프로그래밍
중국발 스파이웨어 Sqlwriters.dll, LO0Cvel.exe 삭제하기
프로세스 천국
2011. 2. 13. 15:40
중국발 스파이웨어 Trojan-OnlineGames.Win32.Magania 삭제프로그램입니다.
악성코드가 설치된 웹사이트 이용시 윈도우 취약점을 이용하여 설치되는 스파이웨어입니다.
프로그램 실행오류가 나오면 .Net framework 2.0 버전을 설치해야 합니다.
http://www.microsoft.com/downloads/ko-kr/details.aspx?FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5
아래쪽에 있는 파일을 다운받아 Windowexe.com 파일을 실행하면 아래와 같은화면이 나옵니다.
삭제하기를 누르면 됩니다.
작업중인 모든 프로그램을 종료한 후 실행하세요.
아래처럼 LO0Cvel10.dll 삭제오류가 나오는 경우 끝내기를 누르고 한번더 실행하세요.
이 쓰레기같은 놈이 한번에 삭제가 안되네요.
끝내기를 누르고 한두번 더 실행하면 없어집니다.
이런 메세지가 나와야 정상적으로 삭제된겁니다.
헐.. 오타가 있네요.
메인화면에서 체크하기를 누르면 검사가 시작되고 결과값이 메모장으로 출력됩니다.
다운로드
Windowexe.com.exeBHO 레지스트리키 삭제, 시작프로그램에 등록된 레지스트리 데이타 삭제
삭제파일목록
USERPROFILE\Microsoft\Sqlwriters.dll
System32\LO0Cvel.exe
System32\LO0Cvel10.dll
System32\LO0Cvel11.dll
System32\LO0Cvel20.dll
====================================================================
serviceslass.dll 파일정보는 아래링크에서 확인하세요. 위 첨부파일로는 삭제가 안됩니다.
http://windowexe.com/bbs/board.php?bo_table=board01_s&wr_id=3199
serviceslass 시작프로그램 삭제는 시작 - 실행 - cmd 를 실행해서 아래명령을 모두 복사하여 붙여넣기하세요.
익스플로러 및 작업표시줄이 종료되므로 모든 프로그램을 닫고 실행하세요.
echo Kill Process & taskkill /im explorer.exe /f & echo wait
echo Kill Process & taskkill /im IEXPLORE.EXE /f & echo wait
echo 000 & taskkill /im "rundll32.exe" /f & echo wait
reg.exe delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v serviceslass /f & echo created by windowexe.com
reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\serviceslass" /f
attrib -r -h -s "C:\Documents and Settings\Administrator\Microsoft\serviceslass.dll"
del /q "C:\Documents and Settings\Administrator\Microsoft\serviceslass.dll"
echo HKLM.Classes.CLSID Delete & reg.exe delete "HKLM\SOFTWARE\Classes\CLSID\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}" /f & echo 에코삭제금지
echo HKLM.Interface.CLSID Delete & reg.exe delete "HKLM\SOFTWARE\Classes\Interface\{94AC7941-7BE1-4FB9-A7CA-67CD88362758}" /f & echo 수정금지
echo HKLM.TypeLib.CLSID Delete & reg.exe delete "HKLM\SOFTWARE\Classes\TypeLib\{94AC7948-7BE1-4FB9-A7CA-67CD88362758}" /f & echo created by windowdel.com
echo BHO.Object Delete & reg.exe delete "HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj" /f & echo created by windowdel.com
echo BHO.Object Delete & reg.exe delete "HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1" /f & echo created by windowdel.com
echo Browser Helper Object CLSID Delete & reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94AC7942-7BE1-4FB9-A7CA-67CD88362758}" /f
echo explorer start & explorer.exe