Addendum & Fine Top 삭제

 

익스플로러에서 도구메뉴에서 추가기능관리 를릭하시면 위와같은 창이 나옵니다.
파인톱을 찾아서 사용안함을 클릭하시면 광고가 작동하지 않읍니다.
굳이 제거하고 한다면  제어판에서

파인톱을 찾아서 제거 해줍니다. 없다면 바로위 추가기능 관리에서 찾아서 하시면 됩니다.
모든 애드웨어는 제어판과 추가기능 관리에서 컨트롤 해주면 됩니다.
가끔 안철수 백신으로 튜닝검사 해주면 알아서 찌꺼기 청소 해줍니다.
안철수백신 다운로드에 대해서는 맨아래 최신글에 있읍니다.끝
아래에 적은 글들은 제거가 안되거나
완전히 제거하고자 하는분에게만 경험담을 권해드립니다.
컴초보님에게는 권하지 않읍니다.
컴 초보님에게 권해 드립니다.

1 .  백신검사?  

안철수백신에서 fin top 을 감지 하지 못합니다. 직접제거 해야 합니다.
컴퓨터 초보인분은 제어판에 들어가 간단히 제거 할 수 있읍니다.
그러나 제어판에 파일명이 없을때 또는 제어판에서 파일명을 제거해도 해결 안 될때
어떻게 해야하나?  컴퓨터수리점에 기사 부를 수도 없고
기사부르면  대부분  윈도우 포멧하고  다시 깔게 됩니다.
사실 포멧하면 그동안 자료를 저장한것이 모두 다 날아가고 윈도우 업데이트도 다 날아 갑니다.
경제적 손실이 상당히 큽니다. 아주 악성 바이러스 걸리면 다시 포멧하는 수 밖에 없읍니다.

이제부터 깨긋하게 지워버리자.

2 . 생성키와 디렉터리

생성된 파일들 입니다.인터넷에서 악성파일명에 1번 파일 이름을 본 것 같읍니다.

3. 프로그램 추가/제거

프로그램 추가/제거창에서 맨아래 세번째에  Fine Top이 보입니다.
제거 할때 웹브라우저 익스플로러  종료하고 제거해야 합니다.
BHO브라우저 핼프...뭐 이런 약어인데 브라우저에 플러그인해서 돌아가기 때문에
익스플로러를 종료 해야 합니다. 제거 됬읍니다.

이렇게 제어판에서 제거해도 해결이 안되는 경우만 아래를 참조하세요.

그러나  간혹 제거해도 레지트리에 재 등록되는 경우가 있읍니다.
Fine Top 이것도 그런것 같읍니다.
레지스트리 편집기를 띄우고 Find Top 키워드로 검색해서 제거합니다.
레지스트리 잘못  건드리면 부팅이 안될 수도 있읍니다.

Find Top?

값 이름과 데이터 제거합니다.
재 부팅해서 초기화 합니다.재부팅해도  레지스트리에 재등록돼 있어 제거 해야 합니다.

참조 Au_.exe?

관련 악성 코드 그룹 The unsafe files using this name are associated with the malware groups:
이 이름을 사용하여 안전하지 않은 파일은 악성 코드 그룹과 관련된 다음과 같습니다

Spyware 스파이웨어
Cloaked Malware 클로킹 악성 코드

파일 동작

 AU_.EXE has been seen to perform the following behavior:

AU_.EXE는 다음과 같은 동작을 수행하기 위해 본되었습니다

This Process Deletes Other Processes From Disk
이 프로세스는 다른 프로세스를 삭제 디스크에서

Executes Processes stored in Temporary Folders
임시 폴더에 저장되어있는 프로세스를 실행

This process creates other processes on disk
이 프로세스는 디스크에 다른 프로세스를 생성

Can communicate with other computer systems using HTTP protocols HTTP
프로토콜을 사용하여 다른 컴퓨터 시스템과 통신할 수 Adds products to the system registry 시스템 레지스트리에 제품을 추가

Executes a Process
프로세스를 실행

Writes to another Process's Virtual Memory (Process Hijacking)
다른 프로세스의 가상 메모리 (프로세스가 공중)에 기록

Deletes Links in the Start Menu
시작 메뉴에서 삭제 링크

Creates new folders on the system
시스템에 새 폴더를 만듭니다

Copies files

복사 파일

Downloads program file(s) and other content from the web
다운로드 프로그램 파일 (들)과 웹에서 다른 콘텐츠

Injects code into other processes
다른 프로세스에 코드를 삽입합니다

Performs DNS look ups to resolve URL IP addresses DNS는
URL의 IP 주소를 해결하기 위해 UPS를 볼 수행

Registers a Dynamic Link Library File
동적 링크 라이브러리 파일을 등록합니다

Found on infected systems and resists interrogation by security products
감염된 시스템에서 찾은 및 보안 제품 심문을 저항

AU_.EXE has been the subject of the following behavior:
AU_.EXE는 다음과 같은 동작의 대상이되었습니다

Created as a process on disk
디스크의 프로세스로 만들어

Executed as a Process
프로세스로 실행

Executed from Temporary Folders
임시 폴더에서 실행

Deleted as a process from disk
디스크에서 프로세스로 삭제된

Has code inserted into its Virtual Memory space by other programs 코
드를 다른 프로그램의 가상 메모리 공간에 삽입했습니다

Executed by Internet Explorer Internet Explorer에서 실행

Copied to multiple locations on the system
시스템에 여러 위치에 복사

Terminated as a Process
과정으로 종료

출신 국가

The filename AU_.EXE was first seen on May 3 2007 in the following geographical regions of the Webroot community:

파일 이름 AU_.EXE 먼저 Webroot 커뮤니티의 다음 지리적 지역 2007년 5월 3일 볼되었습니다

Europe on May 3 2007
유럽​​ 2007년 5월 3일에

The United States on May 15 2007
2007년 5월 15일에 대한 미국

The United Kingdom on Jun 15 2007
Jun의 영국 15 2007

Spain on Oct 5 2007
Oct에서 스페인 5 2007
Canada on Jan 16 2008
캐나다 2008년 1월 16일에
on Jan 16 2008
2008년 1월 16일에

Belgium on May 7 2008
2008년 5월 7일에서 벨기에

Saudi Arabia on May 19 2010
2010년 5월 19일에 사우디 아라비아

 

Filesizes

The following file size has been seen: 다음과 같은 파일 크기는 볼 수있다 :

105,846 bytes 105,846 바이트 42,365 bytes 42,365 바이트 158,769 bytes 158,769 바이트 120,814 bytes 120,814 바이트 49,569 bytes 49,569 바이트 40,183 bytes 40,183 바이트 65,817 bytes 65,817 바이트 378,899 bytes 378,899 바이트

 

파일 형식

The filename AU_.EXE refers to many versions of an executable program.

파일 이름 AU_.EXE가 실행 프로그램의 여러 버전을 말합니다

 

파일 활동

One or more files with the name AU_.EXE creates, deletes, copies or moves the following files and folders:

Deletes c:\docume~1\user\locals~1\temp\nsy7.tmp 

Creates c:\docume~1\user\locals~1\temp\nsn9.tmp

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Au_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Bu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Cu_.exe 

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Du_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Eu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Fu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Gu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Hu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Iu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Ju_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Ku_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Lu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Mu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Nu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Ou_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Pu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Qu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Ru_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Su_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Tu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Uu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Vu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Wu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Xu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Yu_.exe

Deletes c:\docume~1\user\locals~1\temp\~nsu.tmp\Zu_.exe

Deletes c:\docume~1\user\locals~1\temp\nsjE.tmp

Creates c:\docume~1\user\locals~1\temp\nsz10.tmp

Deletes c:\docume~1\user\locals~1\temp\nse12.tmp

Creates c:\docume~1\user\locals~1\temp\nse12.tmp\LangDLL.dll

4. 다시제거

시스템 구성 유틸리티를 다시 실행 해 보면  분명히 체크를 해제 시켜 놓아는데

이 프로 세스가 체크 를 다시 설정해 놓아두아 재 부팅하면 악성 코드가 다시 실행됩니다.

레지트리 등록키를 완전히 제거 해야만 이 악성 프로세스가 메모리에 로드 되지 않읍니다.



제어판에서 제거하고 재부팅해도 위에서 다섯번째 항목에 그대로 있읍니다.
다른것들은 제거하면 시스템 유틸리티 창에서 없어지는데...
 

레지스트리 편집기를 다시 실행해 제거 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FineTop?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FineTop 키 값제거 합니다 .

다시 재부팅 해봅니다.
한글 창을 띄워 문서 불러오기를 하보면 또 다시 무단 창 종료 발생 합니다.
레지지스트리를 다시 실행시켜보면
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FineTop 키 값이
레지스트리에 재 등록 되어 있읍니다.

다시 제거 해야 합니다.

 다시 제거?.

위그림과 같이 FinTOP이 있읍니다.  다시 제거하고 재부팅 합니다

조금전에 DTAgent 바로 밑에 fine top이 있었는데...

fine top체크 박스 가 없어 졌읍니다.
레지스트리를  실행해
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
이 키를  들어다보면 FineTop 값이 삭제되어  없어져 있읍니다.
자세하게 조사하지않아 모르 겟는데
fine top 과 addsbu가  연관성이 있는지 조사는 하지 않았읍니다.
addsbu 도 제거...

 5. ADDSBU 제거

 
 
 
 
 







일단 체크 해제하고
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Addsbu 키 값

체크 박스 가 없어 졌읍니다. 남은 찌꺼기 제거...

addensb 를 제어판 => 프로그램추가/제거 하면 =>

디렉터리는 삭제 되지 않는다.
이디렉터리는 처음부터 빈디렉터리이고 내부파일도 없다.

스크립트상 파일탐색은 되지 않는다.

  6. 찌거기 키제거

찌거기는  제거 하지 않아도 컴퓨터 사용하는데 별 지장 없읍니다.
addensb?

HKEY_CLASSES_ROOT\CLSID\{054C58BF-91E3-4FDA-BE95-3E78CEC7A8C9}\InprocServer32 모든 키 제거

{B424426C-5D24-420D-8CA3-DFA273B4C076}?

HKEY_CLASSES_ROOT\CLSID\{B424426C-5D24-420D-8CA3-DFA273B4C076}키 모두 제거

{B424426C-5D24-420D-8CA3-DFA273B4C076}?

HKEY_CLASSES_ROOT\CLSID\{B424426C-5D24-420D-8CA3-DFA273B4C076} 키 및 하위키 모두 삭제

  

키 및 하위 키 모두 삭제



키 및 하위 키 모두 삭제





  

키 및 하위 키 모두 삭제

키 및 하위키 모두 삭제 => 재부팅

 7. 한글 문서 불러오기 임시적 오류 증상 해결

레지스트리 키만 제거 됬을 뿐 실 악성 코드는 아직 내재 또다시 부활 가능성 내재?

악성코드를 찾아 제거 하면서 느낀점

아무리 휼륭한  백신 이더라도 100% 악성코드를 잡아 내지 못한다.

우리나라의 동명이인이 얼마나 많은가

아주 흔한 철수와 똑 같은 이름을 가진 사람이 얼마나 많은가

세계 여기저기에서 똑 같은 이름이 얼마나 많겠는가
바이러스 제작하는 사람이
윈도우 시스템 파일명과 비슷하게 만들거나
일반파일명과 비스하게 만든다면 백신이 아닌 수동으로 직접 제거하는 작업이 상당히 난처 해진다.

백신도 100% 지켜 주지 못한다.
웹 검색시 내 마우스가  웹 브라우저창에서 움직일 때 조심해야 한다.
웹 페이지가 바이러스를 내재하고 있다면

마우스가 무조건 창안에만 들어가면 유저도 모르게 바이러스가 다운된다.

안철수 백신 웹페이지 보디가드도 경호 못해주는 경우 도 있고,
익스플러도 보안 창을 띄위지도 못하고  막아 내지 못하는 경우도 있다고 본다.
윈도우 보안 업데이트를 받아 보안을 최적화 시켜줘야 한다.

일반싸이트는 안가는 것이 좋고 공신력이 있고 보안이 잘된 웹 싸이트만 골라 다니면서 웹서핑하는 수 밖에 없다.

24간 경과후  오늘 다시 부팅해서 한글문서 불러오기를  해서 확인결과. 정상적이다