Process Explorer로 바이러스 잡기
백신이 모든 바이러스를 남김없이 잡아줄수 있다면 얼마나 좋을까요?
넘쳐나는 바이러스의 홍수에 거의 모든 백신사들이 진땀을 흘리고 있다고 할수있습니다.
백신이란 것이 정의된 바이러스외에는 잡지못하기 때문에 보안관리자들이 이런 신규 바이러스들에
대응할 수있는 응급조치법을 알고 있어야 합니다.
매우 유용한 툴중 하나가 바로 지금 소개해드리는 Process Explorer입니다.
전에 ‘우키의 블로그’를 통해 포스팅했던 글을 참고하세요.. .
다운로드: http://download.sysinternals.com/Files/ProcessExplorer.zip
제작사 사이트: http://www.microsoft.com/technet/sysinternals/default.mspx
제작사 사이트: http://www.microsoft.com/technet/sysinternals/default.mspx
오늘 백신을 설치하려는데 잘 안되고 에러가 나는 pc가 있었답니다. 백신이 설치되어있었지만
패턴업데이트가 되지않고 있던 것이었는데 아무래도 바이러스가 의심되어서 조사를 해보았습니다.
1. Process Explorer 실행
작업관리자를 열어보면 엄청많은 프로세스들이 나옵니다. 도대체 뭐가 바이러스인지 구분이 불가능하죠 ^^
특히 바이러스에 걸릴 경우 svchost.exe나 rundll32가 엄청 많이 떠 있는 경우를 자주 볼수있는데요…
어떤 것이 시스템 서비스에 필요한 것이고 어떤 것이 바이러스인지 구분이 가지 않지요…
그래서 우리는 조치를 하기 전에 각 프로세스들의 정체를 알필요가 있습니다.
1) Process Explorer의 탭에 마우스를 위치시키고 우클릭하여 Select Columns를 선택해줍니다.
2) 선택메뉴중에서 Command line를 선택해주고 확인을 클릭해주세요..
그러면 각 프로세스의 실제적인 정체를 알수가 있습니다. 
2. Process Explorer 로 바이러스 프로세스 종료시키기
1) 이젠 보이지않던 각 프로세스의 세부 정체가 나타납니다. svchost.exe나 rundll32에 기생해서 활동하는 바이러스들의 실행위치와 파일명까지 나타납니다.
이젠 바이러스가 만들어놓고 활동중인 프로세스를 식별하게 되었습니다.
2) 바이러스가 사용중인 프로세스를 종료시킵니다.
아래 그림에서 보는 것은 confiker변형바이러스의 특징인 수많은 바이러스작업스케쥴러들입니다.
수많은 바이러스 프로세스중에 최상위 프로세스를 클릭하여 Kill Process Tree를 선택해줍니다.
3. 바이러스 파일및 레지스트리 항목 제거
2번 항목까지 하면 PC에 설치된 백신들이 바이러스를 자동으로 잡는 경우가 많습니다. 1) 바이러스 파일을 찾아서 삭제합니다.
프로세스가 종료되었으므로 바이러스 파일을 쉽게 삭제할 수있습니다. 2) 시작프로그램에 삽입된 바이러스 레지스트리 항목 삭제합니다.
실행창에서 msconfig라고 입력하시면 자동 시작되는 바이러스 프로세스들을 삭제할수있습니다.
예전에 ‘우키의 블로그’에 포스팅했던 아래 글을 참고하세요
