삭제 안 되는 악성코드 완벽 제거하기

이 글은 2019년 4월 6일 토요일에 최종 수정 되었습니다.

이 글은 2010년 4월 17일 오전 6:00에 발행했던 글을 내용의 보강은 없이   오타들만 수정하여 2011년 11월 30일에 재발행한 글입니다.

백신으로 검출된 악성코드 감염을 치료하다 보면 삭제가 안 되는 경우가 생긴다.
그런 경우 99%에서 정답은
"안전 모드로 부팅해서 검사한 후 제거하라"이다.

2019년 4월 6일에 더하는 추록 (안전 모드로 진입하는 방법).

안전 모드로 진입은 아래 링크에서 설명하는 방법으로 하시기 바랍니다.   모든 버전의 윈도우에서 사용 가능한 방법입니다.  https://kin.naver.com/qna/detail.nhn?d1id=1&dirId=110&docId=209133737&page=1#answer1

그런데 간혹가다가는 안전 모드에서도 삭제가 안 된다는 질문에 접하게 된다.
그런 경우에는 어떻게 대답을 해야 할까? 답변이 궁했다.
그런데 사실은 아주 손쉽게 적용해 볼 수 있는 방법이 있었다기 보다는...
그 방법이 내 머릿속에 떠올랐다 ^ ^*

어쩌면 벌써 그 방법을 응용하는 사용자들이 있을지도 모르겠다.
그러나 아마도 대부분의 사용자들은 그렇게 검사를 하지는 않을 것으로 여겨져
이 글에서 그 방법을 안내한다.
그 방법은 아주 간단하게 설명이 끝나지만 경우에 따라 아주 요긴한 Tip이 될 것이다.

안전 모드에서도 삭제가 안 되는 경우에 관련이 있을 프로세스를 생각해 보면 explorer.exe밖에는 없다.

(아래 그림 참조.구체적인 예를 든다면 질문자의 보고에 따르면

네이트온 악성코드로부터 설치되는 baidog.dat란 후킹 툴이 안전 모드에서도 삭제가 안 된다고 한다.

관련 글 보기 : : 2010/03/28 - [Malwares 분석] - image.rar - 네이트온 악성코드 )

위에 올린 스크린샷은 안전 모드로 부팅을 한 후의 작업 관리자를 캡처한 것인데

위 스샷에서 보이는 작업 관리자에서 빨간 박스를 친 프로세스들은

내가 AVG 백신을 실행해서 생긴 프로세스들이다.

그것들을 제외하면 안전 모드에서도 삭제 불가능하거나 치료 불가능한 악성코드가 질문자들의 보고들에서처럼

정말 존재한다면 그런 악성코드가 물려 있을 만한 프로세스는 explorer.exe일 확률이 제일 크다.
그러므로 일단 위 스샷처럼 작업 표시줄 및 아이콘이 보이는 상태로 부팅된 안전 모드에서
위 그림에서 내가 AVG를 실행한 것처럼 현재 자신이 쓰는 시스템에 설치된 백신을 실행시킨다.

백신을 실행시켰으면 작업 관리자에서
아래 그림에서처럼 explorer.exe를 종료한다.

2019년 4월 6일에 더하는 추록.

윈도우 10에서는 세부 정보 탭을 열고 explorer.exe를 종료.

그러면 아래 그림에서 보이는 것처럼

더 이상은 프로세스를 줄일 수 없는 상태에서 검사가 가능하게 된다.

안전 모드에서도 백신에 의한 검사 후 삭제 및 치료 불가 시
초보 이용자에 있어서는 이용 가능한 거의 유일한 방법이 이 방법이 아닌가 싶다...

----------[참고 및 첨언]------------------------------------------------------

1 . 물론 이렇게 explorer.exe를 끌 게 아니라 모두의 안전 모드 부팅 관련 글에서 언급한 것처럼
    명령 프롬프트로 부팅해서, 백신 실행 파일의 경로를 키보드로 입력해서 백신을 실행시킬 수도
    있지만, 나라면 그렇게 하고 싶지 않은 걸? 

2 . 참고로 언급하면 도스 부팅 디스켓으로 부팅시에는 NTFS 파티션들이 인식 되지 않는다.
     그러므로 설령 도스로 부팅해 도스용 백신을 구동시켜도 검사는 불가능하다.
     그렇다고 방법이 아주 없는 것은 아니다.
     Dr.Web 같은 업체에서는 자사 백신이 포함된 Live CD를 제공한다 .
     이런 CD를 사용한다면 윈도우 부팅 불가 시에, 또는 삭제 안 되는 악성코드에 대한 검사/치료가
     가능하다. 그러나 아마도 위에 글벌레가 언급한 방법보다 조금 어려울 것이다.
     다만, 위에 언급한 방법으로도 삭제 불가시에는 불가피하게 Dr.Web Live CD같은 것을
     이용해야 할 수도 있을 것이다. 
     Dr.Web Live CD 관련 글 보기 : : 2009/02/08 - [프로그램 리뷰] - Dr.Web LiveCD - Freeware

3 . 검사 및 치료가 끝난 후에 시스템을 끄려면 작업 관리자를 띄우고     

              (explorer.exe를 죽인 후에 바탕화면에서 Alt + F4가 먹히는지는 테스트를 안 해 봤다.)

2019년 4월 6일에 더하는 추록.

윈도우 10에서의 작업 관리자에는 시스템 종료가 없습니다.  작업 관리자에 시스템 종료가 없는 경우에는 윈도우 로고 키 + R 키를 누르면 뜨는 실행 창에  explorer라고 적고 엔터하면 다시 시작 단추와 작업 표시줄이 생기므로 시작 단추 > 종료.

4 . 검사를 위한 안전 모드로 부팅은 아래 그림에서 흰 박스를 쳐서 표시한 안전 모드로 부팅한다.

5 . 마지막으로 혹해서 첨언 - 작업 관리자 켜기 - Ctrl + Alt + Del 키

2019년 4월 6일에 더하는 추록.

윈도우 7 이상에서 작업 관리자 켜기는 Ctrl + Shift + Esc