본문 바로가기

벌새::Analysis

[삭제] 마우스쉐이커(MouseShaker)

● 1차 작성 : 2009년 5월 27일
● 2차 작성 : 2009년 12월 20일 - 프로그램 삭제 정보 수정

국내 (주)웹보안연구소 업체에서 제작된 인터넷 이용도구 마우스쉐이커(MouseShaker) 제품의 삭제에 대해 살펴보도록 하겠습니다.

해당 제품은 특정 웹 사이트 접속시 제공되는 ActiveX 설치 방식과 해당 제작사에서 추가적으로 서비스하는 사이트체커(SiteChecker) 프로그램을 설치할 경우 함께 설치가 되는 것으로 알려져 있습니다.

테스트에서는 ActiveX 설치 방식으로 설치된 상황을 가정하였으며, 이 경우 제어판에서 프로그램 삭제를 지원하지 않으므로 수동 삭제를 하셔야 합니다.


배포 사이트에서는 ActiveX 배포 명칭은 [바탕화면 바로가기 및 팝업]이라고 표기를 하고 있습니다.


실제 설치된 프로그램은 시스템 트레이 상에 마우스 모양의 아이콘이 생성되고 해당 기능은 마우스를 흔들어 특정 웹 사이트로 이동을 하도록 하는 것으로 보입니다.

생성 폴더, 파일 정보


해당 프로그램은 윈도우 시작시 MouseShaker.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 실행되면 MouseShaker.exe 프로세스를 생생하며, 사용자가 프로그램을 삭제시에는 작업 관리자에서 해당 프로세스를 반드시 수동으로 종료를 하시고 파일 삭제를 하시기 바랍니다.


파일 삭제시 ActiveX 설치 관련 파일에 대해서는 CMD 명령어를 통해 삭제를 하시기 바랍니다.

[CreateIconProj.inf / CreateIconProj.ocx 파일 삭제 CMD 명령어]

1. cd %systemroot%\Downloaded Program Files

2. del CreateIconProj.inf CreateIconProj.ocx

파일 삭제가 완료된 후에는 다음의 레지스트리 정보를 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{C6DC8EA1-061E-4813-8416-42F11C93077D}
HKEY_CLASSES_ROOT\CreateIconProj.IConCreateFormX
HKEY_CLASSES_ROOT\Interface\{199714F9-4214-4417-AE8A-2AF91D14F9DC}
HKEY_CLASSES_ROOT\Interface\{38BEF931-66C1-4776-B473-365DE8B4BDCF}
HKEY_CLASSES_ROOT\TypeLib\{0AA50F73-FE62-480D-A9A8-BEEB4938E165}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C6DC8EA1-061E-4813-8416-42F11C93077D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{C6DC8EA1-061E-4813-8416-42F11C93077D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/CreateIconProj.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MouseShaker = C:\WINDOWS\MouseShaker.exe

  • 이전 댓글 더보기
  • 웹마스터 2009.06.19 12:00 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다 좋은 하루 되시구요

  • 너무 복잡하게 설명해놓으셨네요--;
    암튼 잘보고갑니다~

  • 초보초보 2009.07.28 10:46 댓글주소 수정/삭제 댓글쓰기

    실행에 들어가서 cmd를 치면요 ㅠ
    C:\Users\user> 이렇게 나오는데 어떡해요? ㅠ

    • 아마 Windows Vista 사용자이신가 봅니다?

      제가 비스타 버전이 아닌 XP 버전으로 설명을 해서 폴더 경로가 다를 수 있습니다.

      그 부분에 대해서는 제가 설명을 해드릴 환경이 되지 못합니다. 죄송합니다.

  • 2번어떻게해요?ㅠㅠ

  • 레지스트리 2009.08.22 09:10 댓글주소 수정/삭제 댓글쓰기

    레지스트리에서 수동적으로 지워야하는게
    너무많네요 좀더 쉽게 지울수 있는법은 없나요?
    레지스트리에서 네번째꺼까지 확인해봤는데 다 없더라구요ㄷㄷ
    일일이찾기도 힘들고
    레지스트리에서지우는걸제외한건 전부다 했는데
    (CMD에서 Del 이용해서 삭제하는 두파일은 없길래 안했구요)
    레지스트리 좀더 쉽게 지우는방법은 없을까요?

    • 원래 레지스트리라는 것이 저렇게 복잡합니다.

      누군가 자동 삭제 프로그램을 만들지 않는다면 모를까 수동 삭제는 어쩔 수 없습니다.

      보안업체에서도 해당 프로그램을 진단할 근거가 없기에 진단을 안하므로 수동으로 하나씩 찾아서 삭제하시기 바랍니다.

      제가 작성한 레지스트리는 맨 상위부터 순서대로 표기를 해서 그나마 보기는 편하리라 생각되는데..^^;;

    • 레지스트리 2009.08.23 09:14 댓글주소 수정/삭제

      아 그렇군요
      친절하게 답변도 달아주시고
      감사합니다

  • 로엔 2009.08.25 22:56 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다.
    일단 단계별로 다 하긴 했는데...
    어찌 될런지 부팅해봐야 알겠네요.

    덧. 정말 컴 지식이 해박하십니다. ^^

  • 포크 2009.09.01 14:53 댓글주소 수정/삭제 댓글쓰기

    C:\Windows\setupapi.log 파일은 정상파일인데요... 물론 지워도 문제는 없겠지만 엄연히 윈도우에서 제공하는 정상로그 파일이라.. 참고하시기 바랍니다.

  • 궁금해요 2009.09.03 17:01 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    궁금한게 있어서 글을 남김니다
    맨 처음 바탕화면 바로가기및팝업은 설치를 눌러야하는건가요?
    전 설치 눌러버렸는데ㅜㅜ
    ActiveX는 무엇인가요? 따로 설치해야하는건가요?ㅜㅜ
    지우고싶었는데 벌새님의 글이 너무 반가워서
    얼른 따라해봤는데 잘 안되요..ㅜㅜ
    그러면 1번부터 3번 레지스트리 삭제까지 다 하면 되나요?
    아 그리고 2번에 C:\\WINDOW\Option.log는
    아무리 봐도없는데 검색을 해도 나오지 않아요ㅜㅜ
    어떻게 해야하나요ㅜㅜ

    • 안녕하세요.

      바탕화면.. 이렇게 나온 ActiveX 창은 설치하시면 안되는 것입니다.

      마지막의 log 파일은 사실 지우지 않으셔도 되는 것이고, 순서대로 따라하셨다면 재부팅후에 시스템 트레이에 이 프로그램이 다시 생성되지 않으면 해결된 것입니다.

  • 궁금해요 2009.09.04 21:20 댓글주소 수정/삭제 댓글쓰기

    엇.. 그럼 벌써 그 바탕화면및팝업을 설치해버렸는데ㅜㅜ
    그것도 없앨수있나요?ㅜㅜ
    log파일을 삭제하지않아도 된다면
    그럼 마지막 레지스트리만삭제하면 되는거예요?

  • Wolfpack 2009.10.19 21:05 댓글주소 수정/삭제 댓글쓰기

    사이트 체커 이놈들은 명의도용 잡아준다고 해놓고 가입한 사람 컴퓨터에 온갖걸 다 깔아놓네요 -_-

  • 핏빛 2009.10.19 22:59 댓글주소 수정/삭제 댓글쓰기

    나쁜넘의 사이트체커 쉐끼들 짜증나네;;;

  • jess 2009.10.22 19:19 댓글주소 수정/삭제 댓글쓰기

    mouseshake 삭제하는 방법 알아보려고 이 사이트 들렸는데요,
    전 active 그거 설치 안했는뎅,, 그런 경우 어떻게 삭제해야되는거에여 ㅠㅠ?

    • 안녕하세요.

      제가 확인한 것은 ActiveX 방식이며, 아마 다른 프로그램의 제휴 프로그램이나 기타 경로를 통해 설치 파일 단위로 설치될 수 있는 것으로 알고 있습니다.

      이런 경우에는 ActiveX 방식보다는 레지스트리, 파일 생성 정보가 더 간단할 것으로 보입니다.

      제가 작성한 정보를 토대로 하나씩 확인을 하시는 방법 외에는 없을 것으로 보입니다.

      대신 파일 단위로 설치를 하였다면 제어판 등에서 삭제 항목이 존재하리라 생각됩니다.

  • 컴맹1 2009.10.24 13:16 댓글주소 수정/삭제 댓글쓰기

    아휴... 컴맹이라서 하나하나 여쭤보며 지워야할 것 같아요....

    2번 파일 수동 삭제에서...
    C:\WINDOWS\MouseShaker.exe
    C:\WINDOWS\Option.ini 이것들은 지웠는데....

    setupapi.log<< 이부분 말이에요...

    setupapi.log 텍스트파일과 setupapi.log.0.lod 이렇게 두개가 있는데....
    이 두개를 전부 삭제하는건가요?


    그리고
    3번의 레지스트리 수동 삭제에서...
    HKCU와 HKLM이 있는데...
    울 집 레지스트리 편집기에는 HKEY 밖에 없어요...
    어디서 찾아야하는건가요....??

  • 좋은자료인듯 하여 담아왔으나 주인분의 동의를 먼저 받지못하였습니다..^^

    담아가도 괜찮을까요?

    그냥 드래그 복사하였습니다...

    혹시 다른 방법으로 원하신다면 그렇게 하도록 하겠습니다..

    위의 홈페이지에 담아간글이 있습니다...

    좋은정보 주셔서 감사합니다..

    • 글을 복사하라고 우클릭을 풀어두지 않았습니다. 일부 내용이 복잡하여 일부 항목에 대한 복사를 통해 확인을 하도록 하기 위해 풀어둔 것입니다.

      글에 대해서는 반드시 링크를 이용해 주시기 바랍니다.

      이유는 일부 업체들이 제 글에 대해 명예훼손 신고를 하고 다니기 때문에 외부로 나가는 글에 대해 제가 책임을 못질 수 있습니다.

  • 링크를 이용하여 복사하였습니다..
    걱정해주셔서 감사합니다..

  • 아아아아악 2009.11.13 20:53 댓글주소 수정/삭제 댓글쓰기

    저는 ActiveX 형식이 아니라 사이트체커 깔렸을 때 마우스쉐이커 뿐만 아니라 웜바이러스까지 깔렸는데-_-
    아직까지 둘 다 해결이 되지 않아서 고전을 면치 못하고 있습니다.......... 후우......ㅠㅠ

  • 아아악ㄱㅁㄷ러ㅣ담류ㅠ 2009.12.17 09:17 댓글주소 수정/삭제 댓글쓰기

    전 명령한다음에 2개의 파일이 나오지 않는데 어쩌죠 ㅜㅜ

  • 아아아아 2009.12.20 00:26 댓글주소 수정/삭제 댓글쓰기

    레지스트리에서 ConCreat 어쩌고 삭제하고
    음,,
    레지스트리에 다 없길래 있는게 한 세개정도되서
    지우라고 하신거 다 못지우고
    재부팅해보니까
    여전히 시작메뉴옆에 있네요
    마우스쉐이커ㅡㅡ
    원래 다 지우고 나면
    이렇게되는건가요??
    글고
    직접C:Window거기다 검은색창에
    ConCreats이거 치니까
    안나오는거봐선
    다지워진건가요? 근데시작메뉴에
    남아있으니까
    좀그래요-_-

    도와주세요..

    • 재부팅 후에도 여전히 존재하다면 그 사이에 파일 구조가 달라졌을 수 있을 것으로 보입니다.

      이 부분은 재확인을 해보고 정리를 다시 하겠습니다.

  • 죄송한데요 2010.01.19 19:48 댓글주소 수정/삭제 댓글쓰기

    제가 아직 어려서 인지........
    무슨 소린지 하나도 모르겠습니다................;;

  • 욕나오네 2010.03.08 10:03 댓글주소 수정/삭제 댓글쓰기

    뭡니까 여기 누르니까 창만 계속 뜨고 뭘 걸어놓은거에요? 나참