본문 바로가기

벌새::Analysis

windgdou.dll 모듈 관련 RunDLL 오류창 생성 문제 해결 방법

반응형

2014년 1월경부터 국내에서 제작된 "Window Guide" 검색 도우미 프로그램이 설치되었던 환경에서 PC 사용 중 "c:\Program Files\windoguide\windgdou.dll을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다."라는 RunDLL 오류창을 생성하는 문제의 원인과 해결 방법을 살펴보도록 하겠습니다.

Window Guide 광고 프로그램의 배포 파일<SHA-1 : e986c8c69857860a97f0a48f9aef07ad74aea341 - AhnLab V3 : Win-PUP/Helper.WindoGuide.233032 (VT : 12/52)>을 통해 설치되는 과정에서 특정 서버에서 추가적인 설치 파일<SHA-1 : 76b54f7522f9d3596d033e4a9421e00beca4f854 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 11/52)>을 다운로드 및 실행하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wdg.exe" 파일을 생성하여 "C:\Program Files\windoguide" 폴더에 프로그램 설치가 이루어집니다.(※ 특정 PC 환경에서는 Themida Packer로 실행 압축된 추가 다운로드된 파일은 실행되지 않습니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\windoguide
C:\Program Files\windoguide\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\windoguide\wgbho.dll :: BHO(windoguide Class) 등록 파일
C:\Program Files\windoguide\windgdo_uninstall.exe
C:\Program Files\windoguide\windgdo.dll :: BHO(windgdo) 등록 파일
C:\Program Files\windoguide\windgdou.dll :: 예약 작업(iesttu) 등록 파일
C:\Program Files\windoguide\windoguide.exe :: 시작 프로그램(windoguide) 등록 파일, 메모리 상주 프로세스
C:\Program Files\windoguide\windoguideagent.exe :: 시작 프로그램(windoguideagent) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\11st_favicon.ico
C:\Users\(사용자 계정)\AppData\Local\auction_favicon.ico
C:\Users\(사용자 계정)\AppData\Local\gmarket_favicon.ico

C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wdg.exe
C:\Users\(사용자 계정)\AppData\Roaming\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\G마켓.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G마켓.lnk
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\G마켓.url
C:\Users\(사용자 계정)\Favorites\Links\11번가.url
C:\Users\(사용자 계정)\Favorites\Links\옥션.url
C:\Users\(사용자 계정)\Favorites\Links\G마켓.url
C:\Windows\System32\Tasks\iesttu

 

[생성 파일 진단 정보]

 

C:\Program Files\windoguide\wgbho.dll
 - SHA-1 : 07eccf2febcdbe240a1a5c3f90007972442d479b
 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 3/52)

 

C:\Program Files\windoguide\windgdo_uninstall.exe
 - SHA-1 : e66cdb6391f046e651d0b62694bc8d961ce64347
 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 16/52)

 

C:\Program Files\windoguide\windgdo.dll
 - SHA-1 : 58a4dd7d65be7b58a95df8c1e4cb55d8ec45ac8c
 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 3/52)

 

C:\Program Files\windoguide\windgdou.dll
 - SHA-1 : ffc973da8a910bf42ada467c9aff1c3c2dc7ccd1
 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 2/52)

 

C:\Program Files\windoguide\windoguide.exe
 - SHA-1 : 236cb99e1ca3318686f01dc3b4b842678be00901
 - AhnLab V3 : PUP/Win32.WindViewer (VT : 8/52)

 

C:\Program Files\windoguide\windoguideagent.exe
 - SHA-1 : 2cd88457c9a257fc4ecacdd9f599340b4b448b72
 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 5/52)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wdg.exe

 - SHA-1 : 76b54f7522f9d3596d033e4a9421e00beca4f854

 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 11/52)

winsys 디지털 서명이 포함된 Window Guide 프로그램은 "C:\Program Files\windoguide" 폴더에 파일을 생성하며, 설치 중 추가적으로 다운로드되는 설치 파일<SHA-1 : 76b54f7522f9d3596d033e4a9421e00beca4f854 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 11/52)>을 통해 해당 폴더 내에 다음과 같은 파일을 추가합니다.

 

  • h**p://down.***dgdo.com/wdg2/ver4/uninstall.exe (SHA-1 : e66cdb6391f046e651d0b62694bc8d961ce64347) - AhnLab V3 : PUP/Win32.WindoGuide (VT : 16/52) :: "C:\Program Files\windoguide\windgdo_uninstall.exe"
  • h**p://down.***dgdo.com/wdg2/ver4/windgdo.dll  (SHA-1 : 58a4dd7d65be7b58a95df8c1e4cb55d8ec45ac8c) - AhnLab V3 : PUP/Win32.WindoGuide (VT : 3/52) :: "C:\Program Files\windoguide\windgdo.dll"
  • h**p://down.***dgdo.com/wdg2/ver4/windgdou.dll (SHA-1 : ffc973da8a910bf42ada467c9aff1c3c2dc7ccd1) - AhnLab V3 : PUP/Win32.WindoGuide (VT : 2/52) :: "C:\Program Files\windoguide\windgdou.dll"

설치된 Window Guide 프로그램은 다음과 같은 3개의 시작 프로그램 등록값을 통해 Windows 시작시 자동 실행하도록 구성되어 있습니다.

 

  • windoguide = C:\Program Files\windoguide\windoguide.exe
  • windoguideagent = C:\Program Files\windoguide\windoguideagent.exe
  • windoguideopt = C:\Program Files\windoguide\windopt.exe :: 존재하지 않는 파일

1. windoguideagent 시작 프로그램 기능

Windows 시작시 windoguideagent 시작 프로그램 등록값을 통해 "C:\Program Files\windoguide\windoguideagent.exe" 파일을 자동 실행하여 프로그램 버전 및 사용자 PC 고유값을 체크합니다.

 

실행된 windoguideagent.exe 파일은 특정 서버에서 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘 정보를 체크하여 다운로드하여 시작 메뉴, 작업 표시줄, 즐겨찾기 영역에 등록합니다.

또한 Windows 시작시마다 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "windoguide Class" 브라우저 도우미 개체(BHO)를 체크하여 사용자에 의해 "사용 안 함"으로 변경된 경우 재등록을 하도록 유도합니다.

Windows 시작시 자동 실행되어 메모리에 상주하는 windoguideagent.exe 프로세스는 광고 기능을 수행하는 "C:\Program Files\windoguide\windoguide.exe" 파일을 추가로 로딩하여 메모리에 상주시키며, 사용자가 windoguide.exe 프로세스를 종료 시도할 경우 프로세스 보호 기능을 통해 재실행합니다.

 

2. windoguideagent 시작 프로그램 기능

Windows 시작시 windoguideagent 시작 프로그램 등록값을 통해 자동 실행되어 메모리에 상주하는 "C:\Program Files\windoguide\windoguide.exe" 파일은 windoguideagent.exe 프로세스를 통해 프로세스 보호를 받으며, 특정 서버로부터 인터넷 검색 및 특정 상업적 웹 사이트 목록을 체크합니다.

 

해당 파일은 기본적으로 "windoguide Class" 브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files\windoguide\wgbho.dll" 파일과 유사한 기능을 수행합니다.

 

3. 브라우저 도우미 개체(BHO) 기능

 

이름

 windoguide Class

게시자

 winsys

CLSID

 {46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}

파일

 C:\Program Files\windoguide\wgbho.dll

 

이름

 windgdo

게시자

 winsys

CLSID

 {CC01FC6C-F9DF-4222-95C6-F72A27C60719}

파일

 C:\Program Files\windoguide\windgdo.dll

 

Window Guide 프로그램이 설치된 환경에서는 "windoguide Class", "windgdo" 2개의 브라우저 도우미 개체(BHO)를 등록하여 Internet Explorer 웹 브라우저 동작시 광고 모듈을 실행할 수 있도록 되어 있습니다.

 

특히 Windows 시작시 자동 실행되는 "C:\Program Files\windoguide\windoguideagent.exe" 파일은 "windoguide Class" 브라우저 도우미 개체(BHO)를 체크하여 기능이 중지된 경우 재사용하도록 알림창을 생성합니다.

또한 "windgdo" 브라우저 도우미 개체(BHO)를 통해 구동되는 "C:\Program Files\windoguide\windgdo.dll" 파일은 Internet Explorer 웹 브라우저 외에 Windows 탐색기(explorer.exe) 프로세스에 삽입되어 사용자가 "windgdo" 항목을 "사용 안 함"으로 변경하여도 지속적인 광고 기능을 수행할 수 있습니다.

이를 통해 Internet Explorer 웹 브라우저의 주소 표시줄에 특정 검색 키워드를 입력시 기본 검색 공급자 정보를 가로채어 특정 제휴 코드가 추가된 형태로 웹 사이트로 연결이 이루어질 수 있습니다.

또한 사용자가 인터넷 검색을 통해 특정 웹 사이트에 접속한 후 종료시 제휴 코드(click.interich.com 등)가 추가된 전체 화면 크기의 광고창을 재생성할 수 있습니다.

 

4. iesttu 작업 스케줄러 기능

이 글에서 가장 핵심이 되는 부분으로 Window Guide 프로그램 설치 중 추가로 다운로드된 설치 파일<SHA-1 : 76b54f7522f9d3596d033e4a9421e00beca4f854 - AhnLab V3 : PUP/Win32.WindoGuide (VT : 11/52)>을 통해 생성된 "C:\Program Files\windoguide\windgdou.dll" 파일은 예약 작업 영역에 "iesttu" 작업 스케줄러로 등록되어 시스템 시작시 [rundll32.exe "c:\Program Files\windoguide\windgdou.dll", DSINS] 동작 방식으로 자동 실행하도록 구성되어 있습니다.

작업 스케줄러에 등록된 "iesttu" 항목은 시스템 시작 후 10분 동안 대기 상태를 유지한 후 특정 서버에서 업데이트 정보를 체크한 후 종료 처리되는 것으로 추정됩니다.

문제는 사용자가 Window Guide 검색 도우미 프로그램을 제어판을 통해 삭제를 한 이후에도 "iesttu" 작업 스케줄러 등록값이 삭제되지 않는 문제로 인하여 Windows 시작 후 10분이 경과하는 시점에서 "c:\Program Files\windoguide\windgdou.dll을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다."라는 RunDLL 오류창이 매번 생성됩니다.

 

그러므로 제어판에서 Window Guide 프로그램을 삭제한 이후에는 "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 작업 스케줄러에 등록된 "iesttu" 항목을 찾아 추가적으로 삭제를 하거나 "C:\Windows\System32\Tasks\iesttu" 파일을 찾아 삭제하시면 문제가 해결됩니다.

 

5. 프로그램 삭제 방법

 

(a) Window Guide 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 "① windoguideagent.exe → ② windoguide.exe" 프로세스 순서대로 종료를 하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Window Guide" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\11st_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Local\auction_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Local\gmarket_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Roaming\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\G마켓.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G마켓.lnk
  • C:\Users\(사용자 계정)\Favorites\11번가.url
  • C:\Users\(사용자 계정)\Favorites\옥션.url
  • C:\Users\(사용자 계정)\Favorites\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\Links\11번가.url
  • C:\Users\(사용자 계정)\Favorites\Links\옥션.url
  • C:\Users\(사용자 계정)\Favorites\Links\G마켓.url
  • C:\Windows\System32\Tasks\iesttu

특히 시작 메뉴와 작업 표시줄에 고정된 G마켓, 11번가, 옥션 바로가기 아이콘은 해당 아이콘에 마우스 우클릭을 통해 제공되는 "작업 표시줄에서 제거, 시작 메뉴에서 제거" 메뉴를 통해 삭제를 하시면 편합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}
 - {CC01FC6C-F9DF-4222-95C6-F72A27C60719}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windoguide = C:\Program Files\windoguide\windoguide.exe
 - windoguideagent = C:\Program Files\windoguide\windoguideagent.exe
 - windoguideopt = C:\Program Files\windoguide\windopt.exe
HKEY_CURRENT_USER\Software\windoguide
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-F9DF-4222-95C6-F72A27C60719}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B56FE57A-6CF6-4B63-8969-8FEB286FCE5E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EF4C3C36-3BCF-4037-AFC9-0EE949727B21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windgdo.windgdo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-F9DF-4222-95C6-F72A27C60719}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Window Guide
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1DE8420F-5366-4068-881C-053C99C1D47E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\iesttu

 

Window Guide 프로그램은 윈도우즈(Windows) 관련 프로그램처럼 사용자에게 혼동을 유발하는 광고 프로그램으로 원치않는 인터넷 쇼핑몰 바로가기를 프로그램 삭제 이후에도 제거하지 않는 방식으로 수익을 지속적으로 유지하므로 주의하시기 바랍니다.

 

 

728x90
반응형