업그레이드 된 데이**이브시스템 웹컴파스 프로그램

윈도우

업그레이드 된 데이**이브시스템 웹컴파스 프로그램

프로세스 천국 2011. 10. 28. 02:08

최근 강력하게 업그레이드(?) 된 검색도우미 웹컴파스(WebCompass)라는 프로그램이 있다.
어떤 프로그램인지는 따로 설명하지 않겠다. 오른쪽을 보면 뭔지 알 수 있을것이다.

해당프로그램의 파일이다.
====================================================
000. Created by Windowexe.com / do not delete this label.
====================================================
001. C:\Program Files\WebCompass\free.exe
002. C:\Program Files\WebCompass\sqlite3.dll
003. C:\Program Files\WebCompass\unins000.exe
004. C:\Program Files\WebCompass\update.exe
005. C:\Program Files\WebCompass\wc_src_3fd.dll
006. C:\Program Files\WebCompass\wcmgr.exe
007. C:\Program Files\WebCompass\wcsvc.dll
====================================================
008. Created by Windowexe.com / do not delete this label.
====================================================

그전부터 파일명은 줄곧 바뀌곤 했었는데 얼마전 wcmgr.exe 이라는 새로운 프로세스를 달고 나왔다. 파일이 추가되거나 파일명이 달랑 바뀐거 가지고는 이런글 안쓰는데 이번 업데이트된 내용은 꼭 작성할 필요가 있어 보인다.

딱 봐도 삽질할 사용자가 많을거라 생각이 들기 때문이다.
이상하네? 삭제했는데 왜 또 있지? 잘못 지웠나?

svchost.exe 로 실행되는 서비스(WebCompass Manager Service)와 wcmgr.exe 프로세스가 서로 붙어다닌다. 이 서비스가 실행되면 wcmgr.exe / update.exe 프로세스가 동시에 실행되고 update.exe 프로세스는 업데이트를 확인하고 종료한다.

반대로 서비스가 종료된 상태에서 wcmgr.exe 파일이 실행되면 업데이트를 확인하고 해당 서비스가 시작된다.
이 프로세스는 HKLM..Run 시작프로그램에 wcmgr.exe 라는 이름으로 등록되어 있으며, 자신의 레지스트리값을 모니터한다. 서비스 및 레지스트리값을 삭제시에 원래대로 복구한다.

그리고 wcsvc.dll 파일도 모니터하는데, 이 파일이 삭제되면 해당 서버에서 파일을 다시 다운로드 받아서 서비스를 시작한다.
이 모든게 순식간에 일어나므로 빠르게 작업해야만 파일을 삭제할 수 있다.

wcmgr.exe 프로세스를 종료하고 서비스나 시작프로그램에서 백날 삭제해봐야 svchost.exe 서비스가 살아있으므로 삭제가 안되고 계속 그대로인 상태가 된다.
전문가가 아니고서는 이 시작프로그램이나 서비스를 삭제할 수 없다는 얘기다.

이 프로그램은 제어판 - 프로그램 추가/제거에서 [WebCompass(웹컴파스)] 라는 항목을 선택해서 제거를 누르면 삭제할 수 있으며, 해당 프로그램이 삭제되지 않는 경우는 아래링크에 있는 명령줄을 실행하면 간단히 프로그램을 삭제할 수 있다.

프로그램 삭제링크 , 폴더 및 파일, 레지스트리까지 한방에 삭제됨
http://www.windowdel.com/bbs/board.php?bo_table=remove&wr_id=1082

추가로 확인된 폴더 추가(위 링크와는 설치폴더가 다름)
작업스케쥴러에 업데이트를 등록하고 UserProfile 폴더에 설치하는 버전
http://www.windowdel.com/bbs/board.php?bo_table=remove&wr_id=1125

작업스케쥴러에 업데이트를 등록하고 Systemprofile 폴더에 설치하는 버전
http://www.windowdel.com/bbs/board.php?bo_table=remove&wr_id=1126

---------------------------------------------
야후 일본 지식인에 이런 질문이 있다. 답변은 아직 안달림.

WCMGR.EXEについて質問です.....ハングル文字みたいな画像があり
WCMGR.EXE 관해 질문입니다. 컴퓨터가 이상하고.. 중략.. 아이콘에 한글같은 문자가 있고..

증상을 대충 보니 웹컴파스 프로그램이 맞다. 답변 달고 싶은데 알아서 찾겠지 뭐..
---------------------------------------------

덧붙임:
이 프로그램이 설치되어 있다는 건 또다른 애드웨어나 악성코드가 있을 가능성이 있으므로
시스템 분석/진단 요청하기를 이용해주세요.
http://windowexe.tistory.com/401