본문 바로가기
벌새::Analysis

검색 도우미 : 윈하이(WinHigh)

벌새 2011. 6. 21. 21:41
728x90
반응형
국내에서 제작되어 인터넷 사용시 웹 브라우저 상단에 광고바가 생성되는 검색 도우미 윈하이(WinHigh) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 윈스헬프(WinsHelp) 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\sqlite3.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\winhighs12.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\winhighs13.dll
C:\Program Files\WinHigh
C:\Program Files\WinHigh\badb.dat
C:\Program Files\WinHigh\sqlite3.dll
C:\Program Files\WinHigh\ukdb.dat
C:\Program Files\WinHigh\uninst1.exe :: 프로그램 삭제 파일
C:\Program Files\WinHigh\winhighb13.dll :: BHO 등록 파일
C:\Program Files\WinHigh\winhighs13.dll
C:\Program Files\WinHigh\winhighu.exe :: 서비스 등록 파일
C:\WINDOWS\Temp\setup_ag_c3i009_1.1.0.13(271406).exe

해당 프로그램은 Windows 시작시 winhighu.exe 파일을 서비스로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

등록된 서비스는 [Windows WinHigh Update Service]라는 이름으로 등록되어 있는 것을 확인할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 웹 브라우저를 이용하는 과정에서 상단에 광고바가 생성되는 것을 확인할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

WinHigh
 - 게시자 : agir
 - CLSID : {3EF359D7-0482-406A-8AB0-C3009ACFD0CF}
 - 파일 : C:\Program Files\WinHigh\winhighb13.dll

해당 광고 생성을 멈추기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리의 [WinHigh] 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 살펴보면 서비스로 등록된 winhighu.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winhighb13.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 먼저 서비스 중지를 위하여 실행창에 [sc stop "Windows WinHigh Update Service"] 명령어를 입력하여 중지를 하시기 바랍니다.

열려 있는 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [WinHigh] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일들을 수동으로 삭제하시기 바랍니다.
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\sqlite3.dll
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\winhighs12.dll
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i009\winhighs13.dll
  • C:\WINDOWS\Temp\setup_ag_c3i009_1.1.0.13(271406).exe
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EF359D7-0482-406a-8AB0-C3009ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF359D7-0482-406A-8AB0-C3009ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2EF359D7-0482-406A-8AB0-C3009ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinHighc3i009BHO.WinHighc3i009APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinHighc3i009BHO.WinHighc3i009APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3EF359D7-0482-406a-8AB0-C3009ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WinHigh
HKEY_LOCAL_MACHINE\SOFTWARE\agir
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_
WINHIGH_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows WinHigh Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_WINHIGH_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WinHigh Update Service

해당 프로그램은 프로그램 목록에 제시되지 않는 점으로 인해 설치 여부를 사용자가 쉽게 확인하기 어려우며, 웹 브라우저와 연동되어 생성되는 광고바는 인터넷 속도 저하 및 오류를 유발할 수 있으므로 주의하시기 바랍니다.


728x90
반응형

티스토리툴바