컴퓨터

RVHOST AUTORUN 제거 방법

rvhost.exe

악의적인 웹사이트나 USB 자동실행으로 감염되는 웜 바이러스입니다.

결론 : 윈도우 재설치 / 백신프로그램 설치 강력추천

: 아래의 내용은 단순히 임시 조치이므로 가성비 높은 윈도우 재설치 및 백신프로그램 설치를 추천드립니다.

: 증상이 나타나기 이전 날짜로 시스템 복원을 하는 것도 좋은 방법입니다.

5줄 요약

  1. 메모리에서 수상한 프로세스 제거
  2. 시작프로그램에서 수상한 목록 제거
  3. 예약된 작업에서 수상한 예약작업 제거
  4. USB 자동실행 기능 끄기 및 Autorun.inf 파일 삭제
  5. 수상한 레지스트리 삭제

1. 메모리에서 제거

  1. 윈도우 작업관리자 실행

    : CTRL+SHIFT+ESC를 누르거나, 시작 -> 실행 -> TASKMGR 치고 엔터

    : 작업관리자가 실행이 안되는 경우 악성코드가 작업관리자, 레지스트리 편집기를 사용하지 못하도록 레지스트리를 변경시킨 경우가 많으므로, 아래의 백신사이트에서 치료 툴로 고치시면 됩니다.

    Ahnlab Registry Fix Tool 내려받기

  2. 프로세스 목록중에 숫자영문랜텀의 6자리 이름의 프로세스가 있으면 선택하고 "프로세스 끝내기" 누름

    예) 120F38, RVHOST

  3. 그 밖의 수상한 프로세스들도 "프로세스 끝내기"

2. 부팅할 때 자동 실행되지 않도록 조치

조치 1/5. 시작프로그램에 등록된 것 제거
  1. 시작 -> 실행 -> MSCONFIG 치고 엔터
  2. "시작프로그램" 탭에 숫자영문랜텀의 6자리 이름의 프로세스가 있으면 체크를 품. 예) 120F38, RVHOST
  3. 그 밖의 수상한 프로세스들도 체크를 품 예) rvhost.exe, fooool.exe, bittorrent.exe, sxs.exe, copy.exe, command.exe, ie.exe, copy.exe, nrxtsyv.exe
  4. "적용"을 누르고 팝업 창이 뜨면 "다시 시작하지 않고 끝내기" 클릭 (아직 재부팅 전에 해야 할 것이 있으므로... "다시 시작" 안눌름)

(나중에 재부팅 하고 창이 뜨면 "Windows 시작 시 이 메세지를 다시 표시하지 않으며 시스템 구성 유틸리티를 시작 안함" 앞에 체크하고 확인)

조치 2/5. 예약된 작업에서 수상한 것 삭제

C:\WINDOWS\Tasks 에 수상한 것 있으면 모두 삭제

예) At1.job

시작 -> 실행 -> cmd 입력하고 엔터
del %WINDIR%\Tasks\At*.job /f /s /q /a
조치 3/5. USB 자동실행 기능 끄기 및 Autorun.inf 삭제
  1. USB 와 CD-ROM의 자동실행 기능을 끕니다.

    usbguard 내려받기

    압축풀고 실행하고 "자동실행 차단" 누르기

  2. C: D: E: 등 모든 드라이브와 USB 드라이브의 Autorun.inf를 삭제합니다.
    : Autorun.inf를 열어보면 
    [autorun] shellexecute=wscript.exe nar.vbs
    

    등의 내용으로 스크립트 바이러스를 실행하는 내용이 있을 수 있습니다.

    탐색기에서 안보이는 숨김속성의 파일이므로 아래처럼 삭제합니다.

    시작 -> 실행 -> cmd 입력하고 엔터
    del c:\autorun.* /f /s /q /a 
    del d:\autorun.* /f /s /q /a 
    del e:\autorun.* /f /s /q /a 
    .
    .
    
    가지고 있는 모든 드라이브에서 삭제하면 됩니다.
조치 4/5. 레지스트리를 검색합니다.
    부팅할 때에 자동 실행하게 하는 레지스트리를 찾아 삭제합니다.
  1. 시작 -> 실행 -> regedit 입력하고 엔터
  2. 레지스트리 편집기가 실행되었으면, [편집] 메뉴의 [찾기]를 누르고 [찾을 내용]에 RVHOST.EXE를 입력하고 [다음 찾기]를 누릅니다.
  3. 검색된 레지스트리가 있으면 오른클릭하여 [삭제(D)]를 눌러 삭제합니다
  4. F3를 누르면 이어서 계속 검색할 수 있습니다.

    예)HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Run -> Yahoo Messengger = %시스템%RVHOST.EXE

    HKLM -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon -> Shell = Explorer.exe RVHOST.exe

조치 5/5. 가지고 있는 백신 프로그램으로 전체검사를 돌려봅니다.

: 남아 있을 지 모를 악성코드를 없애기 위해 전체검사를 합니다.

다 되었으면 이제 재부팅