usb 바이러스 치료하기- autoron.inf, kavo1.dll- 숨김 파일 속성 해제 안 됨.

이 글을 작성할 때만 해도 바이러스 백신들이 usb바이러스를 완벽하게 치료하지 못했었는데, 요즘은 대부분의 백신들이 깨끗하게 치료하는 편입니다. 그러니 이 글은 현시점에서는 그냥 참고만 하면 좋겠습니다.(2010년 4월 2일에 붙임)


요즘 kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스 때문에 숨김 속성을 가진 자료를 볼 수가 없고, 컴퓨터가 많이 느리고 멈추는 증상이 나타나고 있다.
이 바이러스는 usb 등 이동식 저장 장치를 자주 사용하는 컴퓨터에서 발생할 수 있다.

주로나타나는 증상은 아래와 같다.

1. 바탕화면의 내 컴퓨터 아이콘을 더블클릭하면, 연결 프로그램을 묻는 창이 뜬다.
2. 폴더 옵션에서 숨김파일 보기 설정이 바뀌지 않아서 숨김파일이 보이지 않는다.
3. 시스템이 거의 움직이지 않을 정도로 느리거나 멈추는 증상이 있다.
4. 인터넷을 실행하면 창이 떴다가 바로 종료된다.
5.시작프로그램에 등록(kxvo0.dll kxvo1.dll kavo.exe 등)된 것들이 컴퓨터를 껏다 켜면 다시 등록되어 실행된다.
위와 같은 증상이 있는 컴퓨터는  kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스에 감염 된 것이다.

이 바이러스에 감염이 되면 모든 드라이브 루트에 아래의 파일이 자동으로 생성되며, 속성은 숨김, 읽기전용 등으로 실행되어 찾아서 지우기가 쉽지않다.
아래에 열거한 파일 이름들이 다른 것으로 변형되어 작동하기도 한다.
autorun.inf, fool1.dll, ntdeIect.com, kavo.exe, kavo1.exe 등 다양하다.

윈도우 시스템 폴더에 (윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32)에 아래와 같은 파일들이 저장된다.
파일 이름은 다른 것으로 변형될 수 있다.
kavo1.dll, 2wpypke.dll, kjiiacn.dll, kxvo0.dll, kxvo1.dll, kavo.exe, fool0.dll, fool1.dll, fool1.dll, ieso0.dll, xpnvh.dll 등...

바이러스 변형이 계속해서 발견이 되고 있어서 치료하기가 상당히 까다롭다.
또한 이동식 저장장치를 같이 치료하지 않으면 나중에 그 장치를 사용하는 컴퓨를 다시 감염시키디 때문에 피해가 심한 편이다.
현재 대부분의 바이러스 백신으로 치료가 완벽하게 되질 않는다.
가장 일반적인 치료방법을 알아보기로 한다.
아래에 제시한 치료 방법은 가능한 안전모드에서 실행하는 것이 좋다.
안전모드는 컴퓨터 부팅시 윈도우 로고 나오기전에 키보드의 F8 키를 가볍게 두들기고 있으면 부팅 매뉴가 나오는데 그 곳에서 안전모드를 선택하면 된다.

명령창은 실행-cmd 엔터를 입력하면 된다.
아래 그림은 깨끗한 상태의  윈도우 xp 파일들이다. 노란색 테투리 안의 파일들은 운영체제에 꼭 필요한 시스템 파일들로서 만약 이 파일들을 지우면 다시는 윈도우 화면을 보지 못 할 수도있다. 건드리지 말 것.
최상위(루트) 폴더로 가기위해서  cd:\를 입력하고 엔터를 친다.

사용자 삽입 이미지

바이러스는 숨김 속성을 가지고 있어서 그냥 dir을 입력하면 보이지 않는다. dir/ah를 입력하여 숨어있는 파일들을 보이게한다. 노란색으로 표시된 것들이 바이러스들이다. 이 것들을 지워야한다.

사용자 삽입 이미지


숨김파일 보기 옵션으로 파일이 보이기는 하지만 지우려하자 파일이 없다고 한다.
숨김파일 속성과 읽기 속성을 해제하고 지워야한다.
attrib -r -h autorun.inf을 실행하고 난 다음에 다시 시도하자 삭제가 되었다.
바이러스 파일 전부을 위와 같이 속성을 해제하고 삭제한다.
[attrib -r은 읽기 속성 해제, -h는 숨김 속성 해제, +를 앞에 붙이면 반대로 속성을 지정한다]

사용자 삽입 이미지


이제 시스템 폴더로 이동한다. c:\cd windows\system32를 입력하고 엔터.
마찬가지로 dir/ah를 입력하여 숨어있는 바이러스 파일을 나타나게 한다.

사용자 삽입 이미지


위에서와 마찬가지로 attrib -h -r fool1.dll과 같이 속성을 해제하여 삭제한다.

사용자 삽입 이미지

컴퓨터의 모든 드라이브(시디를 제외한 usb 메모리, sc카드 등...)를 연결한 상태에서  해당 드라이브의 최 상위 폴더에서 바이러스 파일들을 삭제한다. 방법은 위와 같다.

사용자 삽입 이미지



 

백신 치료 후에도 숨김파일 못 볼 때


 

댓글(9)

티스토리 툴바