본문 바로가기

벌새::Analysis

해외 광고 프로그램 : Browser Tab Search by Ask for Internet Explorer

반응형

µTorrent 파일 공유 프로그램을 비롯한 해외 소프트웨어를 설치하는 과정에서 추가적으로 설치를 유도하는 "Browser Tab Search by Ask" 해외 광고 프로그램에 대하여 최근 BitDefender 엔진에서 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe" 파일에 대하여 Adware.Agent.OEN 진단명으로 진단하는 이슈가 있었습니다.(※ 현재는 진단이 모두 제거된 것으로 판단됩니다.)

 

그런데 보안 제품에서 진단이 이루어졌지만 파일 삭제를 제대로 할 수 없는 문제와 함께 제어판의 설치 프로그램 목록에 등록되지 않는 문제 등으로 인해 어려움을 겪는 분들을 발견할 수 있었습니다.

 

이에 따라 "Browser Tab Search by Ask" 해외 광고 프로그램의 설치 방식과 제거할 수 있는 방법에 대해 자세하게 살펴보도록 하겠습니다.

대표적인 배포 경로로 확인된 µTorrent 파일 공유 프로그램을 설치하는 과정에서는 "Browser Tab Search for Internet Explorer by Ask" 제휴 프로그램<SHA-1 : ace475010f4a706003b4c674607684a3e3e121fd - Kaspersky : not-a-virus:AdWare.Win32.Agent.aknu (VT : 10/54)>의 설치 단계가 표시되며, 설치가 이루어지지 않도록 하시려면 체크 박스 해제와 함께 "Skip" 버튼을 클릭하여 설치를 진행하시기 바랍니다.

또한 정상적으로 광고 프로그램이 설치된 후에는 Internet Explorer 웹 브라우저에 "Browser Tab Search by Ask for Internet Explorer" 검색 주소창을 추가할지 묻습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Browser Tab Search by Ask
C:\Program Files\Browser Tab Search by Ask\SafetyNut
C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch
C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\BrowserTabSearchUninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msb.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\Browser Tab Search by Ask\SafetyNut\configmgrc1.cfg :: 드라이버(F06DEFF2-5B9C-490D-910F-35D3A9119622) 등록 파일
C:\Program Files\Browser Tab Search by Ask\SafetyNut\favicon.ico
C:\Program Files\Browser Tab Search by Ask\SafetyNut\Helper.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\Internet Explorer Settings.exe
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyChrome.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll :: 메모리 상주 실행 모듈
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyldr_u.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyldr.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut_ie.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut.dll
C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut.exe :: 메모리 상주 프로세스
C:\Program Files\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe :: 서비스(SafetyNutManager) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Browser Tab Search by Ask\SafetyNut\Uninstall.exe
C:\ProgramData\SafetyNut
C:\ProgramData\SafetyNut\coordinator.cfg
C:\ProgramData\SafetyNut\general.cfg
C:\ProgramData\SafetyNut\S-1-5-21-1345177319-3766284789-1989379866-1000.cfg

 

[생성 파일 진단 정보]

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\BrowserTabSearchUninstall.exe
 - SHA-1 : c1f38f783cb7ea7dcb4edbdb22a837a830cfcc37
 - Hauri ViRobot : Adware.Safenut.203512 (VT : 2/53)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msb.dll
 - SHA-1 : 01dab9ac13b517e97da1690c78573611b5fd7991
 - Hauri ViRobot : Adware.Safenut.358304 (VT : 2/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe
 - SHA-1 : 5746c982d60e51f1edbae1145e4c5719ea5c4c52
 - Hauri ViRobot : Adware.BrowserTabSearch.95136 (VT : 3/53)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\configmgrc1.cfg
 - SHA-1 : 54ad9ce6abf967737d0932cbc76e1d750e62f5b4
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.aknu (VT : 20/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\Helper.dll
 - SHA-1 : 114b1285e12aa560b6e82d6e5292f9e0168f6ef2
 - ESET : a variant of Win32/Toolbar.SearchSuite.C (VT : 17/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\Internet Explorer Settings.exe
 - SHA-1 : bb1310f53c59af979bbb6f95b2144c5080157647
 - ESET : a variant of Win32/Toolbar.SearchSuite.Q (VT : 17/53)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyChrome.dll
 - SHA-1 : 858308183c961db39573b129ad100fed641940e2
 - Kaspersky : not-a-virus:WebToolbar.Win32.SearchSuite.c (VT : 17/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll
 - SHA-1 : bf8d2f6e23fb20a6114fdad47ffc77dee8b61db4
 - avast! : Win32:Injector-BSY [Trj] (VT : 21/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyldr_u.dll
 - SHA-1 : eedad1315bd6da421114a90bbf357fe3c0931e5c
 - AVG : Toolbar.SearchSuite (VT : 23/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetyldr.dll
 - SHA-1 : 2ff295264811e25537f414fe4a872254407e8411
 - Symantec : Trojan.Semnager (VT : 23/53)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut_ie.dll
 - SHA-1 : 02352e82420e26beb669d1df1ae186cca50f418b
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.aknu (VT : 21/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut.dll
 - SHA-1 : 3fbdc156391a2af4f32cf694ecf236fa773e76af
 - ESET : a variant of Win32/Toolbar.SearchSuite.C (VT : 21/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut.exe
 - SHA-1 : f381688715bf79c6f678f019bed072448bd364f2
 - ESET : a variant of Win32/Toolbar.SearchSuite.O (VT : 19/53)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe
 - SHA-1 : 388508af5a27619f42e2cc390d1e72d0eae14927
 - ESET : a variant of Win32/Toolbar.SearchSuite.D (VT : 19/54)

 

C:\Program Files\Browser Tab Search by Ask\SafetyNut\Uninstall.exe
 - SHA-1 : 9188614d60fddcdfba5665ed92e8779b8238a7cd
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.aknu (VT : 10/53)

해당 프로그램은 "C:\Program Files\Browser Tab Search by Ask\SafetyNut" 폴더 내부에 파일을 생성하며, 프로그램이 설치된 환경에서는 다음과 같이 Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저를 변경할 수 있습니다.(※ 이 글에서는 Internet Explorer 웹 브라우저를 기준으로 작성되었습니다.)

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 최초 실행할 경우 기본 검색 공급자를 "Browser Tab Search by Ask"에서 제공하는 "Ask.com (dts.search.ask.com)"으로 변경할지 묻는 창이 생성됩니다.

실행된 Internet Explorer 웹 브라우저의 홈 페이지는 "www.search.ask.com/?o=APN11459&gct=hp&d=488-101&v=n12521-392&t=4" 주소로 변경된 것을 확인할 수 있습니다.

 

그렇다면 "Browser Tab Search by Ask" 광고 프로그램이 설치됨에 따라 시스템 시작시 어떤 변화가 있는지 살펴보도록 하겠습니다.

 

1. SafetyNutManager 서비스 등록

"SafetyNutManager (표시 이름 : SafetyNut Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 자동 실행된 서비스 파일(SafetyNutManager.exe)은 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetynut.exe" 파일을 로딩하여 메모리에 상주하며, 자신의 서비스를 외부에서 강제로 중지할 수 없도록 보호 기능을 수행합니다.

이로 인하여 서비스 및 프로세스 종료, 레지스트리 삭제시 액세스 거부를 통해 자신을 보호하고 있는 것을 확인할 수 있습니다.

 

2. "Browser Tab Search by Ask" 시작 프로그램 등록

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Browser Tab Search by Ask = "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe"

Windows 시작시 "Browser Tab Search by Ask" 시작 프로그램 등록값을 통해 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe" 파일을 자동 실행하여 메모리에 상주시키며, 해당 프로세스는 Windows 작업 관리자를 통해 종료 가능합니다.

 

3. 다수의 프로세스에 safetycrt.dll 인젝션

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
 - x64 = c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll
 - x86 = C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll

"Browser Tab Search by Ask" 광고 프로그램은 "Session Manager" 레지스트리 값에 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll" 파일(x86 기준)을 추가하여 시스템 시작시 다양한 프로세스에 인젝션되어 프로그램을 강제로 삭제할 수 없습니다.

 

4. 특정 파일 실행을 차단하는 "Image Hijack" 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bitguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bprotect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bpsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserdefender.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserprotect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsersafeguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dprotectsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jumpflip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protectedsearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchinstaller.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotection.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotector.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchsettings.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchsettings64.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\snapdo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\stinst32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\stinst64.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\umbrella.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utiljumpflip.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\volaro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vonteera
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\websteroids.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\websteroidsservice.exe

"Browser Tab Search by Ask" 광고 프로그램은 자신과 유사한 해외 광고 프로그램이 자신의 동작을 방해하지 못하도록 특정 파일명 및 String 값을 가지는 파일 실행시 "C:\Windows\System32\tasklist.exe" 파일로 변경되어 실행하도록 "Image Hijack"을 시도합니다.("Image Hijack" 기법은 파일 분석 목적의 디버깅 또는 악성코드에서 사용되는 방식입니다.)

 

5. 프로세스 실행 정보

위와 같은 자동 실행을 통해 시스템 부팅 후에는 메모리 상에 SafetyNutManager.exe, safetynut.exe, msbloader.exe 프로세스가 상주하며, msbloader.exe 프로세스를 제외하고는 사용자가 임의로 프로세스 종료할 수 없습니다. 또한 프로세스 종료 후에도 다양한 시스템 프로세스에 safetycrt.dll 실행 모듈이 인젝션되어 있으므로 Windows 정상 모드에서는 강제로 프로그램 삭제가 매우 어렵습니다.

 

위와 같은 "Browser Tab Search by Ask" 해외 광고 프로그램이 설치된 경우 프로그램 삭제 방법으로 제어판을 통한 삭제와 사용자가 수동으로 프로그램을 제거하는 방법에 대해 살펴보도록 하겠습니다.

 

■ 제어판을 통한 프로그램 삭제 방법

Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 제어판에 등록된 "Browser Tab Search by Ask for Internet Explorer" 삭제 항목을 이용하여 삭제할 수 있으며, 변종에 따라서는 "Browser Tab Search by Ask for Firefox" 또는 "Browser Tab Search by Ask for Google Chrome" 삭제 항목으로 등록되어 있을 수 있습니다.(※ 기본 웹 브라우저 설정값에 따라 다를 것으로 추정됩니다.)

제어판을 통한 삭제 과정에서는 위와 같은 2개의 안내창이 생성되어 프로그램 삭제 후의 홈 페이지와 기본 검색 공급자 변경을 위한 친절한() 설명을 하고 있습니다.

제어판을 통한 프로그램 삭제 후에는 삭제되지 않은 "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch" 폴더 내의 파일을 삭제를 할 수 있도록 추가적인 삭제 명령 정보가 등록되므로 반드시 Windows 재부팅을 진행하여 깨끗하게 삭제를 진행하시기 바랍니다.

Windows 재부팅 이후에는 인터넷 옵션 메뉴를 실행하여 홈 페이지 주소를 사용자가 원하는 주소로 변경하시기 바랍니다.

또한 기본 검색 공급자로 추가된 Ask.com을 제거하기 위해서는 추가 기능 관리의 "검색 공급자" 메뉴를 실행하여 기존의 검색 공급자를 선택하여 "기본값으로 설정" 버튼을 클릭한 후 Ask.com 항목을 선택하여 제거하시면 해결됩니다.

 

■ 수동 삭제 방법

 

"Browser Tab Search by Ask" 광고 프로그램은 제어판을 통한 삭제가 불가능한 경우 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

시스템 구성(msconfig)을 실행하여 부팅 옵션의 "안전 부팅" 항목에 체크 및 적용 후 Windows 재부팅을 하시면 안전 모드로 자동 부팅이 이루어집니다.

 

안전 모드로 부팅이 완료된 후에는 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Browser Tab Search by Ask = "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
 - x64 = c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll
 - x86 = C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\F06DEFF2-5B9C-490D-910F-35D3A9119622

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager

레지스트리 값 삭제 후에는 시스템 구성(msconfig)을 실행하여 시작 모드를 "정상 모드"로 변경한 후 Windows 재부팅을 진행하시면 정상적으로 Windows 환경으로 진입할 수 있습니다.

 

정상적으로 부팅 후에는 다음의 폴더(파일)를 찾아 직접 삭제하시면 문제없이 삭제가 가능합니다.

  • C:\Program Files\Browser Tab Search by Ask
  • C:\ProgramData\SafetyNut

또한 위에서 소개한 홈 페이지 주소와 기본 검색 공급자를 광고 프로그램 설치 이전값으로 직접 수정하시기 바라며, 하단의 레지스트리 값을 참조하여 제거되지 않은 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성/수정된 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page = h**p://www.search.ask.com/?o=APN11459&gct=hp&d=488-101&v=n12521-392&t=4 :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Browser Tab Search by Ask = "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1B730ACF-26A3-447B-9994-14AEE0EB72CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
HKEY_LOCAL_MACHINE\SOFTWARE\IACSearchAndMedia
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2488}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Browser Tab Search by Ask_IE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bitguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bprotect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bpsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserdefender.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browserprotect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsersafeguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dprotectsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jumpflip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protectedsearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchinstaller.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotection.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotector.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchsettings.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchsettings64.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\snapdo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\stinst32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\stinst64.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\umbrella.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utiljumpflip.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\volaro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vonteera
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\websteroids.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\websteroidsservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\SafetyNut
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
 - x64 = c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll
 - x86 = C:\Program Files\Browser Tab Search by Ask\SafetyNut\safetycrt.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F06DEFF2-5B9C-490D-910F-35D3A9119622
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\F06DEFF2-5B9C-490D-910F-35D3A9119622
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager

 

[삭제된 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란)

 

해외 광고 프로그램은 상당히 복잡한 기법을 통해 삭제를 방해할 수 있으며, 프로그램 설치시 영어로 인하여(※ 한글도 제대로 안읽으니... ) 제대로 확인하지 않고 버튼을 클릭하는 사용자의 부주의한 습관으로 인해 다수의 프로그램들이 자동으로 설치될 수 있으므로 주의하시기 바랍니다.

728x90
반응형