반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 상단에 광고바가 노출되는 검색 도우미 윈스헬프(WinsHelp) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 Windows 시작시 winshelpu.exe 파일을 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.
등록된 서비스는 [Windows WinsHelp Update Service]라는 이름으로 등록되어 있는 것을 확인할 수 있습니다.
프로그램이 설치된 환경에서 인터넷 검색시 그림과 같이 웹 브라우저 상단에 광고바가 생성되는 것을 확인할 수 있습니다.
Internet Explorer 웹 브라우저를 실행할 경우 winshelpb2.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고 노출을 하고 있습니다.
만약 해당 광고 행위를 원치 않는 경우에는 WinsHelp 항목을 선택하여 우측 하단의 [사용 안 함] 버튼을 클릭하시기 바랍니다.
프로세스 정보를 살펴보면 서비스에 등록된 winshelpu.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winshelpb2.dll 파일을 BHO 방식으로 추가되어 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 먼저 서비스로 등록된 Windows WinsHelp Update Service 항목을 종료하기 위해서 실행창에 [sc stop "Windows WinsHelp Update Service"] 명령어를 입력하여 종료하시기 바랍니다.
프로그램 삭제는 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [WinsHelp] 삭제 항목을 이용하여 삭제하실 수 있습니다.
해당 프로그램은 프로그램 목록에 제시되지 않아서 설치 여부를 확인하기 어려운 점, 생성되는 광고바가 어떤 프로그램으로 인한 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\WinsHelp
C:\Program Files\WinsHelp\sqlite3.dll
C:\Program Files\WinsHelp\ukdb.dat
C:\Program Files\WinsHelp\uninst1.exe :: 프로그램 삭제
C:\Program Files\WinsHelp\winshelpb2.dll :: BHO 등록 파일
C:\Program Files\WinsHelp\winshelps2.dll
C:\Program Files\WinsHelp\winshelpu.exe :: 서비스 등록 파일
C:\Program Files\WinsHelp
C:\Program Files\WinsHelp\sqlite3.dll
C:\Program Files\WinsHelp\ukdb.dat
C:\Program Files\WinsHelp\uninst1.exe :: 프로그램 삭제
C:\Program Files\WinsHelp\winshelpb2.dll :: BHO 등록 파일
C:\Program Files\WinsHelp\winshelps2.dll
C:\Program Files\WinsHelp\winshelpu.exe :: 서비스 등록 파일
해당 프로그램은 Windows 시작시 winshelpu.exe 파일을 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.
등록된 서비스는 [Windows WinsHelp Update Service]라는 이름으로 등록되어 있는 것을 확인할 수 있습니다.
프로그램이 설치된 환경에서 인터넷 검색시 그림과 같이 웹 브라우저 상단에 광고바가 생성되는 것을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
WinsHelp
- 게시자 : (주)인두잇
- CLSID : {3EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
- 파일 : C:\Program Files\WinsHelp\winshelpb2.dll
WinsHelp
- 게시자 : (주)인두잇
- CLSID : {3EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
- 파일 : C:\Program Files\WinsHelp\winshelpb2.dll
Internet Explorer 웹 브라우저를 실행할 경우 winshelpb2.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고 노출을 하고 있습니다.
만약 해당 광고 행위를 원치 않는 경우에는 WinsHelp 항목을 선택하여 우측 하단의 [사용 안 함] 버튼을 클릭하시기 바랍니다.
프로세스 정보를 살펴보면 서비스에 등록된 winshelpu.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winshelpb2.dll 파일을 BHO 방식으로 추가되어 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 먼저 서비스로 등록된 Windows WinsHelp Update Service 항목을 종료하기 위해서 실행창에 [sc stop "Windows WinsHelp Update Service"] 명령어를 입력하여 종료하시기 바랍니다.
프로그램 삭제는 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [WinsHelp] 삭제 항목을 이용하여 삭제하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EF359D7-0482-406a-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinsHelpc3h002BHO.WinsHelpc3h002APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinsHelpc3h002BHO.WinsHelpc3h002APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3EF359D7-0482-406a-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinsHelp
HKEY_LOCAL_MACHINE\SOFTWARE\WinsHelp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_WINSHELP_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WinsHelp Update Service
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EF359D7-0482-406a-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2EF359D7-0482-406A-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinsHelpc3h002BHO.WinsHelpc3h002APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinsHelpc3h002BHO.WinsHelpc3h002APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3EF359D7-0482-406a-8AB0-B19C3ACFD0CD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinsHelp
HKEY_LOCAL_MACHINE\SOFTWARE\WinsHelp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_WINSHELP_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WinsHelp Update Service
해당 프로그램은 프로그램 목록에 제시되지 않아서 설치 여부를 확인하기 어려운 점, 생성되는 광고바가 어떤 프로그램으로 인한 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.
728x90
반응형