본문 바로가기

벌새::Analysis

검색 도우미 : efinderorb (ms_exqhelper)

728x90
반응형
국내에서 제작된 검색 도우미 efinderorb 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 제휴(스폰서) 프로그램으로 설치가 이루어지고 있는 동일한 기능을 하는 ms_exqhelper 프로그램과 거의 유사한 프로그램(폴더, 파일, 레지스트리 거의 동일합니다.)이며, 테스트에서는 ms_exqhelper 프로그램의 정상적인 동작에 문제가 있어서 efinderorb 프로그램을 이용하여 설명을 드리겠습니다.

그러므로 ms_exqhelper 프로그램의 삭제 정보를 원하시는 분들은 해당 내용을 그대로 적용하셔도 문제가 없으리라 생각됩니다.
해당 프로그램은 [C:\Program Files\netimo\Common Shared\URLHelper] 폴더에 파일을 설치하고 있습니다.
Windows 시작시 [C:\Program Files\netimo\Common Shared\URLHelper\nnlogon.exe] 파일을 efinderservice 서비스 항목으로 등록하여 자동 실행되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 웹 브라우저에서 검색을 통한 결과를 클릭할 경우, 좌측 사이드바에 [스폰서링크]라는 이름의 광고창이 생성되는 것을 확인할 수 있습니다.
efinderorb (게시자 : OmniRealityBroadband Co. Ltd.)
 - CLSID : {72CEEE43-C350-4932-B3DC-B6201F01EFCB}
 - C:\Program Files\netimo\Common Shared\URLHelper\ntmurl.dll

efinderorb (게시자 : (주)링크프라이스)
 - CLSID : {D815AB8A-E840-4054-B37D-943893116452}
 - C:\Program Files\netimo\Common Shared\URLHelper\efsbar.dll

efinderorb (게시자 : (주)링크프라이스)
 - CLSID : {6A294C45-07CC-426C-9512-6742053E462C}
 - C:\Program Files\netimo\Common Shared\URLHelper\efsbar.dll

추가 기능 관리 항목에서는 3개의 확장 프로그램이 등록되어 웹 브라우저에서 동작하도록 구성되어 있습니다.
프로세스 정보를 살펴보면 nnlogon.exe / iewindow.exe 2개의 프로세스가 메모리에 상주하여 동작하는 것을 확인할 수 있습니다.
또한 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 efsbar.dll / ntmurl.dll 2개의 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제 전에 서비스 항목에 등록된 nnlogon.exe 파일을 종료하기 위해서는 [sc stop "efinderservice"] 명령어를 실행창에 입력하여 실행하시기 바랍니다.

그 후 작업 관리자에서 메모리에 상주하는 iewindow.exe 프로세스를 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [efinderorb] 삭제 항목을 이용하여 삭제하실 수 있습니다.
또한 ms_exqhelper 프로그램이 설치된 경우 제어판의 [ms_exqhelper] 삭제 항목으로 동일하게 삭제를 하실 수 있습니다.

만약 제어판의 삭제 항목이 존재하지 않을 경우에는 실행창에 다음의 명령어를 입력하여 실행하시기 바랍니다.
[efinderorb 또는 ms_exqhelper 프로그램 삭제 명령어]

RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C79D380E-E45C-49DD-B328-91123145E775}\setup.exe" -l0x12 UNINSTALL

프로그램 삭제가 완료된 후 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\netimo\Common Shared\URLHelper
C:\WINDOWS\system32\dwsbc80.OCX
C:\WINDOWS\system32\dwshengine80.dll
C:\WINDOWS\system32\DWSHK80.OCX
C:\WINDOWS\system32\NSearcher.exe

해당 프로그램 설치로 생성된 레지스트리 등록 정보와 수정된 레지스트리 등록 정보는 다음과 같습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{09373277-3BB4-4A54-96A5-6B4D113D82FC}
HKEY_CLASSES_ROOT\CLSID\{15985491-68E2-49DD-9F73-BFC0DCAB8584}
HKEY_CLASSES_ROOT\CLSID\{22939DA9-C473-443F-B465-2F9F4F6A9720}
HKEY_CLASSES_ROOT\CLSID\{2B8E6757-1A5E-4827-AF68-8A67E83C2D78}
HKEY_CLASSES_ROOT\CLSID\{2FB87680-89AA-454B-BD65-59199E12D14B}
HKEY_CLASSES_ROOT\CLSID\{323EDAF0-DD73-47E1-9C77-76261365F2A6}
HKEY_CLASSES_ROOT\CLSID\{446F2D1F-88B2-4928-ADCD-7B23714C00AD}
HKEY_CLASSES_ROOT\CLSID\{4D27FC4A-5C49-45AD-A953-644738E3081B}
HKEY_CLASSES_ROOT\CLSID\{5A2B988C-5F30-47F7-97DA-0888B9FA0D15}
HKEY_CLASSES_ROOT\CLSID\{651520F0-B9D9-46CE-987F-C8697222B4B8}
HKEY_CLASSES_ROOT\CLSID\{6A294C45-07CC-426C-9512-6742053E462C}
HKEY_CLASSES_ROOT\CLSID\{72CEEE43-C350-4932-B3DC-B6201F01EFCB}
HKEY_CLASSES_ROOT\CLSID\{738A3C47-189C-4B96-8ACE-985DD34AFF17}
HKEY_CLASSES_ROOT\CLSID\{A5022E73-1D33-470A-A215-83BBFED59294}
HKEY_CLASSES_ROOT\CLSID\{B6251B70-4401-4A2B-A482-771D388734C3}
HKEY_CLASSES_ROOT\CLSID\{BF054A2F-B6B5-4174-A5A9-5B016EC9BB41}
HKEY_CLASSES_ROOT\CLSID\{C48E43A2-A7B7-4293-A13A-F4B29158A0BB}
HKEY_CLASSES_ROOT\CLSID\{C866B2C5-14CF-4908-8D11-7FA85FD63EC2}
HKEY_CLASSES_ROOT\CLSID\{D815AB8A-E840-4054-B37D-943893116452}
HKEY_CLASSES_ROOT\CLSID\{E7BFE371-AB4F-48A9-8E4B-746CDC3377F0}
HKEY_CLASSES_ROOT\CLSID\{E9ECAA7A-3EAC-4F41-8375-84AC9D2AC3AF}
HKEY_CLASSES_ROOT\CLSID\{F4817E4B-04B6-11D3-8862-00C04F72F303}
HKEY_CLASSES_ROOT\CLSID\{F6968E7F-3422-4CB7-8F37-3951F4880511}
HKEY_CLASSES_ROOT\CLSID\{FBA8A473-BB88-4DDC-AB67-0EE6BF4788A9}
HKEY_CLASSES_ROOT\dwSbc80.Advanced
HKEY_CLASSES_ROOT\dwSbc80.Advanced.1
HKEY_CLASSES_ROOT\Dwsbc80.DwsbcPropPage
HKEY_CLASSES_ROOT\Dwsbc80.DwsbcPropPage.1
HKEY_CLASSES_ROOT\dwSbc80.MsgList
HKEY_CLASSES_ROOT\dwSbc80.MsgList.1
HKEY_CLASSES_ROOT\dwsbc80.RegMsg
HKEY_CLASSES_ROOT\dwsbc80.RegMsg.1
HKEY_CLASSES_ROOT\Dwsbc80.Subclass
HKEY_CLASSES_ROOT\Dwsbc80.Subclass.8
HKEY_CLASSES_ROOT\Dwshk80.DwshkPropPage
HKEY_CLASSES_ROOT\Dwshk80.DwshkPropPage.1
HKEY_CLASSES_ROOT\dwshk80.HookPage
HKEY_CLASSES_ROOT\dwshk80.HookPage.1
HKEY_CLASSES_ROOT\dwshk80.KeyList
HKEY_CLASSES_ROOT\dwshk80.KeyList.1
HKEY_CLASSES_ROOT\dwshk80.KeyPage
HKEY_CLASSES_ROOT\dwshk80.KeyPage.1
HKEY_CLASSES_ROOT\dwshk80.MsgList
HKEY_CLASSES_ROOT\dwshk80.MsgList.1
HKEY_CLASSES_ROOT\dwshk80.RegMsg
HKEY_CLASSES_ROOT\dwshk80.RegMsg.1
HKEY_CLASSES_ROOT\dwshk80.WinHook
HKEY_CLASSES_ROOT\dwshk80.WinHook.8
HKEY_CLASSES_ROOT\efindersidebar.CHandler
HKEY_CLASSES_ROOT\efindersidebar.CSideBar
HKEY_CLASSES_ROOT\Interface\{044D0F63-C274-40B2-8F50-F09A06DCFBE1}
HKEY_CLASSES_ROOT\Interface\{0E9BF828-7362-4850-9FE7-59E26521AC34}
HKEY_CLASSES_ROOT\Interface\{149BD92F-B28E-4C04-8B4D-46CDD176B7E4}
HKEY_CLASSES_ROOT\Interface\{1E81505D-47A7-471B-B348-07BDA6159756}
HKEY_CLASSES_ROOT\Interface\{26893EEF-3781-4234-8D71-EF9C394156A3}
HKEY_CLASSES_ROOT\Interface\{2D4F1E7B-E075-4E52-9F78-E0CBDB2A75AE}
HKEY_CLASSES_ROOT\Interface\{37273445-885F-4C35-A953-73AC3A9F93F1}
HKEY_CLASSES_ROOT\Interface\{3B07FABA-099B-4D62-9780-D254A04E32F5}
HKEY_CLASSES_ROOT\Interface\{3D00D2AA-A077-4914-A046-62E2A7BA9C11}
HKEY_CLASSES_ROOT\Interface\{3F16DB30-C562-41AD-A3B3-4D405BBBEFEE}
HKEY_CLASSES_ROOT\Interface\{5FC14064-8342-4D18-947E-3BD813100F99}
HKEY_CLASSES_ROOT\Interface\{7FB96837-674C-407F-BBA0-CDC0D501512C}
HKEY_CLASSES_ROOT\Interface\{9B697780-DBBC-11D2-80C7-00104B1F6CEA}
HKEY_CLASSES_ROOT\Interface\{A625F501-206F-4713-9DE1-DD3AF4AC4BF9}
HKEY_CLASSES_ROOT\Interface\{A6C78792-EDF6-43B7-B755-0C6FE5AD59E8}
HKEY_CLASSES_ROOT\Interface\{BEA1FA35-AC92-4978-8556-0AFCD9B52FA2}
HKEY_CLASSES_ROOT\Interface\{C36516DD-9577-4347-B0DC-D3641BDBEB36}
HKEY_CLASSES_ROOT\Interface\{DD708967-6D59-4C25-90CE-22C6C7B1B9CE}
HKEY_CLASSES_ROOT\Interface\{DD8BFC7F-4A69-4C23-B496-78B301B5193F}
HKEY_CLASSES_ROOT\Interface\{E72183BD-2FD6-4FEC-A806-BB3DE07A5E35}
HKEY_CLASSES_ROOT\Interface\{F4817E4B-04B6-11D3-8862-00C04F72F303}
HKEY_CLASSES_ROOT\Interface\{F4D4528C-B8F0-4D22-BA32-0C411E45B53C}
HKEY_CLASSES_ROOT\Interface\{F82DCAD1-72A9-4E4A-B034-1E12EEB5F53A}
HKEY_CLASSES_ROOT\Interface\{F8A3508D-B8F0-4619-94D1-A85A54B9ABAE}
HKEY_CLASSES_ROOT\Interface\{FA496C82-EF15-498A-9281-71C17D2E83B1}
HKEY_CLASSES_ROOT\ntmURL.CHandler
HKEY_CLASSES_ROOT\ntmURL.CSBCriteria
HKEY_CLASSES_ROOT\ntmURL.CSBCriterion
HKEY_CLASSES_ROOT\ntmURL.CSideBar
HKEY_CLASSES_ROOT\ntmURL.CTimer
HKEY_CLASSES_ROOT\ntmURL.GSubclass
HKEY_CLASSES_ROOT\ntmURL.IInputObjectCallback
HKEY_CLASSES_ROOT\ntmURL.ISubclass
HKEY_CLASSES_ROOT\ntmURL.IURLHelper
HKEY_CLASSES_ROOT\TypeLib\{22FD679B-DCE6-4B67-BC7A-EBE8326D40DB}
HKEY_CLASSES_ROOT\TypeLib\{70CA7ADF-1545-4085-A81F-260C365C5EF2}
HKEY_CLASSES_ROOT\TypeLib\{7E1A422E-C5D0-41E7-BC80-DEDDB49E1FCF}
HKEY_CLASSES_ROOT\TypeLib\{C6E6B197-9348-449E-A149-384B208874B1}
HKEY_CLASSES_ROOT\TypeLib\{C8FEC666-6DE0-4B67-977C-50CBC0E61E56}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{6A294C45-07CC-426C-9512-6742053E462C}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\이 단어 검색(&S)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{72CEEE43-C350-4932-B3DC-B6201F01EFCB}
HKEY_CURRENT_USER\Software\Netimo
HKEY_CURRENT_USER\Software\Netimo\URL Helper
HKEY_CURRENT_USER\Software\wiziple
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{6A294C45-07CC-426C-9512-6742053E462C}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72CEEE43-C350-4932-B3DC-B6201F01EFCB}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D815AB8A-E840-4054-B37D-943893116452}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\NNavigator
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{C79D380E-E45C-49DD-B328-91123145E775}
HKEY_LOCAL_MACHINE\software\Netimo
HKEY_LOCAL_MACHINE\software\Netimo\URL Helper
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efinderservice

[수정 전 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {사용자 지정 CLSID 값}

[수정 후 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {72CEEE43-C350-4932-B3DC-B6201F01EFCB}

해당 프로그램의 설치 경로가 대부분 제휴(스폰서) 프로그램 방식으로 설치되어 많은 인터넷 사용자들이 원치않게 설치가 이루어질 수 있으며, 프로그램에서 제공하는 삭제 기능으로 깨끗하게 삭제가 되지 않는 부분이 있으므로 주의하시기 바랍니다.
728x90
반응형