본문 바로가기

벌새::Analysis

[삭제] 엔터링(Entering)

빠른 실행, 즐겨찾기, 바탕 화면에 바로가기 아이콘을 생성하며, 프로그램 삭제 이후에도 정상적인 광고 행위가 지속되는 엔터링(Entering) 프로그램(MD5 : 75de1c4e7d813aed0b7328315ed96da0)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\오락실게임바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\오락실게임.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\오락실게임.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
C:\Program Files\icons
C:\Program Files\icons\entering
C:\Program Files\icons\entering\entering.exe
C:\Program Files\icons\entering\history1.txt
C:\Program Files\icons\entering\history2.txt
C:\Program Files\icons\entering\history3.txt
C:\Program Files\icons\entering\uninst_entering.exe :: 프로그램 삭제 파일
C:\Program Files\icons\tmp
C:\Program Files\icons\tmp\11st.ico
C:\Program Files\icons\tmp\auction.ico
C:\Program Files\icons\tmp\cjmall.ico
C:\Program Files\icons\tmp\dnshop.ico
C:\Program Files\icons\tmp\emart.ico
C:\Program Files\icons\tmp\gmarket.ico
C:\Program Files\icons\tmp\gseshop.ico
C:\Program Files\icons\tmp\halfclub.ico
C:\Program Files\icons\tmp\playgames.ico
C:\WINDOWS\system32\entering-se.exe :: 서비스(Entering Service) 등록 파일
C:\WINDOWS\system32\enteringu.exe

 

엔터링(Entering) 프로그램은 "C:\Program Files\icons" 폴더 및 시스템 폴더에 실행 파일을 생성하며, "Entering Service" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\entering-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일은 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크를 하며, "C:\WINDOWS\system32\enteringu.exe" 파일 실행을 통한 프로그램 버전 체크 및 "C:\Program Files\icons\entering\entering.exe" 파일 실행을 통한 바콘(Bacon) 정보를 확인하도록 제작되어 있습니다.

이를 통해 즐겨찾기, 바탕 화면, 빠른 실행 영역에 특정 광고 코드(click.clickstory.co.kr)로 연결되는 다수의 인터넷 쇼핑몰 및 상업적 사이트 관련 바로가기 아이콘을 생성합니다.

프로그램은 제어판의 "entering" 삭제 항목을 통해 정상적으로 삭제를 지원하는 것처럼 제작되어 있지만, 제어판을 통한 삭제에서는 다음의 폴더(파일)만을 삭제 처리합니다.

 

  • C:\Program Files\icons\entering
  • C:\Program Files\icons\entering\entering.exe
  • C:\Program Files\icons\entering\history1.txt
  • C:\Program Files\icons\entering\history2.txt
  • C:\Program Files\icons\entering\history3.txt
  • C:\Program Files\icons\entering\uninst_entering.exe

이로 인하여 프로그램 삭제 이후에도 서비스 실행 및 바로가기 아이콘을 통한 지속적인 수익 창출이 가능하므로, 제어판을 통한 삭제 이후에 다음과 같은 추가적인 절차를 통해 프로그램을 제거하시기 바랍니다.

 

(1) 실행창에 [sc delete "enteringservice"] 명령어를 입력하여 서비스를 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
ENTERINGSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\enteringservice

(2) 다음의 폴더(파일), 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\11번가바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\오락실게임바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\옥션바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\지마켓바로가기.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\GS샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\오락실게임.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\지마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\씨제이몰.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\오락실게임.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\이마트.lnk
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\지마켓.lnk
  • C:\Program Files\icons
  • C:\Program Files\icons\tmp
  • C:\Program Files\icons\tmp\11st.ico
  • C:\Program Files\icons\tmp\auction.ico
  • C:\Program Files\icons\tmp\cjmall.ico
  • C:\Program Files\icons\tmp\dnshop.ico
  • C:\Program Files\icons\tmp\emart.ico
  • C:\Program Files\icons\tmp\gmarket.ico
  • C:\Program Files\icons\tmp\gseshop.ico
  • C:\Program Files\icons\tmp\halfclub.ico
  • C:\Program Files\icons\tmp\playgames.ico
  • C:\WINDOWS\system32\entering-se.exe
  • C:\WINDOWS\system32\enteringu.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\entering
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - entering_utkorea = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - entig = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\entering
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ENTERINGSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\enteringservice

 

바로가기 아이콘을 생성하여 수익을 창출하는 광고 프로그램 중에는 제어판을 통한 프로그램 삭제 이후에도 제대로 삭제하지 않는 문제를 가진 프로그램이 상당수 존재하므로 주의하시기 바랍니다.

  • Entering 2012.12.25 10:38 댓글주소 수정/삭제 댓글쓰기

    지나가던 길에 우연히 보게 됬는데, 좋은 정보 감사드립니다!

  • 신록 2013.01.06 00:18 댓글주소 수정/삭제 댓글쓰기

    와 감사해요!! 속이 다 시원하네영

  • 이해를못했습니다 2013.01.27 09:44 댓글주소 수정/삭제 댓글쓰기

    수동삭제부분을 이해하지못했습니다 ㅠ

    • 실행창에 제시된 명령어를 넣어 서비스를 삭제하시고, 윈도우 탐색기로 파일을 찾아 제거하시고, 레지스트리 편집기(regedit)를 실행하여 제시된 레지스트리 값을 삭제하시기 바랍니다.

  • 엔터링개객끼 2013.01.28 11:19 댓글주소 수정/삭제 댓글쓰기

    휴 지워도 지워도 계속 실행되길래 짜증 났었는데 정말 감사합니다.
    이렇게 사용자 동의도 없이 슬쩍 설치되고 삭제도 힘든 프로그램 개발사 고발하는 방법은 없나요? 정말 화나게 만드는 넘들이더군요.

    • 보통 이런 프로그램은 사용자가 잘 확인하지 않도록 하는 편법으로 설치되지만 사용자 동의를 받는 부분이 있기에 고발을 해도 처벌 대상은 아닐 것으로 보입니다.

      프로그램 삭제 이후에도 남아있는 부분은 어느 프로그램에서나 발견될 수 있는 버그(Bug)로 말하면 또 아무런 문제가 없는 그런거죠.ㅠㅠ

      결국에는 사용자들이 알아서 주의할 수 밖에는 없는게 현실 같습니다.

  • 민경 2013.01.29 14:29 댓글주소 수정/삭제 댓글쓰기

    매일매일 지웠는데 왜 계속 깔려있나했더니ㅠㅠㅠ
    글보고 전부다 지웠어요
    감사합니다!!!!!!

  • 디오 2013.01.29 15:57 댓글주소 수정/삭제 댓글쓰기

    요즘은 이런 망할 프로그램들이 제어판에서도 알아 볼 수 없게 해 놨더라구요.
    마이크로소프트 사이에 끼어서 프로그램 이름도 마이크로 어쩌구 저쩌구로...
    회사에서 인터넷 쇼핑한 적 없는데, 인터넷 쇼핑 관련 아이콘이 바탕화면에 떡하니 있고... 연금공단이나 국가 관련 사이트에서 첨부 파일 다운 받을 때 프로그램 안 깔리게 하겠다고 체크했는데도 어느 순간 깔려 있어요.
    오늘 간신히 제거했네요. 감사합니다.
    어느 순간 또 깔린지 모르겠지만요.

  • 속이후련 2013.02.01 09:39 댓글주소 수정/삭제 댓글쓰기

    감사합니다...

    저주받을 엔터링, 스마트 모드,,,

    이런거 제작하는놈들 잡아다 콩밥 먹여야되는데...

  • 완두콩 2013.02.01 22:45 댓글주소 수정/삭제 댓글쓰기

    엔터링 삭제방법 올려주셔서 정말감사합니다
    이것때문에 부모님이랑도 아무거나 누르면 안된다고 말다툼까지 했었는데ㅜ.ㅜ
    부모님 컴퓨터 봐드리면서 벌새님 정보가 정말 유용했어요
    고맙습니다^^

  • 감사합니다 2013.02.04 21:49 댓글주소 수정/삭제 댓글쓰기

    아주 속이 다 시원하네요. 깔끔하게 제거해버렸습니다.. 크크

  • 감사한데 2013.02.11 11:26 댓글주소 수정/삭제 댓글쓰기

    감사하긴 한데 전 명령어를 치면 아무것도 안뜨네요..

    • 해당 명령어를 친다고 해서 뭐가 뜨는 것이 아니라 서비스를 삭제하도록 하는 기능을 수행합니다.

      그래서 해당 그림 하단에 해당 명령어로 삭제되는 레지스트리 값을 기록해 두었으므로 참고하시기 바랍니다.

      외형적으로 눈에 보이지는 않습니다.

      그리고 Windows 7 운영 체제의 경우에는 XP와는 좀 다른 방식으로 명령어를 입력해야 합니다.

      이 글은 XP 기준으로 작성되어서 그 부분은 언급하지 못했습니다.

  • 우왕굳 2013.02.21 01:11 댓글주소 수정/삭제 댓글쓰기

    이런 거 지워도 안 지워질 때 너무 기분 나쁜데, 벌새님 덕분에 잘 해결했네요. 정말정말정말 감사합니다!!!

  • 레지스트리 밑에서 3번째 2013.02.21 11:16 댓글주소 수정/삭제 댓글쓰기

    밑에서 3번째부터 안보이네요.. 왜이러나요 ㅠㅠ

    • 일부 존재하지 않는 레지스트리 값은 프로그램 제어판을 통한 삭제를 한 경우 이미 삭제되었거나, 다른 변종 프로그램으로 인해 변경되었을 수도 있습니다.

      일단 레지스트리 값 중에 없는 부분은 Skip 하시기 바랍니다.

  • 강가에서 2013.02.22 14:08 댓글주소 수정/삭제 댓글쓰기

    저... window 7에서는 어떻게 해야 하나요? 시작에서 실행창이 뜨지도 않네요...
    엔터링 완전 짜증 납니다...

    • Windows 7 환경에서는 프로그램 목록 중 "보조 프로그램 - 명령 프롬프트" 메뉴를 선택하여 마우스 우클릭을 통해 "관리자 권한으로 실행"을 선택하시기 바랍니다.

      그 후에 해당 명령어를 입력해 보시기 바랍니다.

  • 맑은샘 2013.02.28 21:33 댓글주소 수정/삭제 댓글쓰기

    너무 감사합니다.
    가르쳐주신대로 어제 다 삭제했는데
    오늘 또 다시 엔터링이 생겼어요.
    어디서 묻어 나오는 것일까요?

    • 엔터링 프로그램은 혼자서 설치되는게 아니라 다른 다양한 프로그램(다운로드 창, 업데이트 창 등)을 통해 설치가 이루어지고 있는 것으로 보입니다.

      아마 사용자 PC에 다른 유사한 광고 프로그램 또는 광고 프로그램 설치를 목적으로 제작된 프로그램이 있는 것으로 보이므로 제어판을 중심으로 잘 살펴보시기 바랍니다.

  • 송병수 2013.03.18 15:54 댓글주소 수정/삭제 댓글쓰기

    저는 실행을 하면 실행창이 떴다가 바로 사라져 버리는데
    왜 그러는 거죠???
    제컴도 그렇고 다른직원 컴도 지금 엔터링땜에 피곤해요

    • Windows XP 환경에서는 글에서 소개한 방법대로 하셔도 되지만, Windows 7 환경에서는 보조 프로그램의 명령 프롬프트를 관리자 권한으로 실행하여 명령어를 입력해야 합니다.

      아마 운영 체제가 XP가 아니라서 그런 것으로 보입니다.

  • 대박 감사! 2013.03.24 02:21 댓글주소 수정/삭제 댓글쓰기

    대박! 재부팅안해봤는데 안뜰꺼같은 예감이듭니다ㅎㅎ 저도 동생부모님이 컴퓨터만지면 항상 이런 골칫덩이가 생기곤하는데 이놈의 엔터링업데이트는 드디어 없애는군요..
    네이버지식인에는 헛소리만 늘어져있고.. 님덕분입니다! 감사합니다!

  • 감사합니다 2013.03.24 15:52 댓글주소 수정/삭제 댓글쓰기

    프로그램 추가/제거 에서 모르는게 많아서 찾아왔다가, 많은 정보 얻고 갑니다.
    특히 엔터링! 이 양심에 털난 XX들 드디어 뿌리 뽑겠네요.
    종종 찾아와 정보 얻어 갈게요.

    정말 감사!

  • 감사합니다.. 2013.03.30 08:26 댓글주소 수정/삭제 댓글쓰기

    정말 짜증나는 프로그램들이 많네요..
    덕분에 속시원하게 해결하고 갑니다~!
    복받으실거에요~ ^^

  • 오베아 2013.04.16 15:09 댓글주소 수정/삭제 댓글쓰기

    감사합니다.