본문 바로가기

벌새::Analysis

검색 도우미 : KCW Ad Matching

인터넷 검색시 추가적인 광고창이 생성되는 검색 도우미 KCW Ad Matching 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 스폰서키워드(SponsorKeyword) (2011.6.24)

 

  검색 도우미 : SponsorMatch (2011.10.24)

 

해당 프로그램은 기존의 스폰서키워드(SponsorKeyword), SponsorMatch 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adm :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adm\adinstall.exe
C:\Program Files\AdMatching
C:\Program Files\AdMatching.prj
C:\Program Files\AdMatching\AdMatching.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\AdMatching\admsys.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\AdMatching\unins000.dat
C:\Program Files\AdMatching\unins000.exe :: 프로그램 삭제 파일

 

해당 프로그램은 "C:\Program Files\AdMatching" 폴더에 파일을 생성하며, Windows 시작시 AdMatching.exe, admsys.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

해당 프로그램이 설치된 환경에서 인터넷 검색시 키워드 값을 참조하여 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다. 

광고창 생성 과정을 살펴보면 인터넷 검색 키워드 값을 메모리에 상주하는 AdMatching.exe 프로세스가 특정 광고 서버로 전송하여 스폰서키워드(SponsorKeyword) 검색 API 엔진에서 제공하는 광고창을 생성하는 것으로 확인되고 있습니다. 

해당 광고 동작은 메모리에 상주하는 AdMatching.exe 프로세스를 통해 이루어지며, 추가적으로 자동 실행된 admsys.exe 프로세스는 프로그램 업데이트 체크 기능 이외에 AdMatching.exe 프로세스 보호 기능을 가지고 있습니다. 

만약 사용자가 광고 동작의 중지를 위해 AdMatching.exe 프로세스를 수동으로 종료한 경우 admsys.exe 프로세스는 주기적으로 AdMatching.exe 프로세스 동작 여부를 체크하여 자동으로 재실행하는 동작을 확인할 수 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 프로세스 종료 순서를 반드시 "① admsys.exe → ② AdMatching.exe" 순서로 Windows 작업 관리자에서 종료를 하시기 바랍니다. 

프로그램 삭제는 제어판의 "KCW Ad Matching" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.(※ 폴더 옵션에서 숨김 파일 및 폴더 표시에 체크를 하시기 바랍니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adm
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adm\adinstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\AdMatching
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AdMatching = C:\Program Files\AdMatching\AdMatching.exe
 - admsys = C:\Program Files\AdMatching\admsys.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - AdMatching = C:\Program Files\AdMatching\AdMatching.exe
 - admsys = C:\Program Files\AdMatching\admsys.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{51632293-CBB6-47bc-9244-73C44C8516A6}_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 광고 동작 중지를 위한 AdMatching.exe 프로세스 종료시 자동으로 복구되는 행위로 불편을 겪을 수 있으므로 주의하시기 바랍니다.

  • 안녕하세요

    admatching 이라는 프로그램이 자동으로 깔려서 검색창이 저절로 뜨길래

    이 글을 보기 전 일단 제어판에서 admatching 이라는 프로그램이 보여서

    프로그램 삭제를 하고 바이러스 프로그램을 실행하여 바이러스를 삭제하였습니다.

    시작 프로그램에서도 두 프로그램을 체크 해제하였지만

    프로그램 삭제 후에도 여전히 시작 프로그램에도 항목이 남아있는등

    여전히 프로그램이 제거되지 않고 검색창이 자동으로 여전히 뜨고 그래서

    검색 후 뒤늦게 이 글을 보게 되었는데요

    windows 작업관리자나 •C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 폴더에 들어가도 해당 파일이 아예 보이지가 않습니다. 레지스트리
    등록정보에도 보이지가 않는데 (폴더 옵션에서 숨김파일 폴더 표시에 체크를 했습니다)

    이럴땐 어떻게 해야 admatching을 완벽히 제거할 수 있는지
    가르쳐 주시면 감사할 거 같습니다

    • 제어판을 통해 프로그램을 삭제하였다면 우선적으로 C:\Program Files\AdMatching 폴더와 내부 파일이 없어야지 해당 프로그램이 동작하지 않습니다.

      하지만 해당 항목이 제거된 후 시스템 시작시 다시 프로그램이 설치된다면 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adm\adinstall.exe 파일을 통해 반복적으로 설치될 수 있으리라 판단됩니다.

      특히 여기서 말하는 모든 파일이 제거된 후에도 재설치가 된다면 다른 악성 파일 또는 광고 프로그램이 시스템 시작시마다 재다운로드를 통해 설치될 것으로 보이며, 백신 프로그램에서 치료하여도 진단하지 못하는 부분이 존재할 것으로 보입니다.

      그러므로 우선적으로 시작 프로그램(레지스트리 값 참조 : RUN)에 등록된 파일 정보를 확인하여 어떤 파일로 연결되는지 보시고, 해당 파일이 악성인지 여부를 https://www.virustotal.com/ 사이트에 등록하여 검사해 보시기 바랍니다.

      아마 시작 프로그램에 등록된 파일 중 하나가 반복적으로 설치하는게 아닌가 생각됩니다.

  • 안녕하세요 2012.06.24 17:13 댓글주소 수정/삭제 댓글쓰기

    이 글을 읽기전에 먼저, kcw ad matching을 제어판에서 삭제를 했었습니다. 그런데 레지스트리에서도 삭제를 해야하나요? 레지스트리 삭제를 직접 안해봐서 모르겠는데 admatching 파일 전체를 오른쪽 마우스 클릭해서 삭제하기 하면 되나요? 시스템이 불안정해질수 있다고 해서 그렇게 해도 될지 모르겠습니다ㅠㅠ 그냥 그렇게 삭제하면 되는 건지.. 답변 꼭 부탁드립니다 .ㅠ

    • 보통 제어판에서 프로그램 삭제를 하면 레지스트리 값도 함께 제거됩니다.

      그러므로 파일 삭제가 된 상태라면 걱정할 필요없고, 단지 파일 삭제 후에도 해당 프로그램으로 인한 어떤 문제가 지속될 경우에는 생성 레지스트리 값을 참조하여 삭제되지 않은 것을 제거하시면 됩니다.

  • 안녕하세요 2012.06.24 17:55 댓글주소 수정/삭제 댓글쓰기

    제어판에서 삭제한지 한시간 정도 된것 같은데 전처럼 클릭하지 않은 광고창들이 저절로 뜨지는 않습니다. 그런데HKEY_CURRENT_USER\Software\Microsoft\AdMatching 에 나타나는 기본값 이외의 레지스트리가 있고 C:\Program Files\AdMatching\AdMatching\admsys도 보입니다. 이건 그럼 나중에 다시 광고창이 뜰 때 제거 하면 되나요? ㅠ

  • 안녕하세요 2012.06.26 23:21 댓글주소 수정/삭제 댓글쓰기

    흑.다시들렸습니다 ㅠㅠ 계속 떠요..레지스트리도 다 삭제했는데, 제어판에서 프로그램추가/제거에서도 의심스러운건 다 지웠습니다. 그래도 광고창들이 뜨네요.. ㅠㅠ 뜨는횟수는 줄었지만 컴퓨터 하는동안 몇번씩 뜨긴 뜨네요.ㅠ

  • 충고 2012.12.15 09:39 댓글주소 수정/삭제 댓글쓰기

    저도 이것때문에 골치가 아팟는데 프로세스클린 깔아놓으시면 자동으로 지멋대로 광고창들이 막뜨는거 백프로 막을수잇습니다. 저는 컴퓨터를 잘몰라서 레지스트리? 그런거 삭제를 할줄몰라서 원천적인 그 프로그램 삭제는 못해도 막을수는 잇어서 프로세스클린애용중입니다 저처럼 컴터 못하는분들께 강추

  • 덕분에 잘 지웠습니다 2012.12.28 17:52 댓글주소 수정/삭제 댓글쓰기

    이 녀석 때문에 검색하다가 오게 되었는데 여기 정말 좋네요 ㅠㅠ
    지식에 정말 감탄하고 갑니다 ㅠㅠ 즐찾해두고 자주 들릴게요 감사합니다

  • 좋은일 하시네요..도움받고 갑니다..담에 또 들를께요..
    새해 복 많이 받으세요~~

  • 감사합니다^^ 2013.01.19 06:02 댓글주소 수정/삭제 댓글쓰기

    새해 복많이 받으세요^^

  • 윈도8 2013.02.07 20:54 댓글주소 수정/삭제 댓글쓰기

    windows 8에서 삭제가 안됩니다.
    프로그램도 없고, regedit에도 없는데 어디선가 살아납니다.

    • 해당 폴더 위치에 파일이 존재하지 않는다면 유사한 다른 광고 프로그램이 아닌가 싶습니다.

      프로세스에서 동일한 이름으로 존재한다면 해당 프로세스가 어떤 위치에 존재한지 확인하여 프로그램을 삭제하시는 것도 방법입니다.