본문 바로가기

벌새::Analysis

해외 PC 점검 프로그램 : Reimage Repair

해외 광고 프로그램이 생성하는 광고창을 통해 설치가 이루어질 수 있는 해외에서 제작된 PC 하드웨어 및 소프트웨어 점검을 통해 유료 결제를 유도하는 "Reimage Repair" 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 사이트를 확인해보면 한국어를 비롯한 다국어를 지원하고 있으며, 변종에 따라서는 "Reimage Protector" 이름으로 설치될 수도 있습니다.

프로그램 설치 과정을 살펴보면 배포 파일(SHA-1 : 897152b289e07d4178b3a7ba51ddc272ff823275)을 통해 프로그램 설치 파일(ReimagePackage1821.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\ReimagePackage.exe" 파일(<32비트> SHA-1 : c1c14bddaa3e9f98abf559b4887cfacc22d0a55e, <64비트> SHA-1 : eb2504dac82b4702f426106024a8f7a113bcc73f)로 생성된 후 다음과 같은 폴더에 파일을 생성합니다.

 

  • C:\Program Files\Reimage\Reimage Repair
  • C:\rei

이후 설치 파일이 임시 생성한 "C:\Users\(사용자 계정)\AppData\Local\Temp\nssF70C.tmp\ProtectorUpdater.exe" 파일(SHA-1 : 5de50b6370c9b01281fbd5ba3657b172b8bcbee0)은 특정 서버에서 추가적인 설치 파일(ProtectorPackage2009.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\UniProtectorPackage.exe" 파일(<32비트> SHA-1 : 40946a79a5443f13e6d3df09dce616790df884d4, <64비트> SHA-1 : 3d735860811c35cab1f0be50c5858e478511eeaf)로 생성된 후 "C:\Program Files\Reimage\Reimage Protector" 폴더에 파일을 생성합니다.

 

[생성 폴더 / 파일 등록 정보 : 일부 파일은 누락되었음을 밝힙니다.]

 

C:\Program Files\Reimage
C:\Program Files\Reimage\Reimage Protector
C:\Program Files\Reimage\Reimage Protector\ProtectorUpdater.exe
C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe :: 서비스(ReimageRealTimeProtector) 등록 파일, 예약 작업(ReimageUpdater) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Reimage\Reimage Protector\ReiProtectorM.exe
C:\Program Files\Reimage\Reimage Protector\ReiScanner.exe
C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe :: 메모리 상주 프로세스

C:\Program Files\Reimage\Reimage Repair
C:\Program Files\Reimage\Reimage Repair\LZMA.EXE
C:\Program Files\Reimage\Reimage Repair\Microsoft.VC90.CRT
C:\Program Files\Reimage\Reimage Repair\REI_AVIRA.exe
C:\Program Files\Reimage\Reimage Repair\REI_Axcontrol.dll
C:\Program Files\Reimage\Reimage Repair\REI_AxControl.inf
C:\Program Files\Reimage\Reimage Repair\REI_Axcontrol.lza
C:\Program Files\Reimage\Reimage Repair\REI_Engine.dll
C:\Program Files\Reimage\Reimage Repair\REI_Engine.lza
C:\Program Files\Reimage\Reimage Repair\REI_SupportInfoTool.exe
C:\Program Files\Reimage\Reimage Repair\Reimage Repair.url
C:\Program Files\Reimage\Reimage Repair\Reimage.exe :: 프로그램 실행 파일
C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe :: 예약 작업(Reimage Reminder) 등록 파일
C:\Program Files\Reimage\Reimage Repair\ReimageRepair.exe :: 바로 가기 아이콘 실행 파일
C:\Program Files\Reimage\Reimage Repair\ReimageSafeMode.exe
C:\Program Files\Reimage\Reimage Repair\savapi3.dll
C:\Program Files\Reimage\Reimage Repair\uninst.exe :: 프로그램 삭제 파일

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Website.lnk
C:\ProgramData\Reimage Protector
C:\rei
C:\rei\AV
C:\rei\AV\avupdate.exe
C:\rei\AV\savapi3_restart.exe
C:\rei\AV\savapi3_start.exe
C:\rei\AV\savapi3_stop.exe
C:\rei\cpuidsdk.dll
C:\Users\(사용자 계정)\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
C:\Windows\System32\Tasks\Reimage Reminder
C:\Windows\System32\Tasks\ReimageUpdater

"Reimage Limited" 디지털 서명이 포함된 "Reimage Repair" 프로그램은 "C:\Program Files\Reimage", "C:\rei" 폴더에 주요 파일을 생성합니다.

"ReimageRealTimeProtector (표시 이름 : Reimage Real Time Protector)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe" 파일(SHA-1 : 5a9367eac48e8afedd87d1585cb8d52ea314c0b8)을 자동 실행하여 "C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe" 파일(SHA-1 : 40101c7b56bad3db8c93469be797c72a9c969437)을 추가 로딩하여 메모리에 상주하도록 구성되어 있습니다.

  • 예약 작업(Reimage Reminder) : "C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe"
  • 예약 작업(ReimageUpdater) : C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task

또한 예약 작업 영역에 Reimage Reminder, ReimageUpdater 2종의 작업 스케줄러를 등록하여 시스템 시작시 각각의 등록 파일을 자동 실행하여 프로그램 업데이트 체크를 수행하도록 구성되어 있습니다.

"Reimage Repair" 프로그램은 사용자가 바탕 화면에 생성된 "PC Scan & Repair by Reimage" 바로 가기 아이콘을 실행할 경우 "C:\Program Files\Reimage\Reimage Repair\ReimageRepair.exe" 파일(SHA-1 : 897152b289e07d4178b3a7ba51ddc272ff823275) 실행을 통해 "C:\Program Files\Reimage\Reimage Repair\Reimage.exe" 파일(SHA-1 : abb037f6d741f5a01b66f7dedd45cccad873c098)을 로딩하여 동작합니다.

 

실행된 프로그램은 자동으로 하드웨어, PC 보안, 레지스트리 등을 검사하여 다수의 문제가 발견되었다는 메시지를 통해 수리하도록 유도합니다.

특히 한 번의 체험판 사용 기회없이 유료 결제를 통해 문제를 해결하도록 제작된 전형적인 돈벌이 프로그램이며 한글화가 매우 정교하게 되어 있다는 점에서 주의가 요구됩니다.

만약 유료 결제가 이루어진 경우에는 "C:\rei\AV\avupdate.exe" 파일(SHA-1 : 737c73af5ce2e0b0b4810d278c14fbfbe18ca221)을 통해 Avira 엔진을 추가 다운로드하여 악성코드 검사 기능을 담당할 것으로 추정됩니다.

특히 "Reimage Repair" 프로그램이 설치된 일부 환경에서는 30초 단위로 "Reimage System Protection" 오류창이 생성되는 문제가 있다는 보고가 있으며, 해당 문제는 자체 보호 기능으로 프로세스 종료를 방해하는 메모리에 상주하는 "C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe" 파일로 인해 발생합니다.

 

"Reimage Repair" 프로그램 삭제 방법

(a) "Reimage Repair" 프로그램이 실행 중인 경우에는 "Reimage PC Repair" 시스템 트레이 알림 아이콘에 등록된 트레이 아이콘 메뉴를 통해 프로그램을 종료하시기 바랍니다.(※ Windows 작업 관리자를 실행하여 Reimage.exe 프로세스를 종료해도 됩니다.)

(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "ReimageRealTimeProtector"] 명령어를 입력 및 실행할 경우 메모리에 상주하는 ReiGuard.exe, ReiSystem.exe 프로세스가 자동으로 종료됩니다.

(c) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Reimage Repair" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Reimage

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\REI_AxControl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\REI_AxControl.ReiEngine
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\REI_AxControl.ReiEngine.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Reimage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Reimage Repair
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89BD13BD-5088-42C8-84A5-A05AE4A8B7A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C1AAE80B-41FE-42E9-BFAB-9B3BCA2BE23A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Reimage Reminder
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater
HKEY_LOCAL_MACHINE\SOFTWARE\Reimage
HKEY_LOCAL_MACHINE\SOFTWARE\Volatile
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ReimageRealTimeProtector

 

"Reimage Repair" 프로그램은 자체는 국내외 보안 제품에서 불필요한 프로그램(PUP/PUA) 진단이 거의 없지만 과도한 검사 결과를 바탕으로 유료 결제를 유도하는 프로그램이므로 실수로 설치하여 고생하는 일이 없도록 하시기 바랍니다.

  • 큰일날뻔했네요. 2015.12.06 20:08 댓글주소 수정/삭제 댓글쓰기

    궁금한게 있는데 제어판에서 파일삭제만 하여도 괜찮나요?

  • 어제 깔렸는데 제어판에서 지워도 컴퓨터 켤 때마다 나오네요 ㅠㅠ 프롬프트에 저거 입력해도 안되고요 ㅜㅜ

  • 꿈꾸는사월 2016.03.07 17:54 댓글주소 수정/삭제 댓글쓰기

    벌새님,제가 지식인에두 벌새님 지정하여 질문 올렸는데, 넘 급하여 블로그까지 다시 찾아왔어요. Reimage Repair 애드웨어가 제어판에도 안나오고, 프로그램파일 (X86포함)에도 없어요. 그런 이름 비스무리한 것도 없어요.

    말씀 하신것처럼 일반적으로 배포되는 애드웨어 백신들은 그 자체가 또 다른 애드웨어라 볼 수 있으므로 사용하지 않거나 , 설치했어도 지금은 모두 삭제한 상태입니다.

    사용해 본것은 Grato와 보안카페의 몰웨어제로라는 두 가지 프로그램입니다. 평소 컴퓨터에는 V3를 사용하는데, 이건 뭐 감지도 못하고 알약도 마찬가지라고 해서 사용하지 않았습니다.

    지식인 답변 하시는 분들 중 프로세스클린 또는 고클린 이런것들도 사용하지 않았구요.

    그 어떤짓을 해도 지금 해결이 안되는데, 어떻게 해야 하는지 좀 도와주세요 ㅠㅠ 부탁드립니다.

  • kkomuri 2016.05.28 18:34 댓글주소 수정/삭제 댓글쓰기

    어쩌죠... 사무실 pc가 자꾸 오류가떠서 혹시나해서 설치해서 결제까지 해버렸는데 ...
    혹시나 계속해서 자동 결제가 이루어지는것인지요.
    결제취소는 어떻게 진행하면 되는지....

  • 감사합니다.. 2016.07.20 13:47 댓글주소 수정/삭제 댓글쓰기

    감사드립니다--저도 속을뻔했네요..혹시나 해서 검색해 보았는데 결론 가짜네요...
    덕분입니다.

  • 최순siri 2016.10.28 12:56 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 저도 회사 컴퓨터인데, 다행히 설치하지는 않았지만 컴퓨터 켤 때마다 크롬 브라우저로 광고창이 뜹니다. 간단히 해결할 방법이 있을까요?

    • 우선은 광고를 유발하는 프로그램을 찾아서 제거하셔야 합니다.

      개인적으로 MZK 도구(http://cafe.naver.com/malzero/94376)를 추천합니다.

      광고 프로그램 제거 후에도 문제가 해결되지 않는다면 Chrome 삭제 후 재설치를 해보시기 바랍니다.

    • 최순siri 2016.10.31 09:24 댓글주소 수정/삭제

      덕분에 깨끗이 지웠습니다. 도움 감사합니다.

  • 만식 2019.01.15 13:28 댓글주소 수정/삭제 댓글쓰기

    저희 회사 사장님이 이거 실수로 결제하셔서 돈 빠져나가고 컴퓨터가 윈도우7에서 10으로 업데이트 됬다고 하시네요.. 결제 취소하는 방법은 없을까요?? 라이선스 만료가 2020년 1월 15일이라는데 매달 정기결제가 될 것 같기도하고 내년 되면 또 해달라고 할것 같네요.. 결제 취소방법은 찾아봐도 없어서요 ㅠㅠ 혹시 알 수 있을까요??

    • https://www.reimageplus.com/contact-us/

      사이트 연락처를 통해 업체와 상담해 볼 수 밖에는 없을 듯합니다.

      아니면 카드 결제를 한 경우 카드사를 통해 문의하시는 것도 좋을 듯합니다.