728x90
반응형
국내에서 제작되어 Internet Explorer 웹 브라우저에 인터넷 쇼핑몰 바로가기 아이콘을 등록하는 동작 이외에 삭제를 지원하지 않는 Window back Manager 서비스 항목(MD5 : 5e3fa8da504dbae924a4bb544878c546)을 등록하는 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램이 실행되면 사용자가 확인하기 어려운 숨김(H) 속성의 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더 내부에 실행 파일을 생성하도록 구성되어 있습니다.
해당 서비스는 실행 후 일정 시간이 경과하면 Favml.exe 파일을 실행 후 자신은 서비스 중지 상태를 유지합니다.
해당 프로그램은 삭제 기능 자체가 존재하지 않으므로 다음과 같은 절차에 따라 수동으로 폴더(파일), 레지스트리 값을 찾아 삭제하시기 바랍니다.
위에 제시한 "생성 폴더 / 파일 등록 정보"를 참고하여 삭제를 하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 다음의 생성값을 수동으로 삭제하시기 바랍니다.
위와 같은 프로그램은 삭제를 지원하지 않는 관계로 웹 브라우저에 등록된 인터넷 쇼핑몰 바로가기를 계속적으로 이용하여 프로그램 제작자(배포자)에게 수시로 금전적 혜택을 줄 수 있으며, 서비스에 등록된 파일은 차후 또 다른 광고 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\atshut.exe :: 재부팅 후 자가 삭제
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites\bcgrsvc.exe :: Window back Manager 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites\Favml.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\d&shop.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Application Data\atshut.exe :: 재부팅 후 자가 삭제
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites\bcgrsvc.exe :: Window back Manager 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Favorites\Favml.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\d&shop.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
해당 프로그램이 실행되면 사용자가 확인하기 어려운 숨김(H) 속성의 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더 내부에 실행 파일을 생성하도록 구성되어 있습니다.
해당 서비스는 실행 후 일정 시간이 경과하면 Favml.exe 파일을 실행 후 자신은 서비스 중지 상태를 유지합니다.
해당 프로그램은 삭제 기능 자체가 존재하지 않으므로 다음과 같은 절차에 따라 수동으로 폴더(파일), 레지스트리 값을 찾아 삭제하시기 바랍니다.
위에 제시한 "생성 폴더 / 파일 등록 정보"를 참고하여 삭제를 하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 다음의 생성값을 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\atshut.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOW_BACK_MANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window back Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\atshut.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOW_BACK_MANAGER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window back Manager
위와 같은 프로그램은 삭제를 지원하지 않는 관계로 웹 브라우저에 등록된 인터넷 쇼핑몰 바로가기를 계속적으로 이용하여 프로그램 제작자(배포자)에게 수시로 금전적 혜택을 줄 수 있으며, 서비스에 등록된 파일은 차후 또 다른 광고 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.
728x90
반응형