얼마전에 윈도우 포럼에 올라왔는데 별로 중요하게 생각하지 않고 넘어갔더니 오늘 파코즈에도 올라왔고 분위기를 보니 의외로 걸리신 분들이 많이 계신 것 같아서 포스팅합니다. 물론 뎁버그님 말씀대로 평소에 보안업데이트를 꾸준히 해주고 백신을 사용하시면 아마 걸릴 일은 없을 것입니다. 물론 저같은 경우 이렇게 되면 그냥 VHD 파일 교체해버리면 그만이지만 ^^;; 그리고 고스트나 트루이미지 사용하시는 분들 역시 그냥 복구해버리면 그만이겠죠. 그렇다 하더라도 예방할 수 있을 때 예방하시는게 좋겠습니다.

 

일단 이 악성코드에 걸렸을 경우 해결방법은 정상적인 시스템으로 부팅한 다음

 

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32

"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

 

부분을 삭제해주시면 된다고 합니다. 일단 위 레지스트리 값을 삭제한 다음 다시 부팅하면 이번엔 부팅이 되는데 부팅후 V3나 알약같은 백신들로 치료해주면 된다고 합니다. 위 레지스트리는 자동으로 감염된 DLL 파일을 부팅시 로딩하도록 하는 레지스트리라고 하네요.

 

안철수 연구소 ASEC 대응팀에서는 정상적인 시스템에 하드를 연결해서 삭제하라고 나와있지만 (http://core.ahnlab.com/58) 집에 데스크탑이 1대밖에 없거나 노트북 쓰는 사람들에겐 현실적이지 못한 대응책이죠. 그러지 말고 저는 비스타나 윈도우 7 DVD로 부팅하거나 또는 F8 복구모드에서 명령 프롬프트를 띄우거나 또는 각종 PE로 부팅해서 작업하시는 것을 추천드립니다.

 

윈도우 7 DVD로 하는 방법을 예제로 들어보겠습니다.

우선 윈도우 7 DVD로 부팅한 다음 첫 화면에서 Shift + F10을 누릅니다. 그럼 명령 프롬프트가 뜹니다.

 

 

 

여기서 딱 3줄만 입력해주시면 되는데 이게 좀 길어서 어려울 수도 있겠습니다. 종이에 적어두시든지 디카로 찍어두시든지 이 부분만 프린트해서 보고 하시든지 ^^;;

 

Reg Load HKU\Temp C:\Windows\System32\Config\Software

 

Reg Delete "HKU\Temp\Microsoft\Windows NT\CurrentVersion\Drivers32" /v MIDI9 /f

 

Reg Unload HKU\Temp

 

 

여기서 주의하실 부분은 첫번째 줄에 있는 감염된 윈도우즈 경로밖에 없습니다. 보통은 C 드라이브에 윈도우즈가 설치되어 있겠지만 그게 PE로 부팅했을 때는 D 드라이브가 될 수도 있습니다. 윈도우 7의 경우 시스템 예약 파티션이 100mb 잡혀있다면 위 상황에서 윈도우즈는 D 드라이브로 인식됩니다. 이 점을 참고하여 첫번째 줄에 C 드라이브 부분만 확실하게 정해주세요. 나머지 부분은 똑같이 입력하시면 됩니다.

 

너무 어렵게 설명드린 것 같은데 이상하게 윈도우 7 DVD로 부팅했을 때 레지스트리 편집기를 띄워도 메뉴에선 하이브 로드가 안 되더군요. 그래서 어쩔 수 없이 커맨드로 설명드렸습니다. ㅠㅠ

 

 

 

 

이 방법이 너무 어려우시면 그냥 하드 떼서 다른 컴퓨터에 들고 가서 안철수 연구소 ASEC 대응팀에서 제시한 방법대로 하세요. ㅠㅠ (http://core.ahnlab.com/58)

 

 

 

(추가)

파코즈 댓글을 보니 좀 쉬운 방법도 있는 것 같습니다.

검은 바탕화면에서 Ctrl + Shift + Esc 누르시거나 또는 Ctrl + Alt + Delete 눌러서 작업관리자 띄우실 수 있으실텐데 거기서 Explorer.exe를 강제종료 시킨 다음 메뉴에서 파일 - 새 작업 에다가 다시 Explorer.exe 를 입력해서 실행시켜주시면 바탕화면 진입이 된다고 합니다. 그상태로 백신 설치하고 검사를 해보세요. 저는 감염되어보지 않아서 이렇게 설명하면 맞는건지는 잘 모르겠네요.


  1. 이전 댓글 더보기
  2. BlogIcon djinni
    2009.10.21 07:41 신고

    정말 감사합니다 snoopy님
    갑자기 컴퓨터가 먹통이 되어 며칠 고생했는 데 가르쳐 주신 방법대로 하여 컴퓨터가 살아났읍니다.
    앞으로도 좋은 정보 부탁드립니다.

  3. BlogIcon 가퓔드
    2009.10.21 22:36 신고

    겨우 로그인했다 ㅠㅠ 원래 구글사용자가 아니어서요..컴퓨터가 시스템 오류가 속도가 너무 느려지고 시스템복구도 안되었는데요..강제종료를 해서 그런지 바이러스 때문에 그런지 위에서 증상이 똑같이 발생하는데요..비스타인데요 부팅할때 명령 프롬프트를 띄우는 방법을 모르겠어요ㅠShift+F10누르면 복구모드로 들어가는데 포맷을 하더라도 하기전에 컴퓨터 안에 중요한 문서파일을 있어서 윈도우로 들어가고 싶은데 프롬프트로 들어가는 법을 모르겠어요ㅠ 도와주세요ㅠㅠ

    • BlogIcon snoopy
      2009.10.22 01:03 신고
      수정 및 삭제

      제가 마지막에 소개해드린 방법 있죠? Explorer 강제종료 시키는 방법. 그걸로 시도해보세요.

      비스타의 경우 복구모드로 들어가서 자동복구 시디지 않고 직접 명령 프롬프트 화면까지 가야합니다. 이 글 하단부에 나오는 비스타 사진을 참조하세요.

      http://snoopybox.co.kr/1000

  4. BlogIcon 독도
    2009.10.24 09:28 신고

    옛날에도 5-7년 전인가 이 바이러스가 있었던 걸로 기억합니다. 그래서 작업관리자가서 로그오프해주고 다시 로그인한 기억이 남습니다.


  5. 2009.11.02 14:43

    비밀댓글입니다

    • BlogIcon snoopy
      2009.11.02 19:25 신고
      수정 및 삭제

      이 증상은 메인보드랑 윈도우 7 호환문제로 보시면 되는데 하드 관련 설정을 CMOS에서 변경해보세요. AHCI와 IDE 사이 변경을...

      그리고 제가 지금껏 질문을 받은 결과 거의 대부분 이 증상은 AMD 보드에서 일어나고 있습니다. 따라서 동일한 보드 사용하시는 분들을 찾아서 한번 문의해보시거나 아니면 메인보드 유통사에 전화로 문의해보시는게 좋을 것 같습니다.

  6. BlogIcon 스자크
    2009.11.03 01:32 신고

    Ctrl+Alt+Delete를 통해서 작업관리자를 띄우는것도 안되네요..; C드라이브만 포맷하면 치료는 되려나..

  7. ohyes0117
    2010.09.09 18:52 신고

    정말 감사합니다^^
    오늘 갑자기 부팅이 안되서 정말 고생했었는데 여기서 그 해답을 찾는군요
    그런데... 아바스트 쓰고 있고 어제도 전체검사에서 이상이 없었는데... ㅜㅜ

    오늘 파일 몇개 받았는데 아바스트 실시간 검사 능력이 좀 의심되는군요...
    지금 v3깔고 검사중입니다
    예전에 v3가 못 잡는 바이러스를 잡아서 아바스트로 넘어갔었는데 이제 카스퍼스키로 가야 하나

    • BlogIcon snpbox
      2010.09.09 19:36 신고
      수정 및 삭제

      헐... 이거 진짜 오래전 증상인데 아직도 이게 먹히는 경우가 있나보네요 ;;;

  8. ohyes0117
    2010.09.09 19:52 신고

    하아... 안되는군요
    검사했는데 바이러스 검출도 없었고 다시 재부팅하면 똑같은 증상이 나오네요
    시스템 복구해도 소용없고... 아무래도 저는 다른 문제인 모양입니다

    신기한게 아바스트는 흔적도 없이 지워져버렸고 시스템 복구를 헀는데도 오늘 깔아놓은 파일들이 그대로 있네요;;;

  9. BlogIcon 다시
    2010.10.17 17:39 신고

    초딩이 알기 쉽게 설명좀요

  10. 흐엉
    2011.03.01 04:24 신고

    지금 말씀하신대로 프롬프트에 입력하면 처음것음 파일을 사용중이라고 나오고 두번째는 값을찾을수 없다고 나오네요 ㅠㅠ 파코즈신공으로 익스플로어종료 후 재실행으로 진입하여 하이잭킹이 걸려있는것을 백신으로 잡았으나 치료불가가뜨더니 재붓해서 잡으려니까 검출도안되네요 ㅠㅠ흐엉

  11. 하우
    2011.06.28 09:23 신고

    비스타인데요 명평 프롬포트에서 안되네요.ㅠㅠ
    explore 강제종료도 해보고싶은데 작업관리자가 안뜨네요ㅠㅠ
    노트북인데 어떻게 고쳐야하죠?ㅠㅠ

  12. BlogIcon 제가지금그러는데
    2011.08.07 16:44 신고

    저도 윗분처럼됫는데요
    정확히는 피닉스회사꺼 씁니다
    로고가뜨고 시큐리티시스템비번치고들가면 맨위에 1칸짜리밑줄이 종종뜨따가
    접속중이다라는 뭔가 초록색게이지이동하는거나오는데 그담에 들가면 마우스만 안녕하고 꼐속그래요ㅠㅠ 이거 어케해야되요

  13. BlogIcon 안녕하세요
    2011.12.18 09:35 신고

    저같은경우엔 스마트폰으로 틀어논다음에 복구할거입니다. 복구완료하면 한글 또 올리겟습니다.
    수고하고 Merry Chirstmas!! ㅎㅎ

  14. ㅠㅠ
    2012.08.26 22:20 신고

    작업관리자는되는데;;파일이 삭제된거같아요 explore가 프로세스에 없어요;;

  15. 문성은
    2012.08.30 23:43 신고

    알려주신 방법들은 불가하고 추가부분에 설명참조해 수행하였지만 explorer.exe를 강제종료후 실행해도
    바탕화면 진입이 되지 않아서 안전모드 상태로 들어와서 v3백신 설치후 정밀검사해봤는데...
    아무것도 나오질 않습니다....
    부팅후 검은화면(헤드라이트는 나가지않았습니다)에 커서도 보이고 작업관리자도 실행되고 키보드 역시 입력에 문제가 없어보입니다만... 전혀 이 상황을 타개할 방법이 없습니다.
    구입처도 타이완이라.... 기가바이트m2432를 사용하고 있는데... 구입한지 한달도 안되는 녀석인데...
    ㅠㅠ... 어떻게 해야할지 막막합니다

  16. 히어로
    2013.03.10 04:58 신고

    메뉴에서 파일 - 새 작업 에다가 다시 Explorer.exe 를 입력해서 실행시켜주시면 바탕화면 진입이 된다고 합니다.

    이게 무슨 말인지요.
    검은 바탕화면에서 마우스만 보이는 상태에서 작업관리자는 보이기는 한다만,
    메뉴가 어떤 메뉴인지도 모르겠네요. 자세한 설명 부탁드립니다.

  17. 유융
    2013.04.28 10:07 신고

    컴퓨터f8를 누르니깐 다양한 모드가 나와서 명령 프롬인가 그거햇는데 여전히 안전모드에다가 검정색바탕화면에 마우스만 움직임 거기에다가 쉬프트 알트 이에스씨 키눌러도 작업관리자가 안뜨네여 원인이 뭔가요 ㅠㅠ?

  18. ㅇㅇ
    2013.11.03 16:11 신고

    검은화면에서 다행히 작업관리자가 실행이되서 부팅까지는 됬습니다 ㅜㅜ 지금 정밀검사중인데 잘 되려나 모르겟네요... 컴퓨터 초보라 무서웠슴니다 ㅜㅜ 정보감사드립니다

  19. 헬프미
    2014.02.03 22:00 신고

    midi9 를 찾을수없다는데 어쩌죠 ㅠㅠ

  20. 강삼성
    2016.03.21 11:21 신고

    Reg Delete "HKU\Temp\Microsoft\Windows NT\CurrentVersion\Drivers32" /v MIDI9 /f
    이 항목은 정상으로 되지 않아요?
    바로 전은 정상확인이 되는데.

    첫번째는 D: 드라이브로 했는데요.
    두번째 줄 도 D:로 바꿔 줘야하는건가요?

  21. BlogIcon 응애에요
    2016.07.18 09:03 신고

    2번 안 돼서 1,3번 했는데 정상부팅 되네요.