본문 바로가기

벌새::Analysis

[삭제] MicrowindowSearch

국내에서 제작된 광고성 프로그램으로 제어판을 통한 삭제를 지원하지 않는 MicrowindowSearch 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\WINDOWS\system32\MicrowindowSearch
C:\WINDOWS\system32\MicrowindowSearch\FreeApp.exe
C:\WINDOWS\system32\MicrowindowSearch\makeguid.dll
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch Update Log.txt
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.dat
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\MicrowindowSearch\unins000.dat
C:\WINDOWS\system32\MicrowindowSearch\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\WindowServiceNT.exe :: Application Special Management 서비스 등록 파일

[생성 파일 진단 정보]

C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
 - MD5 : a555fc8d758367b0ec9fb0a34f5a10c7
 - AhnLab V3 : PUP/Win32.365Web (VirusTotal : 6/43)

해당 프로그램은 사용자가 인지하기 어려운 "C:\WINDOWS\system32\MicrowindowSearch" 폴더에 파일을 생성하며, Windows 시작시 MicrowindowSearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
GET /MicrowindowSearch/MicrowindowSearch.ts1 HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Setup Factory
Host: update.mylinks.kr
Connection: Keep-Alive
Cache-Control: no-cache
참고로 실행된 파일은 특정 광고 업데이트 서버에 접속하여 MicrowindowSearch.ts1 파일을 체크하도록 되어 있습니다.

 

또한 시스템 시작시 서비스에 등록된 "Application Special Management" 항목을 통해 "C:\WINDOWS\system32\WindowServiceNT.exe" 파일을 실행하도록 구성되어 있습니다.

 

서비스를 통해 실행된 WindowServiceNT.exe 파일 역시 특정 광고 업데이트 서버에 접속하는 동작을 확인할 수 있습니다.

 

참고로 해당 프로그램이 등록한 "Application Special Management" 서비스 항목은 Windows 기본 서비스 중 "AppMgmt(Application Management)"와 유사하게 등록하여 사용자가 정상적인 서비스로 오해를 유발할 수 있으므로 주의하시기 바랍니다.

 

해당 프로그램이 업데이트 체크를 할 때마다 기록되는 로그(Log)를 확인해보면 고의적으로 제어판에 등록하는 프로그램 삭제 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MicrowindowSearch_is1)을 삭제하여 제어판 삭제 목록에 MicrowindowSearch 프로그램이 표시되지 않도록 하는 동작을 확인할 수 있습니다.

그러므로 프로그램 삭제를 위해서는 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

 

프로그램 삭제는 윈도우 탐색기를 통해 "C:\WINDOWS\system32\MicrowindowSearch\unins000.exe" 파일을 찾아 수동으로 실행을 하면 "MicrowindowSearch 제거" 창이 생성됩니다.

 

실제 삭제를 진행하면 정상적으로 생성 폴더와 파일을 삭제하는 것을 확인할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AppDataLow\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MicrowindowSearch = C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_APPLICATIONSPECIALMANAGEMENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
ApplicationSpecialManagement

해당 프로그램은 현재 광고 기능은 존재하지 않는 것으로 보이지만, 삭제 기능을 악의적으로 제거하여 삭제를 방해하며 시스템 시작시마다 특정 서버에 접속하는 동작으로 인해 원치 않는 추가적인 동작이 발생할 수 있으므로 삭제를 권장합니다.
  • 오평아 2012.02.27 01:35 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다~
    그런데 예전부터 조금 궁금하였던 건데, 삭제를 지원하지 않는 프로그램에 대해서 법적 제제가 가능한가요? 저 프로그램은 그나마 uninstall 파일이 존재하기라도 하지, 파일이 아예 존재하지 않는 것들도 가끔씩 보이더군요;;;

    • 악의적으로 삭제를 지원하지 않는 광고 프로그램 같은 경우 애드웨어로 진단하는 근거가 되는 것으로 알고 있습니다.

      문제는 삭제 지원이 안되는 이유가 제작한 업체에서 버그라고 말하면 참 애매하죠.

  • C:\WINDOWS\system32\MicrowindowSearch 폴더를 실수로 통째로 그냥 지워버려서
    언인스톨 할수가 없습니다 혹시 이럴땐 어떻게 해야 되는지 알수 있을까요?

  • 하이후헤호 2012.05.13 15:16 댓글주소 수정/삭제 댓글쓰기

    벌새님 참고많이 되었습니다..
    오늘 알게된건데. MicrowindowSearch와 PRIVACYBOHO가 연결되어있는거 같습니다.
    프라이버시보호 지워도 계속 컴터만 키면 생성되길래 마이크로윈도서치부터 지우고
    프라이버시보호 지우니까 더이상 생성되지 않더라구요..
    저가 컴터를 잘몰라서 고생했는데 덕분에 많은 도움 받았네요.

    고맙습니다.

  • 너구리 2012.05.13 23:49 댓글주소 수정/삭제 댓글쓰기

    휴~ 님 덕분에 싹 청소했네요
    속이 다 시원합니다
    진심으로 감사합니다 ^^

  • ㅁㄴㅇㄹ 2012.05.17 23:34 댓글주소 수정/삭제 댓글쓰기

    system32폴더에 마이크로윈도서치 폴더 자체가
    없는 경우에는 어떻하죠? ㄷㄷ

    • 이 프로그램이 당시 글 작성과 달리 다른 폴더에 설치하지 않았다면 해당 프로그램은 사용자 PC에 설치되어 있지 않을 것으로 보입니다.

      대신 다른 프로그램으로 고생하시는게 아닌가 싶습니다.

  • widhu 2012.06.24 21:48 댓글주소 수정/삭제 댓글쓰기

    microwindowserch폴더를 지워서 찾을 수 없지만 시작시 작업표시줄에 아이콘이 뜨다가 몇초후에 사라지네요....레지스트리 값을 삭제하라는 건 기본값을 삭제하나요 폴더자체를 삭제하나요?

    • C:\WINDOWS\system32\WindowServiceNT.exe 해당 파일을 삭제하지 않아서 문제가 되는게 아닌가 싶습니다.

      확인하시기 바라며, 레지스트리 값 삭제는 실행창에 regedit 명령어를 입력하여 생성된 레지스트리 편집기에서 제시된 레지스트리 값을 찾아 제거하셔야 합니다.

      주의할 점은 레지스트리 값을 잘못 삭제하면 시스템에 문제가 발생할 수 있으므로 주의하시기 바랍니다.

  • 음.. 2012.07.10 14:58 댓글주소 수정/삭제 댓글쓰기

    짜증나서 파일을다지웠더니
    업데이트파일을 찾을수없다면서
    failed to find update data file 창이
    계속뜨는데 어떻게하죠 0.5초간격으로떠요;;;

  • 사짜 2012.07.10 16:59 댓글주소 수정/삭제 댓글쓰기

    하루 안한 컴퓨터.
    부팅하니 완전 미친듯이 느려지더군요
    자꾸 무슨 프롬프트 뜨면서 없어졌다 생겼다를 반복하길래
    작업관리자 들어가보니 마이크로윈도우서치 업데이트와 윈도우툴 업데이트 계속 반복...

    정보 감사합니다 ㅎ

  • 렌쓰 2012.07.15 10:44 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사 합니다.
    마니 짜증나서 포맷을 할까 생각 했었는데
    없어 졌네요..
    완전 감사 합니다...^^

  • xiode 2013.02.05 11:58 댓글주소 수정/삭제 댓글쓰기

    한동안 이것 때매 애좀 먹었는데
    벌새님 포스팅을 보고 그대로 했더니
    완벽히 삭제!
    좋은 정보 너무 감사합니다~^^

  • 감사합니다 2013.05.12 11:22 댓글주소 수정/삭제 댓글쓰기

    갑자기 백신이 작동하길래 무엇인가 싶어서 검색해보니 이런녀석이!

    감사합니다 ^^

  • 아ㅏㅏ 2013.09.28 12:34 댓글주소 수정/삭제 댓글쓰기

    씨밯존나 제어판도안켜지도 내컴푸터도안커지고 탐색기도안켜지는데 자살할까요

  • 집가이 2013.11.28 03:48 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 도움이 되었습니다. ^^

  • 실수 2015.02.02 10:41 댓글주소 수정/삭제 댓글쓰기

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
    에서 Root폴더를 삭제해버렸습니다.
    이럴때 무슨 문제가 생길수 있나요?

  • 찾아보니 2015.07.23 10:13 댓글주소 수정/삭제 댓글쓰기

    찾아보니 system32에만 있는것이 아니라 syswow64 같은 폴더에더 있더군요... 게다가 팝업창 기능도 활성화 되있었어요..

  • 우왕 ㅠㅠ 2016.06.19 10:40 댓글주소 수정/삭제 댓글쓰기

    항상 시작프로그램에 microwindowsearch가 뜨고, 시작프로그램에서 지워도 뜨고,,, 윈도우 자체 프로그램인가 했는데 나쁜 프로그램이군요!! 덕분에 해결했습니다. wow64폴더에 있었네요. ^^ 감사합니다!!

  • 우왕 ㅠㅠ 2016.06.19 11:01 댓글주소 수정/삭제 댓글쓰기

    바로 위에 감사의 답글을 드렸는데, 방금 재부팅하니까 또 시작프로그램에 microwindowsearch가 있네요. ㅠㅠ 이제 syswow64 안에는 microwindowsearch가 없는데 혹시 해결하는 방법이 있을까요...? 블로그에서 검색해서 catroot 파일도 삭제했는데...
    이게 syswow64의 catroot 파일은 언인스톨 실행해서 삭제했고,,, system32 폴더에 마찬가지로 catroot 파일이 있고 이상한 알파벳이 길게 적힌 폴더가 2개 있는데요,, 이것 때문에 그럴까요...? 파일 검색해보니까 pvinc도 있는데 제어판에는 없네요...

  • 우왕ㅠㅠ 2016.06.20 15:49 댓글주소 수정/삭제 댓글쓰기

    말씀하신 대로 하려고 했더니, 또 지금은 새로 설치되지 않는 것 같습니다...! 다음에 또 문제가 생겼을 때 해결이 안 된다면 run 파일과 함께 질문드리겠습니다. ^^ 블로그에 좋은 정보 주셔서 감사합니다. 좋은 하루 보내세요..!!