웬만한 악성 파일은 mzk라는 축약어로 대표되는 Malware Zero를 실행함으로써 거의 해결된다.
다만 mzk도 해결하지 못하는 악성코드 파일이 있는데 해당 악성 코드 파일이 svchost.exe로 위장했을 때다. 기본적으로 mzk는 whitelist 즉 허용 목록에 svchost.exe 를 포함해둔다. 삭제됐을 경우 윈도우가 제대로 작동하지 않는 치명적인 결과를 낳을 수 있기 때문으로 보이는데 이 때문에 악성코드가 svchost.exe로 위장했을 경우 제대로 검출이 안된다.
이 경우 위에서 언급한 Comodo Cleaning Essentials 를 통해 해결이 가능하다. 해당 프로그램을 구글링해서 다운로드 받는다.
구글링 했을 때 맨위 사이트 선택 후 다운로드
구글링 했을 때 나온 맨 위 사이트
다운로드 링크
다운로드 후 압축을 풀면 폴더에 KillSwtich.exe 가 있는데 이를 마우스 우클릭을 눌러 관리자 권한으로 실행한다.
그러면 현재 실행 중인 프로세스들이 쭉 나열되는데 여기서 Rating 항목에 Trusted로 표기되지 않고 회색 바탕으로 Unkown이라고 써 있는 svchost.exe 를 찾는다.
찾았으면 해당 항목을 선택 후 Jump to folder를 눌러서 프로그램 위치로 이동해 둔다.
Kill Process를 눌러 프로세스를 종료하고 미리 이동해뒀던 폴더에 들어가 삭제한다.
해당 파일이 악성코드인지 아닌지를 어떻게 확인하느냐.
이 사이트에서 언급한 폴더를 제외하고 다른 폴더에 있으면 악성코드일 확률이 높다.
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Software Distribution\Download\
C:\WINDOWS\Prefetch
나 같은 경우는 아무 것도 안 하고 있어도 그래픽 카드가 100% 풀로드되면서 팬이 계속 돌아가는 증상이 있었는데 위 악성코드 프로세스를 닫은 후 해당 증상이 사라져서 악성코드임을 확신할 수 있었다.
내 경우에는 conhost.exe와 svchost.exe가 ime 폴더에서 위장한 채 작동되고 있었다.
위 파일을 지웠다면 Comodo Cleaning Essentials 압축을 푼 폴더의 Autoruns.exe 를 실행 후 시작프로그램에서도 체크 해제 해 주면 된다.
댓글 쓰기