본문 바로가기

벌새::Computer & IT

삭제되지 않는 ImageSAFER 보안 솔루션 제거 방법

반응형

특정 웹 서비스 이용을 위해 필수적으로 설치를 요구할 수 있는 마크애니(MarkAny) 업체에서 제공하는 ImageSAFER 보안 솔루션에 대하여 예전부터 삭제가 제대로 이루어지지 않는 문제로 불평이 많은 것으로 알려져 있습니다.

지금까지 한 번도 설치한 적이 없는데 국민연금공단 서비스를 잠시 살펴볼 일이 있어서 다수의 솔루션을 설치하는 과정에서 ActiveX 설치 방식으로 "MarkAny Inc. e-PageSafer v2.5" 홈페이지 증명서 발급프로그램(MAW_NPS)을 설치하게 되었습니다.

설치가 완료된 프로그램은 기본적으로 "Image Protection (표시 이름 : Image Protect Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\ImageSAFERSvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있으며, 이를 통해 ImageSAFERStart_X64.exe, ImageSAFERStart_X86.exe 2종의 파일을 추가적으로 로딩하여 프로세스가 종료되지 않도록 프로세스 보호 기능을 수행합니다.

문제는 제어판을 통해 프로그램 삭제를 진행한 후 시스템 재부팅을 해보면 ImageSAFERSvc.exe, ImageSAFERStart_X64.exe, ImageSAFERStart_X86.exe 3종의 프로세스가 메모리에 상주하여 지속적으로 동작하는 문제를 발견할 수 있다는 점입니다.

어떤 문제로 위와 같은 문제가 발생하는지 자세하게 살펴보니 설치된 "MAWS_NPS - 증명서 발급 시스템" 프로그램을 정상적인 절차에 따라 삭제한 이후에도 프로그램 자체가 거의 삭제되지 않고 지속적으로 동작하게 제작된 것을 발견하였습니다.

 

이에 "MarkAny Inc." 디지털 서명이 포함된 화면 캡처 차단을 통해 정보 유출 차단 및 증명서 위변조 방지 기능을 제공하는 ImageSAFER 보안 솔루션의 삭제 방법을 자세하게 살펴보도록 하겠습니다.

 

참고로 해당 내용은 국민연금공단에서 배포하는 파일을 이용하여 작성되었으며, 다른 웹 사이트에서 배포하는 파일의 경우에는 일부 정보가 다를 수 있음을 밝힙니다.

 

(a) 제어판에 등록된 MarkAny Inc. 업체에서 설치한 "MAWS_NPS - 증명서 발급 시스템" 프로그램을 찾아 삭제를 진행하시기 바랍니다.(※ 프로그램 이름은 설치 사이트에 따라 달라질 수 있으므로 게시자(MarkAny Inc.) 이름으로 찾으시기 바랍니다.)

 

  • C:\Windows\System32\MAOnFPS_NPS.dll
  • C:\Windows\System32\MaPrintInfoMAWS_NPS.dat
  • C:\Windows\SysWOW64\MAOnFPS_NPS.dll
  • C:\Windows\SysWOW64\MaPrintInfoMAWS_NPS.dat
  • C:\Windows\SysWOW64\uninst_MAWS_NPS.exe

참고로 제어판의 삭제 기능을 통해 삭제를 진행한 경우 위와 같은 극히 일부 파일만 제거될 뿐 프로그램 기능은 정상적으로 동작합니다.

(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 2개의 명령어를 순서대로 입력 및 실행하여 서비스 종료 및 삭제를 하시면 메모리에 상주하는 3종의 프로세스가 일괄 자동 종료됩니다.

 

  • sc stop "Image Protection"
  • sc delete "Image Protection"

(c) 다음의 파일을 찾아 존재할 경우 수동으로 삭제하시기 바랍니다.

 

C:\Program Files (x86)\Mozilla Firefox\plugins\npMAOnFPS_MultiBrowser.dll
C:\Program Files (x86)\Opera\program\plugins\npMAOnFPS_MultiBrowser.dll
C:\Program Files (x86)\Safari\Plugins\npMAOnFPS_MultiBrowser.dll
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\Application\Plugins\npMAOnFPS_MultiBrowser.dll
C:\Windows\ImageSAFERSvc.exe
C:\Windows\System32\drivers\VSHOOK.sys
C:\Windows\System32\ImageSAFERDrv64.sys
C:\Windows\System32\ImageSAFERDrv64xp.sys
C:\Windows\System32\ImageSAFERFilter.dll
C:\Windows\System32\ImageSAFERLang.xml
C:\Windows\System32\ImageSAFERMessage.exe
C:\Windows\System32\ImageSAFERMgr.dll
C:\Windows\System32\ImageSAFERProcMon.dll
C:\Windows\System32\ImageSAFERRecovery.exe
C:\Windows\System32\ImageSAFERStart_X64.exe
C:\Windows\System32\ImageSAFERStart_X86.exe
C:\Windows\System32\IMGSFMgr.dll
C:\Windows\System32\ImgsfprocPolicy.xml
C:\Windows\System32\ImgsfProcPolicyForExe.xml
C:\Windows\System32\MaApiZip.dll
C:\Windows\System32\MAOnFPS_CallVista.dll
C:\Windows\SysWOW64\drivers\vshook.sys
C:\Windows\SysWOW64\ImageSAFERFilter.dll
C:\Windows\SysWOW64\ImageSAFERLang.xml
C:\Windows\SysWOW64\ImageSAFERMessage.exe
C:\Windows\SysWOW64\ImageSAFERMgr.dll
C:\Windows\SysWOW64\ImageSAFERProcMon.dll
C:\Windows\SysWOW64\ImageSAFERRecovery.exe
C:\Windows\SysWOW64\IMGSFMgr.dll
C:\Windows\SysWOW64\ImgsfprocPolicy.xml
C:\Windows\SysWOW64\ImgsfProcPolicyForExe.xml
C:\Windows\SysWOW64\MaApiZip.dll
C:\Windows\SysWOW64\MAOnFPS_CallVista.dll

참고로 파일 삭제 중 "C:\Windows\System32\ImageSAFERFilter.dll", "C:\Windows\SysWOW64\ImageSAFERFilter.dll" 모듈이 삭제되지 않는 경우에는 모든 절차 완료 후 Windows 재부팅 이후 재삭제를 진행하시면 정상적으로 삭제가 이루어집니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바라며, 일부 레지스트리 값은 제어판을 통한 삭제시 제거되었을 수도 있으며 배포처에 따라 일부값이 다를 수 있습니다.

 

HKEY_CLASSES_ROOT\AppID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\AppID\MAOnFPS_CallVista.DLL
HKEY_CLASSES_ROOT\CLSID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\CLSID\{6812FE23-7822-4DB8-982D-C535CE3E08C0}
HKEY_CLASSES_ROOT\Interface\{80C8E31A-DAF7-4766-94A8-3A415AFE0AC5}
HKEY_CLASSES_ROOT\Interface\{BC6699C1-DDD5-4C71-854C-8C3F3ACFDD7D}
HKEY_CLASSES_ROOT\Interface\{C844D687-71D8-4490-94CF-E8B2DD5542B8}
HKEY_CLASSES_ROOT\MAOnFPS_CallVista.MAWS_CallVista
HKEY_CLASSES_ROOT\MAOnFPS_CallVista.MAWS_CallVista.1
HKEY_CLASSES_ROOT\MAOnFPS_NPS.MAWS_NPS
HKEY_CLASSES_ROOT\MAOnFPS_NPS.MAWS_NPS.1
HKEY_CLASSES_ROOT\TypeLib\{125BD2CE-760C-46CB-A5BC-14CD8E6EFB02}
HKEY_CLASSES_ROOT\TypeLib\{6D80719B-4F77-41F4-8FAC-7DFAB9D28418}
HKEY_CLASSES_ROOT\Wow6432Node\AppID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\Wow6432Node\AppID\MAOnFPS_CallVista.DLL
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{663FAB43-DA0E-4155-8771-81AFE6137AD6}
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{6812FE23-7822-4DB8-982D-C535CE3E08C0}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{80C8E31A-DAF7-4766-94A8-3A415AFE0AC5}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{BC6699C1-DDD5-4C71-854C-8C3F3ACFDD7D}
HKEY_CLASSES_ROOT\Wow6432Node\Interface\{C844D687-71D8-4490-94CF-E8B2DD5542B8}
HKEY_CLASSES_ROOT\Wow6432Node\TypeLib\{125BD2CE-760C-46CB-A5BC-14CD8E6EFB02}
HKEY_CLASSES_ROOT\Wow6432Node\TypeLib\{6D80719B-4F77-41F4-8FAC-7DFAB9D28418}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ISMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Image Protection

참고로 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISMGR" 키값을 삭제하기 위해서는 권한 수정이 필요하므로 링크 내용을 참고하시기 바랍니다.

 

마지막으로 마크애니(MarkAny) 업체에서 ImageSAFER 보안 솔루션을 왜 이런 식으로 제작했는지 모르지만 제어판을 통한 삭제 기능을 제공하는 것처럼 사용자를 기만하는 행위는 수정되기를 희망합니다.

728x90
반응형
  • 비밀댓글입니다

  • 총총 2015.06.16 18:38 댓글주소 수정/삭제 댓글쓰기

    휴.. 그냥 보고 따라하기만하는 건데도 엄청 오래 걸리네요
    감사합니다

    떠그랄

  • 어찌어찌 1시간만에 다 삭제는했네요..
    컴퓨터에 꽤나 오랫동안 상주하고있던거같은데 왜이제서야알앗는지..ㄷㄷ

    PS . 혹시 저 프로그램이 공인인증서발급 그런것에도 필요한가요..
    또 쓰고 지울려면 골치아플꺼같은데...

  • ㅇㅁ 2016.01.01 21:51 댓글주소 수정/삭제 댓글쓰기

    이건뭐 보안프로그램이아니라 좀비프로그램이나 다름없네요
    어휴 진짜...
    혹시 vshook.vxd 이 파일도 삭제 대상이 아닌지 확인 부탁드립니다

    • 해당 파일은 MarkAny Inc. 업체에서 제작된 것으로 보이는 특정 보호 목적으로 배포되는 솔루션이 생성한 파일로 보이며 악성 파일이 아닙니다.

    • ㅇㅁ 2016.01.02 01:21 댓글주소 수정/삭제

      감사합니다
      제이판을 통해 MarkAny사의 프로그램을 삭제했는데도 메모리에 여전히 상주하고 찌꺼기도 이렇게 많은데 삭제 기능이 존재하는 이유를 모르겠습니다
      혹 떼려다가 혹 붙인 nProtect는 이놈에 비하면 양반이었네요

    • 저런 업체가 삭제할 줄 몰라서 이렇게 만들지는 않는다고 봅니다. 그냥 업체 마인드가 삭제하지말고 그냥 설치해두고 사용하라는 것처럼 보입니다.

  • 쓰레기 프로그램 2016.01.23 13:16 댓글주소 수정/삭제 댓글쓰기

    마크애니 이미지세이퍼 유명한 쓰레기 프로그램이죠 문제는 뇌 없는 여러 공공기관들이 이걸 사용해서 보안 프로그램 깔면서 이거 안깔면 진행이 안됨

  • 삭제중보고 2016.01.27 20:57 댓글주소 수정/삭제 댓글쓰기

    Windows 8.1 x64에서 벌새님 가이드 따라 진행중입니다
    System32, SysWOW64폴더에 MaApiZip.dll, MAOnFPS_CallVista.dll파일 대신에
    SysWOW64폴더에만 MaApi_RD.dll, MaAPIVistaRD.dll이 있네요
    두개 모두 MarkAny 디지털 사인이 되어 있으니 아마 저같이 파일명이 다른 분도 있을 것 같습니다
    저는 MarkAny관련해서 언인스톨할수있는 프로그램 엔트리 자체가 없어서 수동언인스톨 중인데..덕분에 살았습니다

  • 마크애니싫어. 2016.07.09 05:18 댓글주소 수정/삭제 댓글쓰기

    이것때문에 진자 엄청나게 스트레스받았습니다. 마크애니 회사 막 욕나오고 때리고싶었어요.ㅠ 덕분에 삭제했네요. 감사합니당.

  • 이 나라에서는 꼼수 안 쓰고는 장사가 안 되나?
    나쁜 놈이 너무 많아... ㅜ.ㅜ

  • ㅇㅇ 2016.12.13 17:18 댓글주소 수정/삭제 댓글쓰기

    이런 쓰레기 프로그램을 관공서에서 사주고 전국에 퍼뜨린다는 것부터가 헬조선 인증이죠. 관공서 인간들이 IT를 모르는지 알면서도 뒷돈 받으면서 사주는건지 모르지만 어느 쪽이든 한심하죠. 이런 쓰레기 프로그램 전국민에게 설치 강요하는 거랑 인터넷 검열 그만두기 전에는 "한국은 IT 강국"이란 말 안 했으면 좋겠네요. 낯부끄럽거든요.

  • ㅇㅇ 2017.03.28 04:36 댓글주소 수정/삭제 댓글쓰기

    벌새님 작성하신글 잘봤습니다 뭐하나만 여쭤볼게요 제가 글 내용 마지막문단에 레지스트리들을 삭제 할 때
    하나 예를들면
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ISMgr 삭제하라고 하셨는데

    여기서 ISMgr라는 폴더안의 것들을 삭제 하는게 맞는건가요?? 저는 그냥 ISMgr 폴더 자체를 삭제 해버렸는데...아무 상관없는건지 아니면 제가 잘못한건가요 너무 걱정이네요 답변 꼭 주시면 좋겠습니다..!

  • 도움받은자 2017.08.31 12:26 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 꼼꼼히 정리해주셨네요. 참 더러운 프로그램이네요.

  • ㅇㅅㅇ 2017.09.03 16:57 댓글주소 수정/삭제 댓글쓰기

    국민연금 그냥 평일에 전화로 처리할껄
    주말이라 홈페이지 들어가서 해결했다가 이거 삭제하느라 시간만 더 버렸네요 -_-;;;

  • ddd 2017.10.21 16:55 댓글주소 수정/삭제 댓글쓰기


    아니.. 시바 무슨 베짱도 아니고
    소득증명 한장 뽑으려고 잠깐 설치햇는데
    컴퓨터에 좀비프로그램을 깔았네.. 시바 진짜 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
    극혐이다 국가기관ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

  • 시부엉 2018.02.22 15:49 댓글주소 수정/삭제 댓글쓰기

    2018년 2월 현재 상황 동일
    욕만 나오네요

  • 크리스 2018.07.26 23:36 댓글주소 수정/삭제 댓글쓰기

    불법 감청을 중단하라 정부는

  • 매번 좋은글 잘 읽고 있습니다.

    위에 프로그램으로 저도 고생하다가 공식홈페이지 - 기술지원쪽을 보니 전용언인스톨러 파일을 제공하고 있네요.

    다른분들께 도움이될까하여 댓글 남기고갑니다.