다음 네이버 금융감독원팝업창삭제 방법

오늘은 은행사이트 다음 네이버 금융감독원팝업창삭제 방법 을 알려드릴려고 합니다.

이악성코드는 작년 부터 많은 pc를 감염시킨 악성코드입니다...

네이버 나 다음 창 켰는데 금융감독원 팝업창이 뜬다면 100%파밍악성코드에 감염된거에요

이 악성코드에 감염되면 네이버나 다음 사이트 로그인이 안되고 팝업창도 닫아 지지않구요.

정말 짜증나는 악성코드입니다..사람 열불터지게 하는 악성코드입니다.

팝업창이 중간에 떡하니 자리잡고 있어서 검색도 안되고 웹페이지도 이상하게 뜨고
제가 전에 금융감독원팝업창 삭제하는 방법을 올린적있는데 지금은 그방법으로 안되네요.
인터넷하다보면 여러사이트 들어가 뉴스도보고 하는데 어떤사이트에서 이악성코드가 감염되었는데 모르겠네요.
주말에 컴퓨터 켜보니까 금융감독원팝업이 뜨는거에요. 전에 금융감독원팝업창은 쉽게 삭제했는데 이번에는
쉽게 삭제가 되지않더군요..점점 지능적이 되가는것 같아요
그러다 어제 저녁에 퇴근하고 1시까지 컴퓨터랑 씨름하다가 해결했습니다.
이악성코드에 감염되면 악성코드가 백신프로그램을 전부다 삭제시킵니다.
강제삭제아니고 백신에 제거 프로그램을 실행시켜서 삭제시킵니다.
그렇기 때문에 수동으로 악성코드 를 찾아서 삭제하셔야합니다..
이 악성코드는 호스트 파일을 변조해서 팝업창을 띄우는 악성코드입니다.
C:\WINDOWS\system32\drivers\etc 여기에 hosts파일을 수정해서 포탈사이트 나 은행사이트를
접속하게되면 마치 은행이나 포탈사이트에서 팝업창을 띄운것처럼 합니다.

이악성코드 감염경로는 파이낸x뉴스 에서 감염된것으로 추정됩니다.

이전에는 네이버에서 디시인사이트 를 검색하고 나타난 링크를 타고 들여가면 감염되었는데

이악성코드는 사이트를 해킹해서 사이트에 악성스크립트를 넣어서 pc에 감염시키는 보입니다.

 

 

그럼 잡소리 그만 하고 삭제 하는 방법부터 알려드릴께요.

 

 

 

 

 

 

이 악성코드에 감염되면 컴퓨터에 아래 와같은

dll 파일을 생성 합니다. 이 파일을 찾아서 삭제하켜야합니다..

 

 

midimapbits.dll 
v3manager64.dll

 

이악성코드 파일은 C:\WINDOWS\system32\ 폴더에 있어요.

쉽게 찾는 방법은 윈도우 검색 을 이용해서 검색하면 금방 찾습니다.

 

저는 xp 를 사용하기  때문에 xp 기분으로 설명해드리겠습니다.

비스타 , 윈도우 7 , 윈도우8 ,윈도우 8.1 사용하시는 분들은 참고만하세요.

다른 운영체제도 비슷하기때문에 참고하세요..

 

 

 

1. 시작 을 눌러주세요.

 

 

2. 시작을 누른후 검색을 눌러주세요.

   비스타 ,윈도우7 ,윈도우8 ,윈도우8.1 운영체제도 찾아보시면 검색 이있습니다.

   비스타 ,윈도우7 ,윈도우8 ,윈도우8.1 은 관리자권한으로 실행해야될거에요.

 

 

3. 검색창 실행후 [모든 파일 및 폴더] 를 눌러주세요. 

 

 

4. 저기 검색창에 악성코드 파일이름 을 넣어서 검색해주세요.

 

midimapbits.dll 
v3manager64.dll

 

뒤에 .dll 은 빼고 검색하세요..(dll 확장자는 붙이지 않아도되요)

하나씩 검색해보시구요. 검색에서 나오면 이파일을 삭제하셔야합니다.

 

이 파일은 악성코드 파일입니다. v3manager64 파일이름만보면 v3파일같지만

이파일은 안철수연구소 v3파일로 위장한 파일입니다.

dll 파일이 있으면 exe 파일도 있어야 하는데 exe파일은 찾지못했습니다.

그렇지만 dll 파일만 삭제해도 exe 파일은 무용지물이 되기때문에 이것만 삭제해도 해결할 수 있습니다.

 

5. 그런데 이파일은 사용중이기때문에 삭제가 안될거에요..강제로 삭제해야 합니다.

   아래 강제삭제프로그램을 다운받아서 삭제해주세요.

   unlocker 라는 프로그램이고 무설치 입니다.

 

 

파일강제삭제unlocker.exe

 

 

 

다운받아서 실행해주시구요.. (비스타 ,윈도우7 ,윈도우8에서는 관리자 권한으로 실행해주세요)

 

 

6. 실행하면 바탕화면 오른쪽 시계옆에 마술봉 과같은 아이콘이 뜰거에요. 

   프로그램은 그대로 냅두시고 이젠 파일 검색창으로 다시 가세요.

 

 

7. 검색된 파일 오른쪽 마우스 클릭하고 Unlocker 를 눌러주세요..

 

 

8. 그럼 요런 창이뜰거에요.. [모두 풀기] 클릭하면 사용중인 파일을 강제로 종료시킵니다.

 

 

10. 그리고 다시 오른쪽마우스 클릭하면 다시 Unlocker  누르고

 

 

 

11.삭제 선택후 확인을 눌러주세요. 검색 삭제가 될거에요.

   이방법으로 악성코드 두개다 검색해서 삭제해주세요...

 

midimapbits.dll 
v3manager64.dll

 

 

12. 위에 악성코드를 다 삭제 했으면 이젠 아래 방법으로 시작프로그램에 등록된 프로그램을 삭제해주셔야합니다.

 

 

 

13. 시작 => 실행 을 눌러 주세요.

 

 

14. 실행창이 뜨면 msconfig 를 입력후 확인을 눌러주세요.(MSCONFIG 대문자도 됩니다.)

 

 

15. 시스템 구성 유틸리티 창이 뜨면 시작항목 밑에서 보시면 midimapbits 프로그램이 있을거에요..

목록에서 체크 해제 하신후 [적용] = > [닫기] 를 눌러주세요..

 

 

16. 적용을 누른후 닫기를 누르면 위와같은 창이뜨는데 [다시 시작하지 않고 끝내기] 를 눌러주세요.

 

 

hosts 파일만 삭제해서 되지않기때문에 먼저 삭제해주는거에요. .

hosts 파일만 삭제하면 컴퓨터를 재부팅하면 또 팝업창이 뜹니다. 그렇기 때문에 hosts파일을 생성하는 프로그램을 삭제해줘야합니다. 알약이나 v3 백신보면 hosts 파일만 치료하는데 재부팅하면 또 hosts 파일이 수정되어서 팝업창이 계속떠서 해결이  백신으로 치료가 안되는거에요... 여기까지 했다 했으면 마지막으로 hosts 파일만 삭제하면 됩니다.

 

 

 

 

17. hosts 파일 hosts.ics 파일  삭제 하기 (마지막 단계)

 

    삭제하기 전에 먼저 hosts 원본파일을 다운받으셔야합니다.

    원본파일을  다운받은후 hosts 파일을 삭제시키면 됩니다.

 

 

보호나라 http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=2015

 

 

 

 

 

18. 보호나라에 홈페이지 가면 wndows xp용  , wndows7 용  파일이있는데 본인운영체제에 맞는거다운받으세요.

윈도우8, 윈도우8.1 은 wndows7 용을 다운받으시면될거에요..

다운받아 바탕화면에 놔두세요....

 

 

그럼 이젠 hosts 파일을 삭제해보겠습니다..

 

 

19.  먼저 C:\WINDOWS\system32\drivers\etc 폴더로 들어가주세요.

주소창에 위에 경로를 치시거나 내컴퓨터로 들어가셔도됩니다.

 

 

20. 들어가면 위와같이 6개 파일이 있는데 이중에서 hosts 파일 과 hosts.ics 파일  을 삭제해주세요.

메모장으로 열어보시면 은행사이트 포탈사이트 주소가있을거에요. (한번 열어보세요)  

 

 

포탈사이트 주소 은행사이트 주소랑 있으면 감염된거에요.

 

↑ 이렇게 뜨면 감염이 안된거에요. 이게 정상적인파일이에요...

 

  hosts 파일 변조가 않되었는데 팝업창이뜨는 분들은 공유기 문제에요.
  공유기 를 초기화 하시고 비밀번호를 설정해주세요.
  ipTIME 공유기 WeVo공유기 사용하시는 분들은 반드시 비밀번호 를 걸어주세요..
  아무튼 도움이 되었으면 좋겠어요.

 

 

 

열었는데 감염되었으면 닫아주시고 삭제해주세요.

나머지 파일은 그냥 그대로 냅두세요...hosts 파일  hosts.ics 파일  만 삭제하면됩니다.

그리고 아까 바탕화면에 다운받았던 etc 폴더로 들어가서 원본 hosts 파일을 복사해서 여기에 붙여넣어주세요.

 

 

 

21. 그리고 hosts.ics 파일을 생성못하게 가짜 hosts.ics 파일을 하나 만들어 놓세요..

오른쪽마우스 클릭후 새폴더를 만들고 폴더이름을 hosts.ics 로 해서 만드시면됩니다.

 

 

22. 위에 스샷파일을 보면 아시겠지만 파일 크기가 0KB 인거 보이시죠

저건 제가 만들어놓은 파일이에요..마지막으로 한가지만 더하면 끝이에요. 

 

 

 

23. hosts 파일에 오른쪽 마우스 클릭후 속성으로 들어가주세요.

 

 

24. 파일 속성에서 [읽기 전용]으로 바꿔주세요.

     이렇게 읽기 전용 으로 바꿔주면 hosts 파일을 변조를 못합니다.

     새로 만든 hosts.ics 파일도 위와같이 읽기 전용으로 바꿔주세요.

    저는 이방법으로 해결했습니다.

 

 

 

     P.S 이 악성코드가 닷넷으로 개발된것 프로그램으로 추정됩니다.

           닷넷프레임워크를 삭제해도 이 악성코드는 실행이 되지 않습니다..

           저는 사용하지 않는 닷넷프레임워크4.0 를  삭제해버렸습니다.

           제가 닷넷프레임워크4.0 설치한적인 없는것같은데 제어판에 설치되어서 삭제해버림

           제어판에서 삭제가 안되서 닷넷프레임워크삭제 프로그램으로 깔끔하게삭제했버렸어요.

           저는 닷넷을 별로 쓰지않아서 삭제했어요..저는 위에 방법으로 해결했습니다.

           지금은 팝업창이 뜨지않아요. 재부팅해도 hosts파일이 변조 되지않네요.

 

  

cleanup_tool.exe