2008년 04월 25일
Final - kxvo.exe 관련 포스트 정리
(피드백과 잘못된 정보 수정은 언제든 환영입니다아아아아~~~)
kxvo.exe 와 kavo.exe 는 USB 바이러스로 요즘 기승을 많이 부리는 것 같네요.
전 하드드라입 2개에 엠피삼 + SD카드 까지 합하면 총 4개의 드라입이 있고..
이 네 곳에 순식간에 바이러스가 잠입해 들어갑니다. 줴길.
알게 모르게 갈아치워버린 여분의 하드드라이브들도 괜히 의심이 가는군요.
지워도 지워도 지워지지 않는 바이러스라는 점이 나를 미치게 만들고
이젠 변종들이 수시날락으로 업데이트 되고 있어서 손을 놓고 싶게 만듭니다.
kxvo.exe 와 관련해서 생기는 파일들과 위치는 다음과 같습니다.
c:\windows\system32\kxvo.exe
각 루트 폴더에 autorun.inf,
각 루트 폴더에 ??delect.com
c:\windows\system32\fool?.dll
c:\Documents and Settings\사용자이름\Local Settings\Temporary Internet Files\hax.exe
c:\Documents and Settings\사용자이름\Local Settings\Temporary Internet Files\ll.exe
(hax.exe 와 ll.exe 는 경우에 따라 없을수도 있습니다)
모두 시스템파일이며, 숨김속성, 읽기전용속성을 가지고 있습니다.
(그리고 hax와 ll은 보관까지 설정되어있다는 -ㅁ-)
이전의 포스팅을 보신 분들은 아시겠지만
ntdelect.com
nldelect.com
nndelect.com
xsdelect.com
제 PC 엔 얘들이 다녀갔습니다.
근데, 또 올것같아요... ;ㅁ;
이 바이러스가 입히는 피해는
▷ 숨김파일 해제 불능
-> 폴더 옵션에서 숨김해제가 죽어도 되지 않습니다.
따라서 kxvo.exe 비롯한 다른 바이러스들까지 은폐될수도 있습니다.
▷ 드라이브 더블클릭시 새창으로 뜸
-> 드라이브를 컨트롤하는 연결파일이 어째서인지 ??delect.com 으로 설정되어있습니다.
kavo 관련 바이러스는 제가 접한바 없으나, kxvo 관련 바이러스는 이 증상이 나타납니다.
(아쳐님의 피드백으로 추가합니다)
▷ 인터넷 익스플로러 오류
-> kavo_killer.exe 를 써보고 난담에 알아차렸는데,
인터넷 익스플로러에서 글을 쓸수가 없습니다.
그리고 간혹 지 맘대로 런타임오류 및 갖은 이유를 들이대며 IE를 꺼버립니다.
* 그러나, 파이어폭스에서는 오류가 일어나지 않는것으로 보아
IE에만 작용하는것으로 볼수도 있습니다.
▷ 사용자 정보의 전송
-> 가시적으로는 보이지도 않지만, 안철수연구소와 카더라통신에 의하면
온라인게임 정보유출 등 사생활 침해 가능성이 있다고 보고됩니다.
파해법
ㄱ. 도스를 이용한 방법(권장)
▷ 별다른 프로그램 필요없이 윈도우 기본 프로그램인 cmd만을 사용한 방법입니다.
따라서 외부 프로그램등의 추가 감염여부없이 바이러스를 삭제할수 있으므로 이 방법을 권장합니다.
이 방법들은 안전모드에서 USB 드라이브를 연결하시고 수행하시는것을 권장합니다.
그리고 안전모드를 시작할때 Administrator 권한에서 한번, 사용자 권한에서 또 한번 재검하시는것도 권장합니다.
아마 Administrator 에선 USB 드라이브가 잡히지 않았던것 같아서요.. (먼산)
▷ cmd상
시작 - 실행에서 cmd를 이용한 방법이며 attrib 와 del 을 이용해 파일을 삭제합니다.
각 루트 드라이버에서 dir /ah 를 하면 숨김파일들을 볼수 있습니다.
그리고 해당 파일을 그냥 지울수 없기때문에 파일 속성을 고칠 필요가 있습니다.
attrib kxvo.exe -s -h -r
(-s는 시스템파일특성을 -h는 숨김파일특성을 -r은 읽기전용 파일특성을 지우는 옵션입니다)
그리고 del kxvo.exe /f
(/f 는 읽기 전용파일을 강제로 삭제하는 옵션입니다)
마지막으로 dir /ah 으로 파일이 삭제되었는지 확인합니다.
이런 식으로 autorun.inf 와 kxvo.exe, ??delect.com 을 지워주시면 됩니다.
만약, kxvo.exe 를 먼저 지우시면 ??delect.com 은 자동으로 지워지게 됩니다.
그리고 시작 - 실행에서 msconfig 를 실행하세요.
마지막 시작프로그램 탭으로 가셔서 kxvo 에 체크 해제하시면 됩니다.
ㄴ. Pandakiller.exe 를 이용하는 방법▷ 이 방법은 외부 프로그램인 판다킬러를 이용하는 방법으로, 초점이 kavo.exe 에 맞춰져 있습니다.
도스를 이용하는 방법보다는 사용이 간편하나, 아래에 나타난대로 이 프로그램 자체가 바이러스를 포함하고 있습니다.
약간의 리스크가 있지만, 이런 방법이 있다는것도 알리기 위해 포스팅합니다.
▷ kavo_kliller 와 이지클린이용
윈도에서 kavo_killer 와 이지클린(혹은 기타 레지스트리 정리프로그램)을 이용한 방법입니다.
kavo_killer.zip 을 다운받습니다.
압축을 풀고 실행을 하시면 굵은 버튼 네 개중 마지막의 팬더가 불에 타들어가는 버튼을 눌러주세요.
그러면 실행되고 있던 익스플로러와 인터넷 익스플로러가 모두 종료되면서 작업을 수행합니다.
다시 익스플로러가 실행되면 내 컴퓨터에 들어가서 도구(T) - 폴더옵션(O) - 보기 로 들어갑니다.
항목들을 살펴보면 '보호된 운영체제 파일 숨기기(권장)'을 해제하시고, 숨김파일을 보이게 설정하
신다음 아래에 있는 '시스템 폴더 내용표시'도 체크하세요.
그러면 각 드라이브에 숨겨진 파일들과 숨겨진 시스템 파일이 보일겁니다.
이제 위에 적힌 경로에 있는 파일들을 하나씩 지우시면 되겠습니다.
참, hax.exe 와 ll.exe 는 폴더에 표시 되지 않을수도 있으니 파일찾기(단축키 F3)를 통해 파일을
찾아서 지워주세요.
그리고 레지스트리 정리 프로그램을 이용해 찌꺼기 레지스트리를 삭제합니다.
마지막으로 시작 - 실행에서 msconfig 를 실행하세요.
마지막 시작프로그램 탭으로 가셔서 kxvo 에 체크 해제하시면 기본적인 처치는 끝입니다.
재부팅하신다음 내컴퓨터에 숨김파일이 제대로 보인다면 성공,
계속 파일들이 숨겨져 있으면, 될때까지 반복(....)
덧 : kavo_killer를 실행하시면 기본적으로 백신을 한번 돌려보는것을 권장합니다.
.... 라는 정보가 있으나, 전 그냥 버티고 있습니다(-ㅁ-)
덧 : 알약에서 PanDaKiller.exe 에 대해 Trojan.Agent.AGGJ을 진단한다는 소식 잠깐만님이 전해주셨습니다.
하지만 사용중인 V3 NEO+ 에서는 진단이 되지 않는 것으로보아 알약과 V3의 기반엔진에 따른 차이가 있는것 같습니다.
모쪼록 바이러스의 피해에서 빨리 벗어나시길 기원하는 바입니다. (꾸벅)
인터넷에 돌고 있는 정보들
안철수 연구소에 가셔서 검색하시면 다음과 같은 정보를 얻을수 있습니다.
kavo.exe로 검색한 결과 1
kavo.exe로 검색한 결과 2
kavo.exe로 검색한 결과 3
kxvo.exe로 검색한 결과 1
kxvo.exe로 검색한 결과 2
ntdelect.com 으로 검색한 결과
nndelect.com , nldelect.com, xs(....)delect.com 에 관한 정보는 올라오지 않았습니다.
이야기
이 바이러스에 걸렸을땐 폴더를 오른쪽 클릭후 열기를 통해 접근한다.
폴더에 더블클릭으로 접근하면 ntdelect.com 이 실행된다는 말입니다.
저 역시 이 증상을 당해봤지만, 작동원리가 어떻게 되는지는 모르겠군요. -_-;;
늑대영웅님//
-,.- 변종들이 계속 들끓을까봐 걱정입니다.
가급적 인터넷 익스플로러를 끈 상태에서 USB를 연결하고 파일을 날려보세요.
USB를 연결하지 않고 하드드라이브의 파일만 삭제하면 말짱도루묵이지요 (덜덜덜)
경북님//
0ㅁ0 ;;; 디카가 모조리 다 걸렸다면 시간이 많이 걸리겠군요.
역시 USB 포트가 많다면 전부 디카를 연결하고(....)
동시에 치료하는게 그나마 시간을 아낄수 있는 방법일것 같습니다.
이 바이러스가 걸려도 제 은행계좌나 다른 쪽에서 문제가 안터진걸로 봐선
그렇게 큰 신경은 안쓰셔도 되지 싶습니다.
다만, 문제가 되는건 앞으로 이런 종류의 바이러스를 어떻게 처리하느냐..
라는게 될까요.. (웃음) 모쪼록 무사히 바이러스파일이 제거되길 바라겠습니다.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- MSN 메신저 이모티콘 저장경로 by meiry
- 내 루트 폴더를 마음대로 쓰지마라! by 南無
- 아궁금해요궁금해 by 썅또끼
- 바이러스 발견...; by 구바바
- 내컴퓨터에서 드라이브를 열면 새창으로 열립니다. by 레이
# by | 2008/04/25 17:50 | 바이러스 - kxvo | 트랙백(1) | 핑백(4) | 덧글(55)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
제목 : kxvo 혹은 kavo 바이러스 치료
kxvo(kavo) 웜 바이러스 감염 후 증상 1. 내 컴퓨터의 로컬 드라이브를 더블 클릭하면 새창으로 내용이 뜨거나(같은 창에서 뜨도록 설정했음에도) 연결 프로그램을 묻는 창이 뜬다. 2. 폴더 옵션에서 숨김파일 보기를 선택해도 숨김파일이 보이지 않는다. 3. 시스템이 상당히 느리거나 간혹 멈춘다. 4. 인터넷창(Internet Explorer)을 실행하면 창이 떴다가 바로 종료된다. 주로 USB 메모리 등의 이동식 저장장치의 Autorun.......more
... 지지 않는다 동의한 사람만 클릭 이 글은 푸른영혼님이 쓰신 글을 바탕으로 アーチャー의 컴퓨터 지식과 그동안의 경험과 제보를 바탕으로 쓴다. 푸른영혼님의 포스팅 바이러스의 유래 원래 이 바이러스는 스페인에서 처음 발견이 된 바이러스로 USB나 네트워크 드라이브를 통해서 감염된다. 각 드라이브에 ntdelect ... more
... ows\system32 의 kavo1.dll 류의 파일 역시 바이러스를 제어하는 기능을 가지고 있더랬죠. <a title="Final - kxvo.exe 관련 포스트 정리" name="1186999">Final - kxvo.exe 관련 포스트 정리 << 이 포스트에 가시면 기본적인 대처방법이 나와있으니 참조하시고,여기에서는 ... more
... windows.) is a pathogen.like kavo?.dll in C:\windows\system32 also controll virus file.http://ssaybch.egloos.com/1186999 <- Treatments of this virus are in that post.This post annouced just list ... more
... B 타고 다니는 바이러스가 대유행이랍니다. 며칠 전 회사에서 컴퓨터 조사한다면서 USB를 돌려서 저도 박살났습니다. 사실은 제가 담당이라서 할 말도 없는데... Final - kxvo.exe 관련 포스트 정리제일 인기 있는 건 요 녀석인데 약간 마이너한 녀석으로 걸렸습니다. Antz.vbs 그리고 tracker.vbs. 둘 다 증상과 처치법은 유사합니 ... more
카스퍼스키가 이 바이러스를 잘 잡는다는 얘기가 있어 지금 설치 중입니다. 해보고 글 올릴께요. ^^
카스퍼스키가 위 파일들 다 잡아내네요. 지금은 이상이 없는것 같습니다. 여튼 참 지독한 바이러스네요. 숨김파일을 못보게 만들어버리는것도 정말 짜증나구요. 어쨌든 푸른영혼님 덕 많이 봤습니다. 정말 감사드립니다.
kvxo.exe는 레지스트리 지우고 나서야 지워지네요. 이것도 검색해서 알았다는...
드라이브에서 새창에 뜨고 어떻게 해서 지웠는데 실행하니 재부팅 크리먹었습니다.
고스트 복원하면서 현재는 잘 쓰고 있지만 hax.exe 이놈이 문제네요... 네이버무료치료로 치료해도 그대로고....
일단 kvxo.exe 걸리나 항상 신경 쓰고 있습니다.
좋은 포스팅 하셨네요.
각 파일들을 지우고 난뒤 그 폴더에
메모장에서 빈문서를 각 파일명으로 저장후에 읽기전용 속성으로 변경하시면 됩니다.^^
hax.exe 파일을 찾을수가 없더군요.
kxvo.exe를 지우고 기다리면 뭔가 컴터가 알아서 까는게 나오는데
그거 나오면 다시 kxvo가 생겨요. 죽을맛이에요.
오상욱// 도움이 되었다면 제쪽에서 감사드리는거죠 뭐.. 하핫
레이븐// 아하! 무슨말인지 알겠습니다. 이런 방법도 있었군요 @_@
gg// 윈도우폴더와 사용자 local setting 폴더에 있는 임시파일을 모두 지우시고, 인터넷 보안설정을 당분간 높여서 사용해보시기 바랍니다.
인터넷 사용시, ** 파일을 실행하시겠습니까? 란 메세지가 뜰때 의심이 되는 파일이 있다면 그 파일이 바이러스를 감염시키는 전달자 역할을 하는것일테니까요.
건승을 빌겠습니다. -_-)b
님이 올려주신대로 도스가서 해결하려고
순서대로 따라하다가 attrib kxvo.exe -s -h -r 이렇게 치니까
액세스가 거부되었다고 나오는데... 어떻게 해야하나요??
아, 참고로 vista인데 이것도 관련이 있으려나??ㅠㅠ
알려주시면 감사하겠습니다.
핸드폰메모리카드(micro SD)를 USB메모리로 겸해서 사용하는데 메모리에서 하드로 파일을 옮긴후 문제가 있었던거 같네요.
두가지 질문이 있는데 usb메모리 연결했을때 생기는 H:\ 에 'autorun.inf' 파일도 삭제해 주는것이 맞는지요?
g2lbn 이라는 파일명의 파일이 있는데(종류:Windows NT 명령어 스크립트) c드라이브, d드라이브, h드라이브에 모두 있는데
상당히 의심이 가는 파일이네요... 혹시 이것도 관련파일이 아닌가 하는데 어떻게 생각하시는지요?
글쓰신 날짜가 ㄷㄷㄷ # by 푸른영혼 | 2008/04/25 17:50 | 바이러스 - kxvo | 트랙백 | 핑백(1) | 덧글(21)
참고로 저의 윈도버전은 xp입니다
대체 뭔가 싶었는데 바이러스였군요; 괜히 포맷도 한번 했습니다ㅠㅠ
그리고 침묵님 이글루에서는 날짜를 미래로 해서 포스팅을 할 수도 있습니다. 그렇게 지정 날짜가 지나기 전까지는 포스팅이 제일 위에 표시가 되요^^
michir// -_- 요즘 외지에서 생활하는지라 집에서 포스팅을 업뎃하는게 뜸했습니다. 좋은정보 얻으셨다면 저야말로 감사할따름이지요 ^^
autorun.inf 파일을 메모장으로 열어보았는데 kxvo.exe 는 잘 모르겠고요
g2lbn.cmd(?) 어쩌구 저쩌구 하는 명령은 보이더군요 어쨌거나 모두 삭제 시키고 정상으로 돌아온것 같아요.
감사합니다^^
kavo_killer.exe 한번 돌려 주시면 완전 해결되네요 ^^*
램 용량 512MB 이상이어야지 안정적으로 돌아가더라-_-;
알약으로 검사해봤더니 Trojan.Agent.AGGJ 걸렸대요
PanDaKiller.exe 에서요
아직도 제 블로그에는 kxvo 포스팅을 방문 하시는 분들이 많아서 이렇게 건의 해봅니다.
권유해주신대로 약간 본문을 손봐야겠군요. 여러모로 감사드립니다. (_ _)
이제는 노턴360이 못잡는고 v3가 잡는게 있네요 -_-^
kxvo.exe 이놈 너무 질기네요...
드라이브마다 왱알왱알.com 파일이 하나씩 숨겨져 잇네요 ㅜㅜ
-ㅛ- 엠피삼군은 물론이고 방심하고 있던 디카에 뒷통수를 맞았을때도 꽤 충격이었습니다. ;;;
이렇게 뜨는데 어떻게 하죠??
이거 한번걸리면 치료해도 내컴퓨터드라이브 더블클릭 열기 되지가 않네요.,.
저희 학교 전산실에 가보면 변종들이 부지기수로 널려있는데 g21n.. 뿐 아니라 숨겨져있는 이상한 이름의 파일들은 죄다 한통속이라 보시면 되겠습니다.
그런데, 오토런과 해당파일 지우고 재부팅하면 돌아오지 않나요? 'ㅁ'?
하지만 파일만 삭제하고 재부팅같은거 안할경우엔 Auto 메뉴가 살아있어 더블클릭 열기가 되지 않고 프로그램연결로 넘어가죠.
혹시 각 루트 드라이버의 파일들을 제거하고 C:\windows\system32의 바이러스 파일들은 제거하셨나 궁금하네요.
저도 오늘 cdd8vdd 란 놈의 공격을 받았는데 그 폴더 가니깐 kvosoft 와 cao11.dll 이 있었습니다.
-0- 하여간 독종들입니다 이거 원
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Search Assistant \ ACMru \ 5604
여기를 가리키더군요
ACMru 에 5603 5604 5607 세개의폴더가 있는데 이상하긴해요
괜히 잘못건드렸다가 컴사망 할수있으므로 질문 여쭙니다
5604 폴더를지워도 될런지요? 5604 폴더엔 기본값부터 001 ~24까지 25개의 파일같은게 있습니다
알려주심 감사하겠습니다
혹은 그냥 기분나쁘면 지울때도 있습니다만은 -,.-;;
아, 지금 regedit 돌려서 확인해봤는데, 검색메뉴를 통해 검색한 기록들이 남는 곳이네요.
이 레지스트리가 직접적으로 영향을 끼치진 않습니다만 찜찜하다면 지워도 무방하겠습니다.
제 경우엔 5603과 5604의 기록이 남는군요. :)
그리고 요즘은 kxvo.exe 가 직접적으로 생기지 않고 변종들이 kxvo의 역할을 대신하고 있습니다.
확장자가 bat이거나 cmd, vbs이면 일단 의심하고 보시는게 좋을듯싶네요 :)
근데 한가지 질문이있는데요 시작프로그램에서 삭제하려고 보면 kxvo 가 없는데
msconfig에서 시작프로그램 보면 나오네요 이건 지울수없는건가요??
시작프로그램쪽은 체크를 안해봤었지만, 시작프로그램 폴더엔 없더라도 자동으로 실행되는 프로그램들이 있는것 같습니다.
kxvo같은 경우 확실한 바이러스 파일인지라 msconfig - 시작프로그램에서 보시는대로
C:\windows\system32 폴더에 위치하고 있으며 이 파일을 바로 지우시면 문제는 없을겁니다.
.......네 여기까지 질문 잘못 읽은 주인장의 뻘답글이었구요 ;;;
(적다보니 뭔가 이상하더란...)
msconfig - 시작프로그램의 필요없는 항목들은 저도 어떻게 지워야하는지 잘 모르겠습니다만
개인적으로 이지클린에 딸린 시작프로그램 관리에서 삭제가 가능하네요 :)
어느날 시스템구성 유틸리티- 시작프로그램에 ●ㅣ이런게있더라고요 사용않함으로 하긴했는데
삭제하려고 찾아봐도 없고 영집집해서요
●ㅣ본적도 들은적도없고 (●크기가 *정도입니다 작은동그라미를못찻아서)
시작항목ㅣ명령ㅣ위치에보면 파일경로가 표시되는데 그것도없습니다
시작항목●ㅣ
명령●ㅣ <-위치가않나옴
위치software\microsoft\windows\urrentversion\UN
이정도로 나와있는데 레지를 이용해 지우려면 어디로가야할지모르겠습니다
바이러스인지 모르겠습니다 혹시나해서 여쭈여봅니다
보통 시스템 구성 유틸리티를 통해 파일경로를 보긴 하지만 거기에도 표시되어있지 않으면
파일이름으로 하드드라이브 모두를 검색하는게 빠를겁니다.
암만 바이러스래도 지 이름을 순식간에 바꾸지는 않을거거든요.
개중에 숨김속성이 되어있어서 파일이 보이지 않을 경우는 폴더옵션에서 숨김파일을 보이게 하시고,
시스템파일까지 보이게 설정하시면 어지간한 파일들은 다 보일겁니다.
의심가는 경로는
c:\documents and settings\사용자이름\local settings\temp
c:\documents and settings\사용자이름\local settings\temporary interner files
c:\windows\system32
의 세 개가 되겠습니다.
동그라미 한개있고뒤에 ㅣ자입니다
동그라미는 좀 작은거예요
파일명이 이상해서 검색자체가 안됩니다
네 답답해요
저도 방법 강구중이라 뭐라도 찾게되면 댓글남겨놓겠습니다.
제가 생각해본 방법은 이렇습니다.
우선 msconfig에서 해당파일에 체크합니다. 랜선을 뽑고 재부팅합니다.
재부팅하시면 해당파일이 실행되겠죠? 그리고 이게 인터넷과 관련한 파일이라면 랜선이 빠져있으므로 외부 서버와 연락을 할 수 없게됩니다.
그리고 위 포스트에 언급한 process explorer 를 통해 파일을 수동으로 찾는 방법입니다.
요즘의 바이러스는 윈도자체 파일을 바꾸기보다 다른 프로그램에 삽입되어 개인정보 유출등에 사용되므로 제안드리는 방법입니다.
레지스트리의 경우는
HKey Current User\software\microsoft\windows\currentversion\RUN
HKey Local Machine \software\microsoft\windows\currentversion\RUN
의 장소를 살펴보시라 말씀드리고 싶네요. 모쪼록 잘 완수하셨으면 합니다.
이런 프로그램이 있다는 것도 알려드립니다.