국내에서 제작되어 웹 브라우저 상에 툴바(Toolbar) 방식으로 동작하는 검색 도우미 플러스라인(PlusLine) 프로그램에 대해 살펴보도록 하겠습니다.

참고로 해당 프로그램은 싸이올드게임 Cy-Search 프로그램과 유사성이 있으므로 참고하시기 바랍니다.


[생성 파일 등록 정보]

C:\Program Files\MicroOn\MicroOn.dat
C:\Program Files\MicroOn\MicroOn.exe :: MicroOn 프로그램 실행 파일
C:\Program Files\MicroOn\MicroOn_updater.exe :: 시작 프로그램 등록 파일
C:\Program Files\PlusLineIU\ADPopupPL.dll :: BHO 등록 파일
C:\Program Files\PlusLineIU\PLUninstallIU.exe :: PlusLine 프로그램 삭제 파일
C:\Program Files\PlusLineIU\PlusLineIU.dll :: BHO 등록 파일
C:\Program Files\PlusLineIU\PlusLineUpdateIU.exe :: 시작 프로그램 등록 파일C:\WINDOWS\system32\MicroOn_uninstaller.exe :: MicroOn 프로그램 삭제 파일
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MicroOn.lnk

해당 프로그램을 설치할 경우 플러스라인(PlusLine) 툴바 프로그램은 [C:\Program Files\PlusLineIU] 폴더에 파일을 생성하며, 추가적으로 [C:\Program Files\MicroOn] 폴더에 프로그램 업데이트를 관리하는 것으로 추정되는 MicroOn 프로그램을 설치합니다.

해당 프로그램이 설치된 환경에서 Windows 시작시 MicroOn_updater.exe 파일을 시작 프로그램으로 등록하여 PlusLine 버전을 체크하여 알려주는 MicroOn 프로그램이 그림과 같이 동작하는 것을 확인할 수 있으며, 추가적으로 PlusLineUpdateIU.exe 파일을 시작 프로그램으로 등록하여 실행되도록 구성되어 있습니다.

플러스라인(PlusLine) 프로그램은 사용자가 Internet Explorer를 실행하여 검색을 시도할 경우 그림과 같이 웹 브라우저 상단에 툴바(Toolbar) 방식으로 동작하며, 일반 사용자는 해당 툴바의 이름을 확인하기 매우 어렵기 때문에 프로그램 삭제에 어려움이 예상됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

AdPopupB

 - 게시자 : Widebiz
 - CLSID : {397CFDD8-762F-44D4-9517-E3969F89639E}
 - 파일 : C:\Program Files\PlusLineIU\ADPopupPL.dll

PlusLineIU
 - 게시자 : Widebiz
 - CLSID : {FD45D0CF-F185-44F5-AA0A-9D856B9814B4}
 - 파일 : C:\Program Files\PlusLineIU\PlusLineIU.dll

해당 프로그램은 Internet Explorer 실행시 iexplore.exe 프로세스에 ADPopupPL.dll / PlusLineIU.dll 2개의 파일을 BHO 방식으로 등록하여 키워드 감시를 통한 툴바 생성 동작이 발생합니다.

프로그램 삭제시에는 모든 Internet Explorer를 종료한 상태에서 제어판의 [MicroOn] 삭제 항목과 [PlusLine Uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

PlusLine Uninstall 삭제시에는 그림과 같이 제시되는 4자리 문자를 입력하여 삭제를 진행하실 수 있습니다.

참고로 MicroOn 프로그램의 삭제 파일은 프로그램 설치 폴더가 아닌 [C:\WINDOWS\system32\MicroOn_uninstaller.exe] 파일로 존재하므로 참고하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\ADPopup.AdPopupB
HKEY_CLASSES_ROOT\ADPopup.AdPopupB.1
HKEY_CLASSES_ROOT\CLSID\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_CLASSES_ROOT\CLSID\{FD45D0CF-F185-44f5-AA0A-9D856B9814B4}
HKEY_CLASSES_ROOT\Interface\{63C44FF9-D0B5-4AE6-BA95-66B5CCA1152F}
HKEY_CLASSES_ROOT\Interface\{88F1E09F-3F83-42C5-9277-3CD45D52B891}
HKEY_CLASSES_ROOT\SmartBar.PDreamB
HKEY_CLASSES_ROOT\SmartBar.PDreamB.1
HKEY_CLASSES_ROOT\TypeLib\{1B32F9DC-CA3D-4AC6-B290-04E07848263D}
HKEY_CLASSES_ROOT\TypeLib\{7BA6DF99-65C4-4135-8FF2-6AECC28D0AAF}
HKEY_CURRENT_USER\Software\PlusLineIU
HKEY_LOCAL_MACHINE\software\MicroOn
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\ActiveX Compatibility
 - sender = (Random 8자리 숫자)
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{397CFDD8-762F-44D4-9517-E3969F89639E}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FD45D0CF-F185-44f5-AA0A-9D856B9814B4}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - MicroOn = C:\Program Files\MicroOn\MicroOn_updater.exe /check
 - pluslineupdateIU = C:\Program Files\PlusLineIU\PlusLineUpdateIU.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
MicroOn

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
PlusLineIU


프로그램 삭제 후에는 추가적으로 다음의 파일을 수동으로 삭제하시기 바랍니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adpopbrowser.ini
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\PDUninstall.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\popupadproperty.ini

해당 프로그램의 경우에는 실제 설치되는 프로그램이 2개로 구분되어 설치되므로 깨끗하게 삭제를 하기 위해서는 반드시 MicroOn 프로그램과 플러스라인(PlusLine) 프로그램을 함께 삭제하시기 바랍니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..