|
|
증세는 대충 이렇다.
1. 내 컴퓨터에서 감염된 드라이브를 클릭하면 현재 창에서 화면이 바뀌는게 아니라 새 창이 떠버린다.
2. 해당 드라이브를 오른쪽 클릭해서 자세히 살펴보면 맨 위에 Auto가 떠있다. 즉, CD에나 있는 Autorun.inf 파일이 드라이브에 상주하고 있다는 것이다.
3. 작업관리자를 띄워보면, 엑셀파일 모양의 아이콘에 kill 이란 이름을 달고 있는 프로그램 하나가 떠 있는 것을 발견할 수 있다.
4. 감염된 컴퓨터에 꽂았던 모든 USB 저장장치에는 해당 바이러스가 순식간에 옮겨간다. 파일을 복사/이동했을 때 감염되는지 그냥 꽂기만 해도 감염되는지는 확인하지 못했다.
5. 감염된 드라이브 루트에는 tel.xls.exe 파일이 있다고 하나, 일반적인 어떤 방법을 사용해도 그 파일을 찾아낼 수 없다. cmd에서 삭제할 수도 없다. 단, 토탈 커맨더로는 검출해낼 수 있다.
6. 누구는 드라이브 루트의 autorun.inf 파일도 볼 수 있다고 하나, 나는 찾아낼 수 없었다. 단, 시작메뉴의 실행 옵션을 통해서 실행할 수 있었다. (토탈 커맨더로 삭제할 수 있다)
7. 이 바이러스에 감염되면 windows가 설치된 드라이브에 FileKan.exe, SocksA.exe, Session.exe, svchost.exe 이렇게 네가지의 파일이 나타난다.
그렇다면 어떻게 해결하는가?
나는 일단 구글링으로 그 방법을 알아내고자 했다. 구글에서 tel.xls.exe 를 쳤을 때 2위로 뜬게 사막의독수리님의 글이었다(많은 참고가 되었습니다^^) 하지만 나의 경우 V3 알레르기 비슷한게 있는 관계로 그 방법은 피하기로 했다.
구글링을 맨 처음 시작했을 때 가장 위에 뜬 사이트가 그 해답이 되어주었다. 바로 이곳이다. Prevx 2.0이라는, 이름 부르기로 참 곤란한 프로그램이 나와주는 것이었다. 뭐 다른 방법이 없기에 나는 이 프로그램을 다운받고 실행해보았다.
(현재는 해당 프로그램을 삭제한지라 어떤 스샷도 없음을 양해바랍니다)
.. 물건이다.
내가 해당 바이러스를 퇴치한 방법은 이렇다. (이 방법은 매우 번거로우므로 그냥 내가 아래 추가한 설명을 보도록 하라)
1. 내가 건 링크에서 프로그램을 다운로드, 설치하고 리부팅한다.
2. 그 컴퓨터에 꽂았던 모든 USB저장장치, 즉 Mp3플레이어를 비롯해서 이동식 하드디스크, 메모리스틱들까지 전부 그 컴퓨터에 꽂는다.
3. 내 컴퓨터로 들어가서, 모든 드라이브에 한번씩 들어가본다.
4. 감염되었을 경우 드라이브 내용물이 새 창으로 뜸과 동시에, 위에서 깐 Prevx 2.0이 tel.xls.exe의 존재를 알아채고 감옥(jail)에 쳐넣는다.
5. 그렇게 모든 드라이브에 다 들어가서 해당 드라이브들에 들어있는 tel.xls.exe들이 모두 감옥으로 들어갔으면, Prevx 2.0을 제외한 모든 프로그램을 닫고 감옥 비우기를 눌러보자.
※. 애들 감옥에 쳐넣는 과정에서 나같이 "칼무리"같은 선량한 프로그램이 들어가버렸다면, 감옥에서 해당 프로그램을 오른쪽 클릭하여 "허용" 할 수 있다. 허용된 프로그램은 감옥을 비워도 시스템에서 삭제되지 않는다.
6. 여하간 그렇게 비우기를 누르면 얘가 꽤 오랜 시간을 들여서 파일을 시스템상에서 삭제한다. Analyzing Registration 이라는 과정에서 거의 20분이 걸렸는데 대체 뭐하는 과정인지는 모르겠다. 그 과정 하나빼면 눈 깜짝할 새에 지나간다.
7. 리부팅 후 시작->실행을 누르고 감염되었던 모든 드라이브명:/autorun.inf (예: c:/autofun.inf, d:/autorun.inf)을 쳐서 메모장으로 실행한 후 해당 파일 안의 모든 내용을 삭제해주자. 그리고 저장하면 된다.
※. Tel.xls.exe가 제거되었다면 숨김파일보기로 저 파일들이 보이게 될지도 모르겠으나 확인은 못 했다. 또, 토탈 커맨더 Total Commander를 사용하면 저 파일을 직접 지울 수 있다.
8. 모든 노가다가 끝났다면 Prevx 2.0을 삭제하고 그냥 기뻐하면 된다. Prevx 얘 꽤나 무거워서 나같은 경우 시스템에 이 프로그램이 상주하고 있으면 정상적인 작업이 불가능했다.
9. 일련의 과정에선 처음에 말한 Filekan같은 파일이 삭제되지 않는다. 그것들은 적절히 NOD32나 비트디펜더 따위로 제거해주자. 나같은 경우 NOD32 30일 체험판을 받아서 해결했다.
10. 도저히 이해가 안 될 경우, 혹은 깡이 없을 경우 시작->실행->cmd->format c: 하면 된다. 물론 백업하지 않았던 모든 데이터가 날아가게 된다. 추천하지 않는다.
오늘 이것때문에 거의 2시간을 허투로 보낸 것 같다. 얼른 섬머데이즈 설치해야지.
