알약으로 치료해 보세요!
증상 :
인터넷 익스플로러 제목표시줄에 늘 이 문구가 따라 다닙니다.
TTMS NAA NA DIR! DON'T WORRY I'M NOT A CORRUPT LIKE YOU!
시작-실행에 'regedit'를 입력하면 이런 메세지를 띄웁니다.
(내가 시스템 관리자인데, 도대체 넌 누구냐?)
특성 :
이건 일명 TTMS 바이러스라고 부르는 VBS스크립트웜인데요,
이동식 디스크로 전파되는 특성이 있습니다.
정상 autorun.inf 파일을 변형시켜서
이동식 디스크 뿐만 아니라,
USB이동식 디스크를 꽂은 PC의 C, D드라이브 등으로 전파시키죠.
이렇게 autorun.inf가 변형된 PC에 다른 이동식 디스크를 꽂으면,
그 이동식 디스크가 또 TTMS 바이러스에 걸리는 거죠.
악순환입니다. ㅠㅠ
치료 방법 :
보통 알약으로 모든 디스크 드라이브를 체크한 후 정밀검사를 하면 치료됩니다.
만약, 그래도 혹시 계속 안 없어진다면?
변종이라서 그럴 수 있답니다. 아래 방법대로 치료해 보세요.
숙주 파일을 제거해 봅시다!
TTMS 바이러스를 수동으로 치료하는 순서!
첫번째, 프로세스에서 모든 wscript.exe 끝내기
작업표시줄 오른쪽 아래로 마우스를 가져갑니다. (보통 모니터 오른쪽 아래)
여기 시간 부분에서 마우스 오른쪽 클릭하고
메뉴에서 [작업 관리자]를 선택합니다.
Windows 작업 관리자가 나오면,
[프로세스] 탭을 누르시고,
wscript.exe 를 찾습니다.
이 항목에서 마우스 오른쪽 버튼을 클릭합니다.
프로세스 트리 끝내기(T)눌러 주시고,
안내 메시지창에서 [예] 클릭합니다.
프로세스 항목에서 wscript.exe 항목이 하나도 안 보일 때까지
모두 찾아서 이와 같이 종료해 주셔야 해요.
두번째, 각 하드 디스크 드라이브, 이동식 디스크 드라이브에서 autorun.inf 와 TTMS 삭제하기
윈도우에서 [시작] - [실행] 을 선택합니다. ( 윈도우키 + R 을 눌러도 되구요. )
cmd 입력 후 엔터를 눌러 명령프롬프트창이 펼쳐지는 것을 확인합니다.
자, C드라이브부터 점검합시다.
명령프롬프트창에서 cd\ 입력하고 엔터하여 C:\> 로 이동합니다.
변종 파일 속성을 확인하기 위해 attrib 입력 후 엔터를 누르면,
아래와 같이 속성과 변종된 autorun, TTMS 파일을 확인할 수 있습니다.
내 컴퓨터 아이콘을 더블클릭하고, 각 로컬 디스크를 열 때는,
절대 더블 클릭하지 마시고, 마우스 오른쪽 버튼을 클릭하여 [열기]를 선택해 주셔야 해요.
명령프롬프트창에서 attrib -s -h -r 입력 후 엔터를 누릅니다. (변종 파일 속성을 모두 해제)
해제한 후에는 C 드라이브 목록에 다음과 같이 변종 파일이 나타납니다.
확인되는 autorun파일과 TTMS 파일 모두 선택하여 Delete 키를 눌러 제거합니다.
( 알약을 사용하시는 다른 분들을 위해 이런 녀석들은 다른 폴더에 이동해 두고,
나중에 압축해서 알약 [신고하기]로 전송해 주셔도 좋겠습니다. )
다시 명령프롬프트 창에서 attrib 를 입력해 보고
autorun 과 TTMS(vbs로 끝나는 항목) 이 있는지 봅니다.
TTMS라고 써 있는 항목이 또 생겼네요.
삭제합니다.
삭제 후 다시 명령프롬프트 창에서 attrib 를 입력해 보고
autorun 과 TTMS(vbs로 끝나는 항목) 이 전혀 안 보일 때까지 진행합니다.
D:나 E:등의 다른 드라이브와
F: 등으로 시작하는 이동디스크도 같은 방법으로 진행하시면 됩니다.
이동할 디스크가 H 라면 H: 입력 후 엔터를 누르시면 되겠죠?
다시 말씀드리지만, 내 컴퓨터 아이콘을 더블클릭해서 각 로컬 디스크를 열 때는,
절대 더블 클릭하지 마시고, 마우스 오른쪽 버튼을 클릭하여 [열기]를 선택해야 한다는 사실
꼭 기억해 주세요.
참고로, 명령 프롬프트에서 파일을 이렇게 지울 수도 있어요.
del과 파일 이름 입력 후 엔터!
F드라이브 (USB 이동식 디스크 드라이브 ) 인데, 엄청 많습니다. ㅠㅠ
세번째, Windows 폴더에서 TTMS 삭제하기
windows 폴더에서도 TTMS 변종을 삭제해야 합니다.
명령프롬프트창에서 C:\>에서 cd windows 입력 후 엔터를 누릅니다.
속성 해제 명령어 attrib -s -h -r 입력 후 엔터를 누릅니다.
내 컴퓨터 C:\windows 를 열어서, TTMS 파일들을 삭제합니다.
마지막, 최신으로 업데이트 된 알약으로 검사하고 치료합니다.
알약이 없다면, 이스트소프트 알약 홈페이지(www.alyac.co.kr )에서 설치합니다.
모니터 우측 하단 알약 아이콘 마우스 오른쪽 버튼을 클릭합니다.
[업데이트 실행] 을 눌러 최신으로 업데이트합니다.
알약을 실행하여 검사하기에서 정밀검사를 누르고,
사용하시는 디스크, 이동 디스크를 모두 지정하여
검사한 후 치료해 주시면 됩니다.
혹시 어려우신가요?
이 문제가 알약 치료로도 해결이 안되시면,
알약 [신고하기] 로 보내 주세요 ^^
'알툴즈 Tip > 알약' 카테고리의 다른 글
알약이 알려 드리는 보안관련 기초용어~바이러스, 웜, 애드웨어, 하이재커, 트로이 목마, 스파이웨어, 해킹 툴 (알약 made in 이스트소프트) (0) | 2009.04.29 |
---|---|
[알약] 메신저로 전파되는 V.WOM.Messenger.pbe 알약으로 꼭 치료하세요! - 이스트소프트 (0) | 2009.04.15 |
[알약보안정보] 네이트온, MSN, 버디버디 메신저이용할 때 V.WOM.NateOn.331776 악성코드 감염 주의 (0) | 2009.03.03 |
일부 비스타 PC의 재부팅 현상 복구 방법 (0) | 2009.02.26 |
[2월 보안정보] Adobe PDF reader & Acrobat reader 보안 취약점 주의하세요! (0) | 2009.02.25 |