본문 바로가기
Knowhow/PC

IEHlprObj.IEHlprObj / Trojan-ExploitW32.Agent.32807012 제거

프랭크리 2011. 5. 29. 13:26


1주일전에 감염 되서 감염된사실을 4일후에 감염여부를 알고 4일만에 제거할 수 있었음. 총 8일걸림

백신을 사용중에 있었으나 백신이 정확히 치료를 하지 못함
수작업으로 삭제하였으나 계속 재 감염됨 2중구조의 바이러스 라서 두개다 삭제하지 않으면 재감염됨

두개 프로세스로 구동
1차 : netsvcs_00 서비스에 의한 재감염 이후 netsvcs_01 서비스로 변경됨 ( Trojan-ExploitW32.Agent.32807012  로 진단됨)
2차 : IEHlprObj.IEHlprObj 에 의한 재감염 ( 여러가지 명칭으로 진단됨 )


제거방법 : 

A. 파일

생성화일의 유무를 판단하기 위하여 temp 디렉토리 전체 삭제... 시스템 파일일경우 삭제 안되는 경우 있음

C~~~~~~~~~~.dll 화일의 이름변경
temp 디렉토리 보안속성 을 모두 거부 (사용자 모두)
재부팅 하고 나면 Temp 디렉토리에 파일기록이 되지 않기때문에 재감염 불가

B. 서비스

netsvcs_00 서비스 중지 및 시작유형 사용안함으로 변경

C. 레지스트리

관련된 키 삭제



1. 파일

windows 디렉토리
서비스 관련파일 

MicrosoftManagementConsole000000000000000000_1.dll


temp 디렉토리
서비스 관련파일 

MicrosoftManagementConsole334.tmp                              file size  31,148KB


IEHlprObj.IEHlprObj 관련 파일

109203_res.tmp    앞에 숫자는 변경됨
C0001d07d0e60a80f7010.dll  앞에 숫자는 변경됨                   file size  62,833KB
C0001d07d0e60a80f7020.dll  앞에 숫자는 변경됨                   file size  62,649KB


2. 서비스

netsvcs_00
netsvcs_01
서비스 명칭뒤가 하나씩 늘어남


3. 레지스트리

서비스삭제키

서비스명으로 레지스트리 검색후 삭제
삭제 안될시 권한 조정후 삭제
Key 삭제 불가시 내용 하나씩 삭제
예 )
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETSVCS_01]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETSVCS_01\0000]
"Service"="netsvcs_01"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="netsvcs_01"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01]
"Type"=dword:00000120
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="netsvcs_01"
"ObjectName"="LocalSystem"
"Description"="Manages the user-mode driver host processes."
"InstallModule"="C:\\WINDOWS\\system32\\svchost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,4d,00,61,00,\
  6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,74,00,43,00,6f,00,6e,00,73,00,6f,\
  00,6c,00,65,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,\
  30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,5f,00,31,00,2e,00,64,00,6c,\
  00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Enum]
"0"="Root\\LEGACY_NETSVCS_01\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 IEHlprObj.IEHlprObj  삭제키

Class ID 는 감염이 발견됬다고 판단시 수시로 변경됨 따라서
IEHlprObj.IEHlprObj 의 오브젝트를 파악후
Class ID 기준으로 삭제

아래 화일같이 .reg 화일을 구성후 병합시키면 빠름  (재감염에 의한 삭제가 빈번했음 )

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

감염 테스트중 만들었던 batch 파일   (필자는 TEMP 디렉토리가 Z:\TEMP 임 : 보통 C:\windows\temp )
레지스트리 의 내용은 Class키가 변경될것임

bad.bat

z:
cd \
attrib -h Z:\temp\*.dll
move Z:\temp\c*.dll Z:\bad
attrib -h Z:\temp\*_res.tmp
copy Z:\temp\*_res.tmp Z:\bad
regedit /s bad.reg
explorer Z:\Temp

bad.reg 

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

저작자표시

'Knowhow > PC' 카테고리의 다른 글

dns 서버 리스트  (0) 2011.11.19
최강 무료 백신 AVAST 설치방법  (0) 2011.07.19
노트북에 myLG070 인터넷전화기 연결하기  (4) 2010.01.06
통신요금 제대로 알고 씁시다(070인터넷전화에 관하여)  (1) 2010.01.06
PC 사용중 한글키를 눌러도 한글이 입력이 되지 않을때  (0) 2009.10.05

'Knowhow/PC' Related Articles

티스토리툴바