지난번 imm32.dll파일의 악성코드 문제로 고생하신분들이 많았다.
    imm32.dll 관련 악성코드-> http://onpc.kr/4469397

    하지만 이번에는 
    ws2help.dll파일과 lpk.dll파일을 변경하는 악성코드가 돌고있다.
    이 악성코드 또한 가장 많이 사용하는 운영체제인 XP에서만 증상이 나타난다.
    일단 증상은 인터넷창이 꺼지는 증상이며 악성코드에 의한것과 한글과컴퓨터의 한글 프로그램의 시스템파일 관련 충돌 문제 두개로 나뉜다.

    한글프로그램 충돌문제는 IE8버전과 한글97~2007까지의 설치가 문제이며 이것은아래 패치로 해결 가능하다.

    WindowsXP-KB971961-JS57-x86-KOR.exe

    마이크로소프트사의 공식 xp패치이며 Jscript 5.7 보안 업데이트(KB971961) 이름으로되어있다.
    ms에서 직접 다운 받을 겨우는 여기를 이용하면된다.


    이제 악성코드로 인한 인터넷 꺼짐 증상을 살펴보자!!
    ie8과 한글문제가 아닌 악성코드일경우는 ie버전상관없이 걸리며 주로 최신버전ie와 플래시를 사용안할경우 걸릴수있다.
    플래시는 Adobe Flash Player 10.3.181.23 버전아래는 모두 걸릴수있으며 최신버전 업데이트는 http://www.adobe.com/go/getflash에서 할수있다.
     
    구버전의 플래시일경우 일단 업데이트를 통해 예방을 해주고 걸렸다면 치료도 간편히 해보자!!!

    이 악성코드가 걸리면 ws2help.dll  lpk.dll  imm32.dll 파일을 변조해버린다.
    현재 주로 걸리는 컴퓨터들을 보면 ws2help.dll파일이 변조 당하는 경우가 많다.
    이파일은 내컴퓨터 -> os설치 로컬디스크 -> windws -> system32 폴더에 있으며
    일반적으로  c:\windows\system32 여기에 있을것이다.

    위 이미지처럼 정상적인 파일은 20KB의 크기를 가지며 자신의 ws2help.dll 파일 크기가 같다면 악성코드는 안걸린것이다.


    위 이미지는 악성코드가 걸린것이며 크기가 32,802KB로 커진것을 볼수있다.
    그나마 친절하게도 원본파일을 w3help.dll로 만들어두고 변조파일을 새로 만든다.
    물론 ws2help.dll을 지우고 ws3help.dll를 ws2help.dll로 이른을 변경해도되겠지만 다른 파일도 변조했을 가능성이 있기에 치료를 권장한다!!

    lpk.dll 파일도 정상 크기는 22KB이다. 역시 틀리다면 악성코드에 걸린것이다.


    악성코드 치료 하기
    치료툴은 두가지며 안철수연구소와 알약버전이있다.
    둘다 용량을 별로 크기 않으며 설치없이 간단하게 실행후 치료가 가능한 버전이다.
    즉 무설치 버전이기에 다른 백신 사용자도 치료가 가능하다.


    안철수 연구소의 진단명은 OnlineGameHack이며 치료는 ws2help.dll / lpk.dll / imm32.dll 모두 치료가 가능하다.

    v3_gamehackkill201109.exe

    위 파일을 받아 실행하고 검사후 몇분 기다린후 전체치료를 눌러주면된다.
    부팅시 재증상나오시는분은 제일 아래 빨간 박스 글 읽어주세요!!!



    알약에서의 진단명은 Spyware.OnlineGames.mi32, S.SPY.OnlineGames.mi32로 되어있다.

    ALYacRemovalTool(SystemDLL).exe

    위 파일을 받아 실행하고 검사후 몇분 기다린후 치료를 눌러주면된다.




    혹시 치료후 인터넷에서 한영전환이 잘안된다면 imm32.dll파일도 치료되었을 가능성이있다.
    그럼 http://onpc.kr/4469397 여기를 참고하여 한영전환 문제도 해결해보자!!
    링크 속 아래부분에 치료후 라는 글을 보면된다.
    악성코드가 아닐 경우도 포함해서 여러 한영전환 해결 방법들이있기에 대부분 해결될것이다.

    2011년 9월부터 좀더 강력한 악성코드가 나돌고있으며 증상은 위와 같지만 치료해도재부팅시 같은 증상이 반복됩니다.
    그리고 재감열일경우 설치된 백신의 기능을 자동으로 꺼버립니다.
    국내 3대 무료백신인 알약, V3라이트, 네이버백신등을 무력화 시키며 에러메세지를 출력한다.
    최신 악성코드는 MBR을 이용해 재부팅시 재감염되는 방식을 이용하네요.
    이걸해결하기위해 아래 링크로 MBR복구를 한후 위 치료 툴로 다시 검사하면 완벽하게 악성코드를 제거할수있다.


    [컴퓨터&인터넷] - 악성코드로인해 손상된 MBR 쉽게 복구해보자 <-링크 http://onpc.kr/6452054
    MBR복구는 위 치료툴로 치료후 재부팅하면 악성코드가 다시 살아나는 분만 해주세요.
    (재검사용 전용 백신)
    v3_halcbot201109.exe
    2011년 11월 수동검사 최신판(kisa+v3 일회용 검사프로그램)
    KISA_V3_A91_20111107.EXE
     

    재검사후 보안업데이트를 통해 재간염을 예방하세요^^ (1,번 모두해주세요)
    Internet Explorer 패치1,2 (자신의 Internet Explorer 버전에 맞게 하나씩 설치해주세요)
    버전을 모르실경우 상단 주소창부근에 "도움말->Internet Explorer정보"를 누르시면 버전 정보를 확인하실수있으며
    주로 7~9버전일경우 파일 편집 보기 등 도움말 메뉴가 안보인다면 "ALT"를 누르는동안 임시로 메뉴가 나타납니다.





    Posted by onpc - onpc
    • 고준영
      2011.09.27 17:59 신고

      안녕하세요.
      궁금한게 있는데요.
      MBR까지 복구 하고 다시 검사를 했는데도 악성코드가 발견조차 되지 않습니다.
      안전모드로 접속을 하면 계속 같은 증상이 나타나고요...
      다른 해결 방법은 없을까요? 현재 붙여 넣기가 안되고 시스템 복원, 아래부분 시작 버튼오른쪽에 있는 작업관리 창에
      작업들추가 안되는등의 문제가 있습니다.
      해결방법이 없을까요...

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2011.09.27 22:00 신고

        안녕하세요.
        c:\windows\system32속 악성코드로 변조된 파일들 용량 확인하신건가요?
        해당 악성코드로 감염이 맞다면 파일들이 변조로 용량이 달라집니다.
        파일용량이 정상이라면 다른 악성 코드일 경우도 있겠네요.

        파일이 변조되고 재부팅시 증상이 계속 나오신다면 새로 올린 버전으로 검사해보세요.(2011-09-27일 업데이트)
        부팅시 재증상용 전용백신을 따로 올려놨어요. v3_halcbot201109.exe 이걸로 검사해보세요.

        MBR복구도 첫번째껄로 하셨다면 아래설명된 윈도우 시디 넣고하는 방식으로 복구해보시는것도 좋겠네요.

        만약 그래도 안되신다면 사용하시는 운영체제, 사용하시는 백신 이름과 버전(v3도 여러제품이있어서요)을 알면 좋겠네요.

    • 고준영
      2011.09.27 18:11 신고

      그리고 안전모드가 아닌 일반 부팅을 하면 v3as.EXE라는 파일을 자동으로 실행하며
      V3를 실행하면 블루 스크린이 뜨면서 재부팅이 됩니다...

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2011.09.27 22:00 신고

        v3as.EXE 파일은 v3파일이 아닌거 같네요. 그리고 아겅코드로인해 v3의 정상 실행을 막고있는걸로 보이는데요.
        안전모드 부팅전 시작->실행->msconfig-> 서비스와 시작 프로그램에 v3as.EXE가 보인다면 체크를 해제 해주세요.
        그런다음 안전모드 부팅후 v3_halcbot201109.exe로 치료해보시길 바랍니다.
        해결되셨으면 좋겠네요.

    • 궁금해요
      2011.11.24 19:21 신고

      안녕하세요! 인터넷이 갑자기 되질 않아 여러 포스팅을 검색하던 중 V3gamehackill 프로그램과 removaltool을 통해 치료하고 재부팅까지 했는데도 여전히 인터넷이 되질 않고 V3백신도 실행되지가 않아요 ㅠㅠ 물론 인터넷복원도 마찬가지구요.. 하지만 ws2help는 정상 크기 입니다. 빨간박스의 마지막 방법도 도전해 볼까요?

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2011.11.24 21:15 신고

        인터넷이 안되서 많이 불편하셨겠네요.
        ws2help파일 말고도 imm32.dll파일 용량도 체크해보세요.
        정상 용량 확인은 http://onpc.kr/4469397 여기에서 하시면됩니다. 그리고 수동검사 하시기 전에 사용하시는 백신은 실시간 감시를 꺼두고 해주셔야됩니다.
        좀 더 확실하게는 부팅중 F8번 여러번 누르셔서 안전모드에 들어가신후 수동검사하시면됩니다.
        그래도 안될경우에 빨간 박스처럼 mbr복구까지 하시면 됩니다.

        오늘자 최신 검사 파일 업로드했으니 검사로 새로운 백신으로하세요
        잘 해결되셨으면 좋겠네요.^^

    • d안녕하세요
      2011.12.15 19:48 신고

      안녕하세요 ㅎㅎ질문하나드릴것이있는데 용량이 늘어난게아니고 오히려 줄었다면 감염이된것인가요 'ㅁ'
      화면처럼 20kb가아닌 4.50kb 할당량은 8.00kb로나오네요
      같은방법으로 치료하면 되나요?

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2011.12.15 21:11 신고

        운영체제에 따라 용량이 달라질수도있어요.
        일단 악성코드로 인해 변경된것일수도있으니 같은방법으로 치료하시면 됩니다.
        감염이 아닐경우라도 검사해보시는게 좋겠죠^^
        혹시 감염이시면 백신 설치해서 주기적으로 검사해주시면 앞으로 이런 악성코드의 피해는 예방이 가능하답니다.

    • BlogIcon ㅓ5366
      2012.07.05 13:13 신고

      님 최고~~^^제가 이거 풀어볼려고 별짓다해봤는데 결국 못풀다가 MBR다운받고 바로 풀리네요
      정말감사합니다 정말 능력자이십니다

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2012.07.06 11:00 신고

        해결되셨다니 다행이네요
        이제 백신도 설치하셔서 악성코드를 예방하세요^^

    • BlogIcon
      2013.04.27 02:53 신고

      안녕하세요.
      안랩이고 V3고 다 돌려 봤지만 바이러스는 안잡히네요.
      실행에서 CMD 쳐서 바이러스 있는지 없는지 체크하는 거에서는 lpk.dll이 잡히네요;;
      저것외에도 3개가 더 뜨는데...
      어떡해야할지 막막하네요.
      저거때문에 버그트랩이 뜨는건진 모르겠지만.
      지정된 한 게임만 안 되는거고.. 게임엔 문제가 없는것으로 판단됬거든요.
      어떡하죠?

      • Favicon of http://onpc.kr BlogIcon onpc - onpc
        2013.04.27 08:13 신고

        좀더 정확한 증상을 알아야답변이 가능 할듯합니다.
        인터넷창이 자동 종료되는 증상의 악성코드로 변종 감염이라도 전용 백신에서 치료했다고 떠야 정상입니다. mbr을 변조하는 변종은 재부팅시 다시 악성코드에 감염되기에 mbr복구까지 해야하구요.
        하지만 게임 문제 말하신거 보니 다른 악성코드일 가능성이 있네요. 가정용 무료백신 최신으로 업데이트 하시고 전체 검사 한번 돌려보세요.
        mse,avest,v3lite등은.. 가정에서 무료로 사용이 가능합니다.