WinLNM, winlnm.dat, tob2.dll, ysa 스파이웨어 삭제하기

프로그램의 배포처는 정확히 알 수 없으나 특정프로그램에 의하여 설치된다.

최초 WinLNM 라는 이름으로 브라우저확장모듈로 등록되어 검색키워드가 있으면 또 다른 악성코드를 설치한다.
그 파일명은 tob2.dll , tob2.exe

O2 - BHO: WinLNM - {393E4C48-C30D-4650-ACF5-E8FC95756F70} - c:\WINDOWS\system32\winlnm.dat
O2 - BHO: ysa - {CC01FC6C-2C5A-48D7-A946-E0D460B98663} - C:\PROGRA~1\tob2\tob2.dll

익스플로러에 로드된 브라우저 확장모듈이다. 참고로 Webmanager Class 는 검색도우미다. 이것도 애드웨어의 일종으로 설치된다.





위 모듈을 사용을 중지하려면 추가기능관리에서 설치된 항목을 사용안함으로 설정한다.







HijackThis라는 프로그램을 사용하면 등록된 모듈을 간단히 사용할 수 있다.
삭제하고자 하는 항목을 체크하여 하단의 Fix checked를 누르면 간단히 삭제할 수 있다.
프로그램의 사용법 및 다운로드는 아래링크를 참고하세요.
http://jinmoda.tistory.com/666





제어판 프로그램 추가/제거에 등록된 프로그램정보 tob2 uninstall에서도 삭제할 수 있다.
아래쪽에 Webmanager , Windows music kinpleplay 항목을 박스친 이유는 그냥 심심해서...



프로그램의 정보를 자세히 보면 홈페이지 주소가 암호화되어있다.
임시폴더를 찾아보려했으나 귀찮아서 생략한다.




이러한 스파이웨어가 더 있어서 추가로 덧붙임.
tqe2, tqe, toe2, tpr2 이항목이 있는경우 제어판 프로그램 추가제어에서 삭제하세요.
브라우저확장모듈명은 랜덤하게 등록되는것으로 보입니다.


관련글 보기
2008/11/13 - [바이러스] - 무료백신 프로그램 - 안티버(Avira AntiVir Personal - FREE Antivirus)
2008/04/26 - [윈도우즈/컴퓨터] - 작업관리자에 나오는 naPrdMgr.EXE 프로세스 파일정보
2008/04/19 - [시스템관리] - 악성소프트웨어 제거도구 - MRT.EXE
2007/12/20 - [윈도우즈/컴퓨터] - 작업관리자에서 나오는 wowexec.exe 프로세스 파일정보
2007/11/12 - [시스템관리] - 악성코드제거 및 시스템관리프로그램 - TSC Plus