인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "INIWebLink" 프로그램(MD5 : c40bf2d513cd8d6bbc1004e12b76f986)에 대해 살펴보도록 하겠습니다.
C:\Documents and Settings\All Users\Application Data\iniweblink
C:\Documents and Settings\All Users\Application Data\iniweblink\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\iniweblink\weblink.exe :: 메모리 상주 프로세스
C:\Documents and Settings\All Users\Application Data\iniweblink\weblinkup.exe :: 시작 프로그램 등록 파일
C:\Program Files\pims
C:\Program Files\pims\PIIMSService.exe :: 서비스(PIIMSService) 등록 파일
- C:\Documents and Settings\All Users\Application Data\iniweblink\weblink.exe (MD5 : 31be5d72ac060e78eb3a56009a07bcb8) - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 1/46)
해당 프로그램은 "C:\Documents and Settings\All Users\Application Data\iniweblink" 폴더에 파일을 생성하며, Windows 시작시 weblinkup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 weblinkup.exe 파일은 프로그램 버전 체크를 한 후, 광고 기능을 수행하는 weblink.exe 파일을 로딩하여 메모리에 상주시킵니다.
추가적으로 INIWebLink 프로그램과 함께 설치되는 "C:\Program Files\pims\PIIMSService.exe" 파일은 "PIIMSService(piims)" 서비스 항목을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.
자동 실행된 서비스 파일(PIIMSService.exe)은 특정 서버와 통신하는 동작을 확인할 수 있으며, 서비스 설명(PC Information Management Service)을 봐서는 사용자 PC의 정보를 체크할 것으로 추정됩니다.
▷ 검색 도우미 : searchup (2012.8.6)
이렇게 설치된 INIWebLink 프로그램은 사용자가 인터넷 검색시 추가적인 광고창을 생성하는 동작이 이루어지며, 이 과정에서 기존의 서치업(SearchUp) 광고 솔루션과 연관된 부분이 존재합니다.
해당 광고 동작은 weblink.exe 프로세스를 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 weblink.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "INIWebLink[024] uninstall" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 등록된 프로그램 이름은 배포 파일에 따라 숫자가 달라질 수 있을 것으로 추정됩니다.)
제어판을 통한 프로그램 삭제 이후에도 서비스 항목에 등록된 "C:\Program Files\pims\PIIMSService.exe" 파일(MD5 : feb4c85ed86de94d154ccab8e58a6969)은 삭제되지 않고 시스템 시작시마다 통신하는 부분이 확인되고 있습니다.
그러므로 프로그램의 깨끗한 삭제를 위해서는 다음과 같은 추가적인 절차에 따라 프로그램을 삭제하시기 바랍니다.
(1) 실행창에 [sc delete "PIIMSService"] 명령어를 입력하여 서비스를 삭제하시기 바랍니다.
(2) Windows 탐색기를 실행하여 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\pims
- C:\Program Files\pims\PIIMSService.exe
(3) 레지스트리 편집기(regedit)를 실행하여 제시된 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- iniweblink = "C:\Documents and Settings\All Users\Application Data\iniweblink\weblinkup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\iniweblink
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PIIMSSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PIIMSService
특히 제어판에 등록된 "INIWebLink[024] uninstall" 프로그램 이름이 금융권에서 제공하는 보안 솔루션(INISAFE 등)과 유사하므로 혼동하지 않도록 주의하시기 바랍니다.
감사합니다 ㅠㅠ
저도 은행관련 프로그램인줄 알고 삭제를 안했었네요
단순히 팝업제공뿐만이 아니라 정보를 빼간다니 어이가없네요
암튼 무사히 삭제마쳤습니다 감사합니다!!
방문해 주셔서 감사합니다.^^
정말 감사드립니다. 요즘 컴퓨터의 속도가 현저히 느려지고 검색을 할때마다 팝업창이 5개씩 떠서 아주 미쳐버릴 지경이었는데 덕분에 다 삭제할 수 있었습니다. 정말 감사드립니다.
해결이 되셨다니 다행입니다. 이런 프로그램이 설치되었다면 다른 유사한 프로그램들이 함께 설치되었을 수 있으므로 잘 확인해 보시기 바랍니다.ㅠㅠ
익스플러어 사용을 하면 광고창이 2개씩 뜨고 그래서 왜그런가 했는데 이것 때문일 수 도 있군요. 크롬에서는 광고창이 안뜨던데 익스플러어의 취약성이 있는 걸까요...
웹 브라우저 취약점이 아니라 상당수의 국내 광고 프로그램은 IE 웹 브라우저를 대상으로 합니다. 이유는 사용자가 많기 때문이죠.
저는 실행창에 sc delete "PIIMSService"를 입력하면 삭제할수 없다고 나오네요ㅠㅠㅠ혹시 방법을 아시나요??
PIIMSService 서비스가 존재하지 않을 경우에는 그럴 수 있으며, 이 글은 Windows XP 기준이므로 Windows 7 운영 체제의 경우에는 명령 프롬프트를 관리자 권한으로 실행하여 명령어를 입력해야 합니다.