인터넷 검색시 광고창 생성 기능을 수행하는 국내에서 제작된 "GearExtention for Windows (x86,x64)" 검색 도우미 프로그램의 변종이 추가적으로 수집되어 정보를 공개해 드립니다.
▷ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmqmp.exe (2013.12.16)
▷ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegpvrqn.exe (2013.12.30)
"GearExtention for Windows (x86,x64)" 프로그램은 다양한 변종에 따라 일부 파일명이 다르게 설치될 수 있으므로 참고하시기 바랍니다.
■ "GearExtention for Windows (x86,x64)" 변종 프로그램 정보
|
파일 경로 |
C:\Program Files\Windows GearExt\gearexts.exe |
|
MD5 |
49684D051BE96B69A56D41E99C81ED2C |
|
디지털 서명 |
INSAFE |
|
파일 설명 |
gearexts.exe |
|
비고 |
예약 작업(C:\Windows\Tasks\gesegrsvsp.job) |
|
파일 경로 |
C:\Program Files\Windows GearExt\gearext.exe |
|
MD5 |
FACFD5D1DEFA1903C4BEF0347BF95ABC |
|
진단명 |
PUP/Win32.IntClient (AhnLab V3) |
|
디지털 서명 |
INSAFE |
|
파일 설명 |
GearExtention |
|
제품 이름 |
GearExtention |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gearextu.exe |
|
MD5 |
B620550C0750E614A2D9CC26701D09F2 |
|
진단명 |
PUP/Win32.GearExt (AhnLab V3) |
|
디지털 서명 |
INSAFE |
|
파일 설명 |
gearextu.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - EXTGEAR |
|
비고 |
시작 프로그램(EXTGEAR) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.exe) 등록 파일 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gext_bangabmoa.dll |
|
MD5 |
1C74C3C05058C25C68EE71044C9DD683 |
|
디지털 서명 |
INSAFE |
|
비고 |
메모리 상주 파일 |
|
파일 경로 |
C:\Windows\gemegrsvsp.exe |
|
MD5 |
0499289D198BA34D3727E13D791C65FA |
|
디지털 서명 |
INSAFE |
|
파일 설명 |
gemegrsvsp.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gemegrsvsp |
|
비고 |
서비스(gemegrsvsp) 등록 파일 |
|
파일 경로 |
C:\Windows\System32\drivers\gearext.sys |
|
MD5 |
2D42FCA3D650DF459D556EA66AA5D6D3 |
|
디지털 서명 |
INSAFE |
|
파일 설명 |
gearext.sys |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gearext |
|
비고 |
서비스(gearext) 드라이버 등록 파일 |
INSAFE 디지털 서명이 포함된 "GearExtention for Windows (x86,x64)" 검색 도우미 프로그램은 "C:\Program Files\Windows GearExt" 폴더와 Windows 폴더 내에 파일을 생성하며, 변종 프로그램에 따라 서비스 파일명 및 서비스 등록값이 다양하게 등록될 수 있습니다.
"GearExtention for Windows (x86,x64)" 프로그램이 설치된 환경에서는 서비스, 시작 프로그램(Run), 시작 프로그램 폴더, 예약 작업 영역에 파일을 등록하여 자동 실행되도록 구성되어 있으며, 이를 통해 사용자가 웹 사이트에 접속하는 과정에서 자동으로 광고창이 생성될 수 있을 것으로 추정됩니다.
특히 프로그램 보호 기능을 통해 사용자에 의한 프로그램 중지 및 삭제를 어렵게 하는 것으로 보이므로, 프로그램 삭제는 안전 모드(F8)에서 진행하시길 권장합니다.
프로그램 삭제는 기본적으로 제어판에 등록된 "GearExtention for Windows (x86,x64)" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 프로그램 삭제를 할 필요가 있는 경우에는 다음의 내용을 참고하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gemegrsvsp"], [sc delete "gearext"] 명령어를 입력 및 실행하여 자동으로 서비스 등록값을 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 gearext.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\Windows GearExt
- C:\Windows\gemegrsvsp.exe
- C:\Windows\System32\drivers\gearext.sys
- C:\Windows\Tasks\gesegrsvsp.job
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.exe
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- EXTGEAR
"GearExtention for Windows (x86,x64)" 검색 도우미 프로그램은 다양한 배포용 프로그램을 통해 사용자 PC에 설치되어 원치않는 쇼핑몰 광고창 등을 자동으로 생성하여 불편을 유발하고 있으므로 주의하시기 바랍니다.