프로그램의 제작사는 정확히 알 수 없으나 특정프로그램에 의하여 설치된다.
최초 WinLNM 라는 이름으로 브라우저확장모듈로 등록되어 검색키워드가 있으면 또 다른 악성코드를 설치한다.
BHO CLSID
WinLNM - {393E4C48-C30D-4650-ACF5-E8FC95756F70} - c:\WINDOWS\system32\winlnm.dat
설치방식이 좀 특이하여 다시 추가한다. 익스플로러를 기동할때마다 악성코드를 다운받고 백그라운드로 프로그램을 설치한다.
하나의 프로그램에 종속되어 설치되므로 아래의 항목이 모두 있을것이다.
익스플로러 - 도구 - 추가기능관리에서 사용안함으로 설정한다. 굳이 사용안함으로 설정할 필요는 없다.
완전히 삭제할것이므로..
HijackThis 의 로그파일이다. 아래 항목을 체크하여 삭제한다. 프로그램을 제거하지 않고 한번에 삭제할 수 있다.
최초 설치한 프로그램과 관련이 있는 항목이다. 모두 체크한다.
O2 - BHO: WinLNM - {393E4C48-C30D-4650-ACF5-E8FC95756F70} - c:\WINDOWS\system32\winlnm.dat
O2 - BHO: webmanager Helper - {3973110E-76FF-4325-A7A0-38EFD2AA4D01} - C:\Program Files\webmanager\webmanager.dll
O2 - BHO: BrowserHelper Class - {C99AE695-111F-447a-87A0-22283C869A2A} - C:\Program Files\tipoint\tinotice.dll
O2 - BHO: ysa - {CC01FC6C-47AD-4EA4-A662-2F930F8802C6} - C:\PROGRA~1\tqb2\tqb2.dll
O4 - HKLM\..\Run: [KINPle Update Check] C:\Program Files\KinPle\\KinPleStart.exe
O4 - HKLM\..\Run: [tipoint] C:\Program Files\tipoint\tistart.exe
O4 - HKLM\..\Run: [infoprotectS] C:\Program Files\infoprotect\infoprotectU.exe
O4 - HKLM\..\Run: [SMS1000] C:\Program Files\SMS1000\SMS1000Main\smsmupdater.exe
O4 - HKLM\..\Run: [SMS1000Update] C:\Program Files\SMS1000\SMS1000Main\smsuux.exe
O4 - HKCU\..\Run: [macchange] C:\WINDOWS\system32\macchange.exe sgi
첨부한 이미지는 제대로 체크가 안되어 있다. 위 항목을 모두 체크하여 삭제한다.(Fix checked)
시스템관리의 최강자 HijackThis의 화면이다. 다운로드 및 사용법은 이전에 작성한 아래글을 참고하기 바란다.
http://jinmoda.tistory.com/666
제어판 프로그램/추가제거에서 삭제할 수 있다. 목록이 없는 경우 HijackThis의 사용을 권장한다.
프로그램을 수동으로 삭제하려면 아래의 Uninstall String 값을 실행한다.
==================================================
Entry Name : tqb2 Uninstall
Product Name :
Version : 1.0
Company : tqb2 inc
Description :
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Program Files\tqb2
Install Source :
Web Site : ht@tk|%pp:/$/o@vk|%pe$rt$lk|%p@s.c$k|%pom
Installation Date : 2010-05-29 오전 12:45:34
Uninstall String : C:\Program Files\tqb2\uninstall.exe
Installation Change String:
Quiet Uninstall : No
Registry Key : tqb2 Uninstall
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
==================================================
==================================================
Entry Name : webmanager
Product Name :
Version :
Company :
Description :
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Program Files\webmanager
Install Source :
Web Site :
Installation Date : 2010-05-29 오전 12:44:45
Uninstall String : C:\Program Files\webmanager\Uninstall.exe C:\Program Files\webmanager
Installation Change String:
Quiet Uninstall : No
Registry Key : webmanager
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
==================================================
==================================================
Entry Name : Windows ie tipoint
Product Name : 티포인트
Version : 1.0.0.1
Company : <티포인트>
Description : <티포인트>
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Program Files\tipoint
Install Source :
Web Site :
Installation Date : 2010-05-29 오전 12:44:41
Uninstall String : "C:\Program Files\tipoint\Uninstall.exe"
Installation Change String:
Quiet Uninstall : No
Registry Key : tipoint
Installer : Nullsoft Install System
Root Key : HKEY_LOCAL_MACHINE
==================================================
tqb2.dll 스파이웨어의 상세정보다.
프로그램의 정보를 자세히 보면 홈페이지 주소가 암호화되어있다.
임시폴더를 찾아보려했으나 귀찮아서 생략한다.
관련글 보기
2010/05/28 - [시스템관리] - 인터넷 검색도우미 스마트키워드 SmartKeyword.dll 삭제하기
2010/05/27 - [시스템관리] - 인터넷 검색도우미 오픈샤퍼 OpenShopper 삭제하기
2010/05/27 - [바이러스] - 검색도우미 인포탭 infotab, 바탕인 batangin 삭제하기
2010/05/26 - [시스템관리] - 인터넷 검색도우미 FileLand, SearchPot, 스마트키워드 제거하기
2010/05/26 - [윈도우즈/컴퓨터] - Live keys, psngrro, 브레인미니 검색도우미 삭제하기
2010/05/26 - [윈도우즈/컴퓨터] - webmanager.dll 오류삭제, 검색도우미 Webmanager 삭제하기
