓰기

    위에 댓글중에 지나가던 과객님 덕분에 고치게되었어요.
    네트워킹모드로 들어가는게 제일 쉽고 빠름 ㅇㅇㅇㅇ
    그렇게 고쳐보세요^.^
    전 트롬프트 모드로 들어가도안된 케이스거든용..

  • 음.. 2011.03.25 17:44 댓글주소 수정/삭제 댓글쓰기

    안전모드로 조차 들어가 지지 않습니다..어떻게 해야 될까요?정말 막막 하네요;;

  • 패닉 2011.04.01 18:37 댓글주소 수정/삭제 댓글쓰기

    Vista Total security 2011에 걸렸습니다. 윈도우 비스타 쓰고 있습니다.
    증상은 피싱프로그램이 떠서 결제를 유도합니다. 근데 전 파란 화면은 안뜹니다.

    일단 Icesword 는 initialize failed[1] 떠서 실행도 안되구요. 관리자권한실행, com으로바꾸기도했습니다.

    gmer은 실행은 됐는데 document에서 하위폴더를 누르면 아무것도 안뜹니다. 이것때문에 환장하겠네요.
    윈탐색기에서는 저 폴더에 들어가지는데, gmer에서 확인하면 + 를 눌ㄹ 펼치려고해도 아무것도 안뜹니다.

    방법을 못찾겠네요. 근데 아무래도 clunet 이라는 폴더가 programdata 폴더에 있는데 이걸까요?
    지워도 다시 살아나는데.... 아 정말 답답하네요 이거 ㅠㅠ

  • 패닉 2011.04.02 16:24 댓글주소 수정/삭제 댓글쓰기

    결국 superantispyware 로 지워졌네요. 쉽게 지워질지 모르고 여기저기 뒤져본거였는데.

    일단 살았습니다 .ㅜㅜ

  • 인간 2011.04.30 15:48 댓글주소 수정/삭제 댓글쓰기

    최근 또 달라진듯 한데요
    exe파일 실행이 안 되기 때문에 안전모드에서만 애드웨어 치료 프로그램 실행이 가능한데
    친구 원격조작중이라 어떻게 어떻게 해결법 찾았습니다

    작업 관리자에서 그 바이러스 프로그램을 오른쪽클릭
    (없으면 시계 옆 아이콘 더블클릭해서 키시면 됩니다)
    그리고 프로세스로 이동 누르시면 프로세스가 하나 나옵니다

    이걸 gmer을 이름 explorer로 바꿔주시고 실행하신다음 >>> 누르시고
    Process 탭에서 자세히 보시면 아까 그 프로세스가 나옵니다. 경로가요
    그 경로를 잘 보시고 옆에 files 누르신다음 적힌 경로로 들어가면 바이러스파일이 있습니다
    Delete로 삭제해주시고 Kill Process로 아까 경로 적혀있던 프로세스 죽여주시면 됩니다

    그리고 재부팅하시면 해결됩니다.
    저같은 경우는 프로세스 이름이 8자리 숫자도, 영문자 숫자조합도 아닌

    "gbo.exe" 였습니다
    해결되셨으면 좋겠네요

    • 음... 2011.05.02 15:50 댓글주소 수정/삭제

      이 악성코드는 수많은 변종을 만들어내고 있습니다. 제작자들에게서 만들어지는 변종은 물론 백신 프로그램에서 진단을 하지 못하는 형태로 만들어내고요. ^^; 도둑질 하기보다 도둑 잡는게 더 어려운 것처럼 변형된 형태들을 효과적으로 탐지하는 것이 점점 어려워지는 것 같습니다..