인터넷 검색시 추가적인 광고창을 자동으로 생성하는 검색 도우미 "PC Clean Optimizer" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 18d45fb1eb0ab5bd728165d7a62f6654)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VT : 4/46) 진단명으로 진단되고 있습니다.
▶ <2011년 관련 정보> 검색 도우미 : Window network SafeTerra + TSolution (2011.10.17) 외 3종
▶ <2012년 관련 정보> 검색 도우미 : GGreenSvc2 (2012.12.6) 외 4종
▷ 검색 도우미 : InternetSafeZone (2013.1.22)
▷ 국내 악성코드 : KeywordYac (2013.2.26)
▷ 검색 도우미 : IProtect (2013.4.8)
또한 기존에 유사성이 강한 다양한 이름의 검색 도우미 프로그램들이 존재하였으므로 참고하시기 바랍니다.
프로그램 설치 과정에서는 특정 서버로부터 "PC Clean Optimizer" 프로그램의 설치 파일(MD5 : fff21265ac4f8ad370ef8695d931bb61)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\PCOInstall_5.exe" 파일로 생성하며, 설치가 완료된 후에는 자가 삭제 처리되도록 제작되어 있습니다.
C:\Program Files\PCO
C:\Program Files\PCO\PCO.exe :: 메모리 상주 프로세스
C:\Program Files\PCO\PCOUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\PCO\unins000.dat
C:\Program Files\PCO\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\PCO\PCO.exe
- MD5 : 75be562644a878bc184dd5357838a86f
- AhnLab V3 : PUP/Win32.Helper (VT : 3/46)
C:\Program Files\PCO\PCOUpdate.exe
- MD5 : e7aad1fc5bfb38951d96c1bfe819cac1
- AhnLab V3 : PUP/Win32.Helper (VT : 1/46)
해당 프로그램은 "C:\Program Files\PCO" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\PCO\PCOUpdate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
이를 통해 자동 실행된 파일은 "C:\Program Files\PCO\PCO.exe" 파일을 로딩하며, 프로그램 업데이트 및 광고 구성값 체크를 수행합니다.
프로그램이 설치된 환경에서 인터넷 검색시 추가적인 광고창이 생성되는 광고 행위를 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 PCO.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 PCO.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "PC Clean Optimizer" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- PC_Clean_Optimizer = C:\Program Files\PCO\PCOUpdate.exe
HKEY_CURRENT_USER\Software\PCO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5273F545-7D19-4ABA-8208-E9BF1AE38C30}_is1
해당 프로그램의 이름은 PC 최적화 프로그램처럼 등록되어 있지만, 실제적인 행위는 광고창 생성을 통한 수익 창출 방식이므로 사용자가 혼동하지 않도록 주의하시기 바랍니다.
감사합니다. 덕분에 쓰레기를 치웠네요. 개새끼 어떤 블로그에서 다이렉트x파일인줄알고 받았더니 이딴 쓰레기를 담아보내다니..
고생하셨습니다. 국내 블로그에 등록된 첨부 파일 또는 링크를 통해 다운로드되는 파일은 되도록 실행하지 않도록 하시기 바랍니다.ㅠㅠ
pco 찾아서 pc 관리 환경설정 이런 창을 열었는데 닫기 버튼을 눌러도 제어판에서 제거하려면 실행중이라 안된다고 뜨네요 ㅠㅠ 이거대문에 골치에요 좀 알려주세요 ~~
PC 관리 환경설정이라는 것이 어디를 말하는지 모르겠지만 Windows 작업 관리자를 실행하여 프로세스 종료 후 제어판을 통해 삭제해 보시기 바랍니다.
감사합니다! 덕분에 지울 수 있게 되었습니다.
에드웨어의 꼼수가 갈 수록 늘어나네요ㅠ
프로세스명을 바꾸다니 ㄷㄷ
그러게요. 이름 가지고 장난치죠.ㅠㅠ
삭제가 되었어요 ~ 정말 감사합니다~~
다행입니다.^^
와우.. 덕분에 지긋지긋한 -_- 놈을 지울수있게되었어요!!!
정말 감사드립니다.. 삭제하고싶었는대-0- 계속 종료를하라니-_ㅠ
이제야 깨끗히 보내드렸네요^0^
고생하셨습니다.
죄송한데요ㅜㅜ질문하나 드려도 될까요
제가 저 프로그램을 제어판에서 지운 다음 제 실수로
컴퓨터 복원을 해서 다시 PC Clean Optimizer가 생겼습니다
그런데 문제는 제어판에서 지우려고 하니까
'파일이 존재하지 않습니다. 프로그램을 제거 할 수 없습니다.' 라고 뜹니다 @-@
어쩌면 좋을까요? 지식인에서 보니깐
프로그램을 다시 까서 지우라는데 까는 방법도 사이트도 없어요ㅜㅜ
정말 부탁좀 드리겠습니다 스트레스 받아서 죽겠어요 ㅠㅠ
제어판의 목록에 저 프로그램 삭제 항목이 존재하였다면 실제 파일은 제거되었을 가능성이 있습니다.
C:\Program Files\PCO 폴더와 내부 파일이 없다면 프로그램이 삭제된 것이므로 안심하시기 바랍니다.
만약 파일이 존재한다면 unins000.exe 파일을 직접 실행하거나 또는 해당 폴더 자체를 수동으로 삭제하시기 바랍니다.
휴~! 여러모로 많은 도움 주셔서 감사합니다~~!
해결됐어요 ㅎㅎ 삭제는 못했는데 컴퓨터 복원하는게 있어서
깨끗해졌습니당 감사합니다!!^^
이거 때문에 며칠동안 골머리를 앓았는데...한방에 해결해주시니 감사합니다.
^^*
고생하셨습니다.ㅠㅠ
안녕하세요.
PC Clean Optimizer 때문에 고생하고 있습니다. ㅠㅠ
인터넷 찾다가 고클린이란 프로그램으로 파일을 삭제 했는데 재부팅 할때마다 다시 생성됩니다.
제어판에도 없고, C:\Program Files\PCO 폴더도 없습니다.
완전히 삭제 방법 좀 부탁 드려요... ㅠㅠㅠ(원도7 사용하고 있습니다.)
해당 글을 작성한 후 변종이 나온게 아닌가 싶습니다. 찾아보고 새로운 변종이 있으면 블로그에 작성하도록 하겠습니다.
그리고 프로그램 폴더 외에 다음의 폴더에서도 찾아보시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Local
C:\Users\(사용자 계정)\AppData\Roaming