본문

폴더 숨기는 USB 바이러스 치료하기


공용 컴퓨터를 사용하다보면 USB에 상주하는 바이러스를 자주 만나게 된다. 이번에 만난 바이러스는 USB내에 있는 모든 폴더를 숨겨놓고 폴더이름으로 된 실행파일을 만드는 녀석이었다. 처음에 폴더들이 없어져서 큰일났다고 생각했지만 dir명령으로 바이러스가 폴더를 숨김설정해놓았다는 것을 알아내고 이것에 대해 조사해보았다.

이 바이러스에 대해 대충 확인해보니 루트에 autorun.inf 파일과 MS-DOS.com 파일을 생성해 놓았고, autorun 파일은 자동실행되어 바이러스를 실행시키는 구조로 되어있었다. 백신 프로그램(V3)에서 잡히지 않아 다른 해결책을 찾아보려 했지만 국내에서는 아직 널리 퍼지지 않았는지 찾기 힘들었다. 하지만 구글을 통해 Yahoo Answers에 있는 글을 접하였고, 이를 기반으로 글을 작성하였다.


(USB 메모리가 d드라이브에 위치할 경우를 예로 들었습니다. 물론 e드라이브에 위치할 경우에는 d:->e:로 바꾸시면 됨다)
* 바이러스 확인 방법
1. 시작->실행에서 cmd를 실행한다.(혹은 시작->프로그램->보조프로그램->명령프롬프트 실행)
2. dir d: /ah 를 입력하고 엔터키를 누른다. '이때 파일을 찾을 수 없다'고 나오면 발견되지 않은 것이다.

* 바이러스 치료 방법
1. 위의 2번째 명령을 실행시켰을 때 무언가 목록이 나온다면 바이러스에 감염되었을 확률이 높다. 공백을 포함하여 아래 쌍따옴표로 묶여진 부분을 복사한다. 필요하다면 del *.exe /f /q 명령을 사용한다.(루트폴더내의 모든 실행파일을 제거)
"

d:
attrib -s -h * /d /s
del ms-dos.com /f /q
del autorun.inf /f /q

"
3. cmd(검은 도스창)을 띄운 상태에서 창 안쪽에서 마우스 오른쪽을 누른 후 '불여넣기'를 하면 자동으로 명령들이 실행된다.
4. 폴더의 숨김설정을 해제하고 바이러스를 지우는 동안 잠시 기다린다(attrib 명령실행에 시간이 좀 걸린다)
5. 입력부분이 깜박이면 실행이 완료되었다는 것이다. (첨부사진 참고)



단, 이 바이러스가 감염된 컴퓨터 상에서 이 명령을 사용하면 지우자 마자 다시 바이러스가 USB를 조작하기 때문에 전혀 효용이 없다(물론 관련 프로세스를 종료한 상태에서 한다면 괜찮겠지만). 바이러스에 감염되지 않은 깨끗한 컴퓨터에서 위 명령을 실행시키는것이 가장 말끔하다.

댓글 25

  • 게스트 썸네일
    mercury
    2009.04.30 00:10

    정말 감사합니다. 이것때문에 살았습니다. 내일 강의가 있는데 준비해놓은 파워포인트를 확인하려고 하니 폴더가 사라졌더군요. 오늘 밤새서 다시해야하는 줄 았았는데... 님 덕분에 바이러스 잡고 파일복구했습니다. 복 많이많이 받으실겁니다. ^^*

  • 게스트 썸네일
    2009.05.13 17:24 신고

    도움이 되었다니 다행입니다^^

  • 게스트 썸네일
    scapegoat
    2009.05.29 09:25

    v3최신업데이트 하고 알약깔고 해도 치료가 안됬었는데
    따라 했더니 없어지긴 했네요...... 다시생길가봐 찝찝하긴해도 ^^;
    정말좋은정보 감사합니다

  • 게스트 썸네일
    Jinny
    2009.06.06 15:44

    저도 정말 감사합니다.
    학교 컴에 usb 꽂았다가 폴더가 안보여서 골치가 아펐었는데,
    학생이 힌트를 줘서 웹 검색끝에 이 글을 찾았어요.

    큰 도움이 됐어요. 드디어 보이는군요. ㅎㅎㅎ
    너무너무 감사합니다. 행복하세요 *^^*

  • 게스트 썸네일
    감사합니다.
    2009.06.10 11:29

    저도 frontjang님 덕분에 살았습니다. 고마우신 분이 글을 찾아 주셨어요. 티스토리 사용자가 아니라 신분을 밝히지 못해 죄송합니다.

    좋은 정보 감사드립니다. 복 많이 받으세요.

  • 게스트 썸네일
    그런데
    2009.10.14 16:14

    그런데요.
    autorun.inf를 지우는 과정에서 실행중이여서 지울수 없다고 뜨는데, 그럼
    어떻게 해야하나요 ㅠㅠ

    • 게스트 썸네일
      2009.10.15 14:41 신고

      바이러스가 컴퓨터상에서 autorun.inf파일을 계속 건드리기때문에 발생하는 현상입니다.
      windows 작업관리자에서 프로세스 강제종료의 방법을 사용하여 바이러스를 중지시키는 방법이 있으나, 그 방법보다는 바이러스에 감염되지 않은 컴퓨터에서 파일을 삭제하는 것을 추천드립니다^^

  • 게스트 썸네일
    조정연
    2009.11.03 11:34

    제 USB 바이러스는 치료가 안되는것같아요.. 이거랑 똑같은 바이러스 같은데.. 위의 방법대로 해보니까
    안돼네요 ㅠ 어떡해야 하죠?
    해보니까 이렇게 나와요 ㅠ

    D:\>attrib -s -h * /d /s
    엑세스가 거부되었습니다 - D:\44b66cb34f883574b7470063af\$shtdwn$.req
    엑세스가 거부되었습니다 - D:\44b66cb34f883574b7470063af\mrt.exe._p
    엑세스가 거부되었습니다 - D:\44b66cb34f883574b7470063af\$mrtstub.exe
    엑세스가 거부되었습니다 - D:\System Volume Information

    D:\>del ms-dos.com /f /q
    D:\ms-dos.com을(를)찾을 수 없습니다.

    D:\>del authrun.inf /f /q

    D:\>
    D:\>

    ㅇㅣ렇게 나오는데 어떡하죠 ㅠㅠㅠ

  • 게스트 썸네일
    조정연
    2009.11.03 11:38

    와!!
    다른컴퓨터에서 하니까 치료됬어요!!!!!!!!!!

    감사합니다^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    정말 감사합니다 ㅋㅋㅋㅋㅋ

    근데 궁금한건

    단, 이 바이러스가 감염된 컴퓨터 상에서 이 명령을 사용하면 지우자 마자 다시 바이러스가 USB를 조작하기 때문에 전혀 효용이 없다

    이부분 보고 궁금한건데요..
    이 바이러스가 감염된 컴퓨터에 USB를 꽂으면
    다시 폴더숨기는 바이러스에 감염이 되는건가요?ㅠㅠ

  • 게스트 썸네일
    2009.11.08 14:52 신고

    처음 작성하신 댓글을 보면 USB가 아닌 하드디스크에서 명령을 실행하시는것처럼 보입니다. 제가 위에 적어놓은 대로 하시면 d:로 접속하므로 USB장치의 드라이브명으로 접근하셔야 합니다.
    그리고 바이러스가 감염된 컴퓨터에 USB를 다시 접속시키면 다시 바이러스에 걸릴겁니다. 이걸 해결하긴 해야하는데 치료방법은 잘 모르겠네요^^;;;;

  • 게스트 썸네일
    유상하
    2010.01.05 19:52

    정말 감사합니다. 좋은자료 퍼갈께요..

  • 게스트 썸네일
    2010.01.12 22:06

    정말 감사합니다!

    얼마전부터 MP3 루트에 RECYCLER라는 폴더 때문에 신경쓰였는데, AVAST 쓰니까 바이러스를 잡더군요...
    그래서 찾다가 이 글 보고 확실히 지워버렸습니다~
    감사합니다~

  • 게스트 썸네일
    CC
    2010.04.07 16:01

    감사드립니다 덕분에 해결됐네요
    그래도 새로운 파일이 생기면 나중에 그건 없어지네요

    그리고
    F:\>attrib -s -h * /d /s
    엑세스가 거부되었습니다 - D:\System Volume Information

    이렇게 뜨는 이유가 무얼까요??
    어떻게 해결해야 하나요?

    컴퓨터 상에 바이러스를 완전히 없앨수는 없는건가요?

    • 게스트 썸네일
      2010.04.08 16:41 신고

      D:\System Volume Information 이 폴더는 시스템 복원을 위해 존재하는 폴더이므로, 윈도우 자체적으로 이 폴더에 대한 변경을 막는 과정에서 생기는 메시지 입니다. 고로 무시하시거나, 혹은 System Volume Information 폴더 지우는 방법(http://qaos.com/article.php?sid=1461)을 참조하셔서 지우시면 될 것 같습니다.
      그리고 이 바이러스에 대해 조사를 덜해서 없애는 방법까지는 알아내진 못했네요. 나온지 꽤 오래 된 바이러스같은데 백신회사에서는 아직도 대책이 없나보네요;;;

  • 게스트 썸네일
    2010.07.20 11:26

    늘 문제였는데 큰 도움이 되었습니다. 감사합니다. 담아갑니다.

  • 게스트 썸네일
    유유유
    2012.02.17 17:21

    아무리해도 안되요ㅠㅠㅠㅠㅠㅠㅠㅠ 아이리버 pmp쓰는데요 계속 안되요 ㅠㅠ 저좀 도움주세요 ㅠㅠ 혹시 메신져 하시나요?????????

    • 게스트 썸네일
      2012.02.20 12:57 신고

      혹시 아직 해결이 안되셨다면 contact@frontjang.info로 메신저 정보 보내주세요 힘닿는대로 도와드리겠습니다~

  • 게스트 썸네일
    기메효
    2013.12.09 14:55

    Usb에서가 아닌 하드디스크에서 바이러스가 숨김활동을 하는데 이럴땐 어떡해야할까요?ㅠㅠ

    • 게스트 썸네일
      2013.12.10 11:48 신고

      운영체제가 설치된 하드디스크에 바이러스가 있다는 말씀이지요? 이 경우 악성코드를 양산하는 프로세스를 강제종료 시킨 후에 위 작업을 실행시켜야 해요,
      헌데 어떤 프로세스가 해당프로세스인지 분명치 않거나 혹은 이름이 제각각인경우가 대부분이니.. 역시 최상의 방법은 윈도우를 지우고 다시 설치하는 방법이겠지요..ㅠ

  • 게스트 썸네일
    도와주세요
    2014.05.25 15:30

    attrib -s -h * /d /s를 입력했는데
    attrib.exe - 손상된파일 이라고 나오는데 이럴땐 어떻게 해야하나요

    • 게스트 썸네일
      2014.08.18 01:39 신고

      늦었지만 댓글 달아드리면...
      실행창이나 명령 프롬프트에서 sfc /scannow 명령으로 손상된 파일들을 복구할 수 있으니 한번 시도해보시기 바랍니다

  • 게스트 썸네일
    지워진건가요?
    2014.11.09 15:30

    attrib -s -h * /d /s를 실행하고 나서 cmd를 다시 지우고 다시 썼는데요.
    그 전에 attrib -s -h * /d /s를 실행하면 autorun.inf파일 포함해서 4개의 파일이 있었는데 다시 해보니 목록이 안나옵니다. 파일이 지워져서 그런건가요?
    아니면 바이러스가 수를 써서 파일이 안보인걸까요?
    그리고 마찬가지로 - I:\System Volume Information
    엑세스 거부가 뜹니다.
    외장하드 파일이 갑자기 사라진건지 바이러스가 숨긴건지 몰라서 혹시나싶어 바이러스 검색하다가 들렸습니다.

    • 게스트 썸네일
      2015.01.01 10:07 신고

      파일이 지워져서 그런것 같습니다. 당분간은 안보일 수 있으나 usb를 다시 꽂으시거나 하시면 다시 생길 수 있습니다~ 그리고 System Volume Information 는 원래 엑세스가 안되는 폴더이니 걱정하지 않으셔도 됩니다^^

  • 게스트 썸네일
    박민홍
    2015.07.31 01:21

    안녕하세요~
    (댓글달려고 하는데 로그인이 없네요?? ㄷㄷ 무튼 각설하고)
    저도 USB파일 사라져서 멘붕오다 위글보고 해결된거 같습니다.

    근데 미심쩍고 궁금해서 그런느데요, 올려주신 코드를 처음 입력하고 딴짓을 하느라 뭐라 떴는지 보지못하고 꺼버렸습니다 ㅠㅠ.

    이후 다시쳐보니
    D:\autorun.inf을(를) 찾을 수 없습니다. 이렇게 나오는데.. 무슨 뜻일까요??

  • 게스트 썸네일
    2020.11.30 16:04

    안녕하세요...보실진 모르겠지만 한번 달아보도록 하겠습니다...ㅠㅠ
    제가 노트북을 쓰는데, 노트북 하드디시크 C?D? 하여튼 노트북에 있는 파일들이 가면갈수록 이상해집니다...누르면 저 문구가 뜨고... 알려주신대로 해보았지만 엑세스가 거부되었다고 뜨면서 말짱 도루묵이네요.. 혹시 노트북도 어떻게 하는 방법이 있으신가요?

Holic Spirit :: Tistory Edition

design by tokiidesu. powerd by kakao.