해외 광고성 웹 사이트를 이용하던 중 HD 고화질 영상 감상을 위한 프로그램 다운로드 또는 다양한 제휴 프로그램을 통해 설치가 이루어지는 것으로 추정되는 TotalPlusHD-3.1V25.11 해외 광고 프로그램의 파일 정보가 수집되어 살펴보도록 하겠습니다.
해당 프로그램은 HD-V1.9, HD+v2.1, HDPlus-V1.9, TotalPlusHD-3.1V14.10, TotalPlusHD-3.1V16.11 등의 유사한 변종 프로그램이 존재하므로 참고하시기 바랍니다.
■ TotalPlusHD-3.1V25.11 프로그램 정보
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\11da2501-fe9b-4aaf-b547-1246bfcbf879.exe |
MD5 |
DD3432DA3014D534FA568C85118AFD7E |
진단명 |
Adware/CrossRider.KC (Avira) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.exe |
MD5 |
111FD6AD0446659940C50A8436906333 |
진단명 |
not-a-virus:AdWare.NSIS.Adwapper.dg (Kaspersky) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.exe |
MD5 |
BB18F4817438B13FD66F348B0238DA02 |
진단명 |
Winston.EBB (AVG) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.exe |
MD5 |
CB1CDADE742F61BF8F1F4370C21012A9 |
진단명 |
PUP/Win32.CrossRider (AhnLab V3 365 Clinic) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe |
MD5 |
1C67A7EA714F4FE621E96CF2C0A274A1 |
진단명 |
Adware/CrossRider.KC (Avira) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.job, C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5_user.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe |
MD5 |
2CB35C935E6233311D279FA0E9D6D117 |
진단명 |
not-a-virus:AdWare.NSIS.Adwapper.dg (Kaspersky) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.exe |
MD5 |
098BD5A8E86DBF64F92120FEA0D0DDE7 |
진단명 |
Win32:Crossrider-AH [PUP] (avast!) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.exe |
MD5 |
BB18F4817438B13FD66F348B0238DA02 |
진단명 |
Winston.EBB (AVG) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bg.exe |
MD5 |
5A05994B150A8416300F2B5FC000D12A |
진단명 |
Adware/CrossRider.KC (Avira) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bho.dll |
MD5 |
AB84880F517E3D3F8F0489739C54F1AF |
진단명 |
PUP/Win32.CrossRider (AhnLab V3 365 Clinic) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 BHO |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\{11111111-1111-1111-1111-110611321185} |
비고 |
브라우저 도우미 개체(BHO) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-codedownloader.exe |
MD5 |
098BD5A8E86DBF64F92120FEA0D0DDE7 |
진단명 |
Win32:Crossrider-AH [PUP] (avast!) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-1.job) 등록 파일 |
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\ALQL.exe |
MD5 |
BB18F4817438B13FD66F348B0238DA02 |
진단명 |
Winston.EBB (AVG) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\ALQL.job) 등록 파일, 랜덤(Random)한 파일명으로 생성 가능 |
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\RS.exe |
MD5 |
CB1CDADE742F61BF8F1F4370C21012A9 |
진단명 |
PUP/Win32.CrossRider (AhnLab V3 365 Clinic) |
디지털 서명 |
Winston Project |
제품 이름 |
TotalPlusHD-3.1V25.11 |
파일 설명 |
TotalPlusHD-3.1V25.11 exe |
비고 |
예약 작업(C:\Windows\Tasks\RS.job) 등록 파일, 랜덤(Random)한 파일명으로 생성 가능 |
"Winston Project" 디지털 서명이 포함된 TotalPlusHD-3.1V25.11 광고 프로그램은 "C:\Program Files (x86)\TotalPlusHD-3.1V25.11" 폴더와 숨김(H) 속성값을 가진 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 램덤(Random)한 파일명으로 실행 파일을 생성할 수 있습니다.
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-1.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-codedownloader.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-2.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-3.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-4.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-5_user.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-5.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-7.exe
- "C:\Windows\Tasks\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.job" 작업 스케줄러 : C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-11.exe
- "C:\Windows\Tasks\ALQL.job" 작업 스케줄러 : C:\Users\(사용자 계정)\AppData\Roaming\ALQL.exe
- "C:\Windows\Tasks\RS.job" 작업 스케줄러 : C:\Users\(사용자 계정)\AppData\Roaming\RS.exe
설치된 광고 프로그램은 예약 작업 영역에 다수의 작업 스케줄러 값을 등록하여 시스템 시작시 자동 실행되어 업데이트 및 광고 구성값 정보를 체크하며, 이를 통해 다음과 같은 파일을 메모리에 상주시킵니다.
- C:\Program Files (x86)\TotalPlusHD-3.1V25.11\11da2501-fe9b-4aaf-b547-1246bfcbf879.exe
- C:\Program Files (x86)\TotalPlusHD-3.1V25.11\2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe
- C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bg.exe
프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files (x86)\TotalPlusHD-3.1V25.11\TotalPlusHD-3.1V25.11-bho.dll" 광고 모듈을 로딩하여 인터넷 검색 및 웹 사이트 접속시 광고 배너 등을 생성하여 수익 활동을 할 수 있을 것으로 보입니다.
프로그램 삭제는 기본적으로 제어판에 등록된 "TotalPlusHD-3.1V25.11" 삭제 항목을 이용하여 제거할 수 있으며, 수동으로 프로그램 삭제를 원하는 경우에는 다음의 절차를 참조하여 제거하시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 11da2501-fe9b-4aaf-b547-1246bfcbf879.exe / 2d374c00-0afb-44b3-95e5-4a41d9686eee-6.exe / TotalPlusHD-3.1V25.11-bg.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Program Files (x86)\TotalPlusHD-3.1V25.11
- "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 존재하는 실행 파일의 속성값을 확인하여 "Winston Project" 디지털 서명 또는 "TotalPlusHD-3.1V25.11" 정보가 포함된 파일을 찾아 모두 삭제하시기 바랍니다.
(c) "제어판 → 시스템 및 보안 → 관리 도구 → 예약 작업" 메뉴를 실행하여 생성된 작업 스케줄러 창에서 "작업 스케줄러 라이브러리"에 등록된 값 중 TotalPlusHD-3.1V25.11 관련값을 찾아 모두 삭제하시기 바랍니다.
(d) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{11111111-1111-1111-1111-110611321185}" 값을 찾아 삭제하시기 바랍니다.
그 외에도 Google Chrome, Mozilla Firefox 웹 브라우저 사용자는 추가적인 각 웹 브라우저의 확장 프로그램, 확장 기능 항목을 확인하여 TotalPlusHD-3.1V25.11 관련 플러그인이 등록된 경우 제거하시기 바랍니다.
TotalPlusHD 해외 광고 프로그램 시리즈는 다양한 버전별로 변종이 존재하며 다수의 작업 스케줄러 등록을 한다는 공통점이 있으므로 인터넷 이용시 원치않는 해외 광고 배너가 생성되는 경우 점검해 보시기 바랍니다.