윈도XP기준입니다.
단계별로 따라 하세요.

1.
안전모드로 들어간다.
부팅될 때, 윈도우 로고 나오고 지렁이가 기어가는 화면 나오기 직전에 F8을 연타하면 들어갈 수 있다.
그중, 커맨드프롬프트 모드로 들어간다.
또는, 그냥 안전모드로 들어간 후 시작 -> 실행 -> cmd (그리고 엔터)

2.
그럼 그냥 시꺼먼 창이 하나 뜨고
C:\>

라고 써 있을 것이다.

C:\>dir /a *.exe

라고 치자.
그럼 fun.xls.exe라는 것이 보인다.

3.
C:\>attrib -r -h -s fun.xls.exe
C:\>del fun.xls.exe
C:\>attrib -r -h -s autorun.inf
C:\>del autorun.inf

라고 치자. XP에서도 이제 탭키 자동완성이 된다. fun까지만 치고 TAB키를 누르면 전체가 자동완성된다.

이 과정은 당신이 가지고 있는 모든 디스크 드라이브에 대해서 전부 실행해야 한다. 하드디스크가 여러개 있으면 있는대로, 파티션을 나눴으면 나눈대로, USB나 MP3플레이어, PMP같은 외장 디스크가 있으면 전부 다 해야 한다. 하는 방법은, 갖고 있는 각각의 디스크 드라이브들을 옮겨다니면서 위의 명령어를 치면 된다. 커맨드 프롬프트에서 디스크 드라이브를 옮기는 방법은
C:\>d:
D:\>e:
E:\>

등과 같다. 만약 하나라도 감염된 디스크가 남아있고, 이것이 XP에 끼워져서 자동실행이 일어나게 되면 다시 시스템 전체가 감염될 것이다.

4.
여기까지 다 했으면,
C:\>cd windows\system32
C:\windows\system32>del msfun82.exe
C:\windows\system32>del msime82.exe
C:\windows\system32>del algsrvs.exe

주의! alg.exe 는 정상적인 윈도 파일이며 꽤 중요한 파일이므로 삭제하지 않는다.

5.
그리고 위의 파일을 다운받아서 압축을 푼 후 모두 더블클릭해서 실행시킨다. 위의 것들은 숨김파일 보기가 불가능할 경우에 사용하는 레지스트리 파일들이다. 내가 써본 결과, 별 이상 없는 정상적인 것들인 것 같다.

6.
C:\>msconfig

만약 이렇게 했을 때 msconfig가 뜨지 않으면 다시 부팅해서, 시작메뉴 -> 실행 -> msconfig (엔터키 누르기)
그럼 msconfig가 뜨는데 그중 시작프로그램에 가서 msime80.exe와 msfun.82.exe의 체크를 풀어준다.

전설에 의하면 fun.xls.exe 대신 tel.xls.exe 파일인 경우도 있고 sxs.exe 나 setup.exe 같은 프로그램으로 위장하기도 한다고 전해진다.

이렇게 하면, 대강 수동으로 웜 바이러스를 잡은 것이 된다.

보너스
자동실행 끄기
C:\>msconfig

서비스에서 Shell hardware detection 을 끄면 된다.

by snowall 2008. 3. 15. 23:15
  • 이레오 2008.03.16 08:36 신고 ADDR EDIT/DEL REPLY

    바이러스 치료법인가요?

    근데 이게 머죠.. 새로생긴 바이러스인가..

    • snowall 2008.03.16 08:50 신고 EDIT/DEL

      음, 그건 검색하시면 됩니다...