usb 바이러스 치료하기- autoron.inf, kavo1.dll- 숨김 파일 속성 해제 안 됨.

이 글을 작성할 때만 해도 바이러스 백신들이 usb바이러스를 완벽하게 치료하지 못했었는데, 요즘은 대부분의 백신들이 깨끗하게 치료하는 편입니다. 그러니 이 글은 현시점에서는 그냥 참고만 하면 좋겠습니다.(2010년 4월 2일에 붙임)


요즘 kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스 때문에 숨김 속성을 가진 자료를 볼 수가 없고, 컴퓨터가 많이 느리고 멈추는 증상이 나타나고 있다.
이 바이러스는 usb 등 이동식 저장 장치를 자주 사용하는 컴퓨터에서 발생할 수 있다.

주로나타나는 증상은 아래와 같다.

1. 바탕화면의 내 컴퓨터 아이콘을 더블클릭하면, 연결 프로그램을 묻는 창이 뜬다.
2. 폴더 옵션에서 숨김파일 보기 설정이 바뀌지 않아서 숨김파일이 보이지 않는다.
3. 시스템이 거의 움직이지 않을 정도로 느리거나 멈추는 증상이 있다.
4. 인터넷을 실행하면 창이 떴다가 바로 종료된다.
5.시작프로그램에 등록(kxvo0.dll kxvo1.dll kavo.exe 등)된 것들이 컴퓨터를 껏다 켜면 다시 등록되어 실행된다.
위와 같은 증상이 있는 컴퓨터는  kavo.exe, kavo0.dll, kavo1.dll, kavo2.dll로 불리는 바이러스에 감염 된 것이다.

이 바이러스에 감염이 되면 모든 드라이브 루트에 아래의 파일이 자동으로 생성되며, 속성은 숨김, 읽기전용 등으로 실행되어 찾아서 지우기가 쉽지않다.
아래에 열거한 파일 이름들이 다른 것으로 변형되어 작동하기도 한다.
autorun.inf, fool1.dll, ntdeIect.com, kavo.exe, kavo1.exe 등 다양하다.

윈도우 시스템 폴더에 (윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32)에 아래와 같은 파일들이 저장된다.
파일 이름은 다른 것으로 변형될 수 있다.
kavo1.dll, 2wpypke.dll, kjiiacn.dll, kxvo0.dll, kxvo1.dll, kavo.exe, fool0.dll, fool1.dll, fool1.dll, ieso0.dll, xpnvh.dll 등...

바이러스 변형이 계속해서 발견이 되고 있어서 치료하기가 상당히 까다롭다.
또한 이동식 저장장치를 같이 치료하지 않으면 나중에 그 장치를 사용하는 컴퓨를 다시 감염시키디 때문에 피해가 심한 편이다.
현재 대부분의 바이러스 백신으로 치료가 완벽하게 되질 않는다.
가장 일반적인 치료방법을 알아보기로 한다.
아래에 제시한 치료 방법은 가능한 안전모드에서 실행하는 것이 좋다.
안전모드는 컴퓨터 부팅시 윈도우 로고 나오기전에 키보드의 F8 키를 가볍게 두들기고 있으면 부팅 매뉴가 나오는데 그 곳에서 안전모드를 선택하면 된다.

명령창은 실행-cmd 엔터를 입력하면 된다.
아래 그림은 깨끗한 상태의  윈도우 xp 파일들이다. 노란색 테투리 안의 파일들은 운영체제에 꼭 필요한 시스템 파일들로서 만약 이 파일들을 지우면 다시는 윈도우 화면을 보지 못 할 수도있다. 건드리지 말 것.
최상위(루트) 폴더로 가기위해서  cd:\를 입력하고 엔터를 친다.

사용자 삽입 이미지

바이러스는 숨김 속성을 가지고 있어서 그냥 dir을 입력하면 보이지 않는다. dir/ah를 입력하여 숨어있는 파일들을 보이게한다. 노란색으로 표시된 것들이 바이러스들이다. 이 것들을 지워야한다.

사용자 삽입 이미지


숨김파일 보기 옵션으로 파일이 보이기는 하지만 지우려하자 파일이 없다고 한다.
숨김파일 속성과 읽기 속성을 해제하고 지워야한다.
attrib -r -h autorun.inf을 실행하고 난 다음에 다시 시도하자 삭제가 되었다.
바이러스 파일 전부을 위와 같이 속성을 해제하고 삭제한다.
[attrib -r은 읽기 속성 해제, -h는 숨김 속성 해제, +를 앞에 붙이면 반대로 속성을 지정한다]

사용자 삽입 이미지


이제 시스템 폴더로 이동한다. c:\cd windows\system32를 입력하고 엔터.
마찬가지로 dir/ah를 입력하여 숨어있는 바이러스 파일을 나타나게 한다.

사용자 삽입 이미지


위에서와 마찬가지로 attrib -h -r fool1.dll과 같이 속성을 해제하여 삭제한다.

사용자 삽입 이미지

컴퓨터의 모든 드라이브(시디를 제외한 usb 메모리, sc카드 등...)를 연결한 상태에서  해당 드라이브의 최 상위 폴더에서 바이러스 파일들을 삭제한다. 방법은 위와 같다.

사용자 삽입 이미지



 


 

댓글()
  1. BlogIcon 다혈찌리 2008.05.02 09:41 댓글주소  수정/삭제  댓글쓰기

    저도 이 문제로 골머리를 싸맬 정도였습니다. 지워지지도 않고... 결국 위와 같은 방법도 써 보았죠.
    근데 여러가지 후유증이 남더라구요.... ㅠ.ㅠ
    그냥 간단하게 '알약' 쓰세요. 간단하게 해결해 줄 겁니다. ^^

    • BlogIcon 컴치초탈 2008.05.21 12:06 신고 댓글주소  수정/삭제

      알약으로 완전하게 해결이 안 되는 경우가 많습니다.
      솔직히 증상이 심하고 바이러스 파일이 잘 삭제도 안 될 때는 데이터 백업하고 빨리 포맷하는 것이 가장 좋은 방법일 수도 있습니다.

  2. BlogIcon TISTORY 2008.05.06 11:30 댓글주소  수정/삭제  댓글쓰기

    안녕하세요.티스토리 입니다^^

    회원님의 포스트가 현재 다음 첫화면 카페.블로그 영역에 보여지고 있습니다. 카페.블로그 영역은 다음 첫화면에서 스크롤을 조금만 내리시면 확인하실 수 있습니다.

    회원님께서 작성해 주신 유익하고 재미있는 포스트를 더 많은 분들과 함께 나누고자 다음 첫화면에 소개 하게 되었으니, 혹시 노출에 문제가 있으시다면 tistoryblog@hanmail.net 메일로 문의주시기 바랍니다.

    앞으로도 티스토리와 함께 회원님의 소중한 이야기를 담아가시기 바랍니다!

    감사합니다. 즐거운 하루 보내세요!

  3. AVAN 2008.05.06 12:35 댓글주소  수정/삭제  댓글쓰기

    덧붙이자면... 작업관리자의 explorer.exe를 종료하고 해야합니다.
    저도 여러번 해봤는데..
    explorer.exe를 종료하고 하지 않으면 다시 나타나더군요...
    즉, 그때뿐이란 얘깁니다.
    explorer.exe를 종료하고 삭제 후 다시 부팅해서 해결했습니다.
    ** iexplore.exe가 아니라 explorer.exe 입니다.

  4. 으아아 2008.05.06 19:32 댓글주소  수정/삭제  댓글쓰기

    딱 이런 증상이 있는데요
    어렵네요 ㅠ 영어가많아서;

    • BlogIcon 컴치초탈 2008.05.21 12:06 신고 댓글주소  수정/삭제

      네, 조금 어렵습니다. 솔직히 말씀드리자면 이 것 잡고 있는 시간보다 포맷하는 것이 훨씬 빠릅니다.
      사무실 같이 특정 프로그램을 사용하지 않는 곳이라면, 데이터만 백업하고 새로 운영체제를 설치하는 것이 빠르고 시스템도 깨끗해집니다.

  5. 모코나 2011.09.10 00:50 댓글주소  수정/삭제  댓글쓰기

    저도 이런 증상이 있어서.. 말씀하신 대로 해 봤거든요??
    그런데 autorun.inf 를 읽기 해제, 숨김 해제가 안 되네요..
    시스템 파일의 설정을 변경할 수 없다고 나오네요.. 왜 그러죠??