W32.Downadup Removal Tool

이 도구는 다음 위험 요소의 감염을 제거하도록 제작되었습니다.

• W32.Downadup
• W32.Downadup.B
• W32.Downadup.C

중요:

• 네트워크에 연결되어 있거나 인터넷에 항상 연결되어 있는 경우 네트워크 및 인터넷 연결을 끊으십시오. 네트워크나 인터넷에 시스템을 다시 연결하기 전에 파일 공유를 해제하거나 암호로 보호하십시오. 이 웜은 네트워크에 연결된 시스템의 공유 폴더를 사용하여 확산되기 때문에 웜을 제거한 후에 다시 감염되지 않도록 하려면 공유 자원을 읽기 전용으로 액세스하도록 설정하거나 암호 보호를 사용하는 것이 좋습니다.
  
  자세한 내용은 시만텍 기술 자료 최대 네트워크 보호를 위해 공유 Windows 폴더를 설정하는 방법을 참조하십시오.
  
  취약점 및 수정 패치에 대한 자세한 내용은 다음 문서를 참조하십시오.
  Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability
  
  
  
• 네트워크에서 감염을 제거하는 경우 먼저 모든 공유가 실행 중지되었거나 읽기 전용으로 설정되었는지 확인하십시오.
  
  
• 이 제거 도구는 Novell NetWare 서버에서는 호환되지 않습니다. NetWare 서버에서 웜을 제거하려면 먼저 최신 바이러스 정의로 업데이트한 후 시만텍 바이러스 방지 제품으로 전체 시스템 검사를 수행하십시오.
  
  

제거 도구 다운로드 및 실행 방법

중요: Windows NT 4.0, Windows 2000 또는 Windows XP에서 제거 도구를 실행하려면 관리자 권한이 있어야 합니다.

네트워크 관리자 참고 사항: MS Exchange 2000 Server를 실행 중인 경우, 명령줄에서 도구를 실행할 때 Exclude 스위치를 사용하여 검사에서 M 드라이브를 제외하는 것이 좋습니다. 자세한 내용은 Microsoft 기술 자료 문서XADM: Do Not Back Up or Scan Exchange 2000 Drive M(영문)(문서 번호 298924)을 참조하십시오.

다음 단계에 따라 도구를 다운로드하여 실행하십시오.

1. http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe에서 FixDwndp.exe 파일을 다운로드하십시오.
2. Windows 바탕 화면과 같은 편리한 위치에 파일을 저장하십시오.
3. 선택 사항: 디지털 서명 인증을 확인하려면 "디지털 서명" 섹션을 참조하십시오.
   
   참고: 시만텍 사이트에서 전용 제거 도구 파일을 다운로드 받은 것이 확실한 경우, 아래의 작업을 수행하지 않아도 좋습니다. 출처가 확실하지 않거나, 네트워크 관리자로써 실행 이전에 파일 인증이 필요한 경우, 단계 4를 수행하기 전에 “디지털 서명”섹션의 지시 사항을 수행하십시오.
   
   
4. 실행 중인 프로그램을 모두 종료하십시오.
5. 네트워크에 있거나 인터넷에 항상 연결된 경우 시스템과 네트워크 및 인터넷의 연결을 끊으십시오.
6. Windows Me또는 Windows XP를 사용하는 경우 [시스템 복원] 옵션을 실행 중지하십시오. 시스템 복원을 실행 중지하는 방법에 관한 설명은 Windows 문서 또는 다음 문서를 참조하십시오.
   
   Windows Me 시스템 복원을 실행 중지하거나 실행하는 방법
   
   Windows XP 시스템 복원을 실행 중지하거나 실행하는 방법
   
   
7. 방금 다운로드한 파일을 찾으십시오.
8. FixDwndp.exe 파일을 두 번 눌러 제거 도구를 시작하십시오.
9. [Start]를 눌러 프로세스를 시작한 후 제거 도구를 실행하십시오.
   
   참고: 제거 도구를 실행하는데 문제가 발생하는 경우, 시만텍 기술 자료 시스템을 안전 모드로 시작하는 방법을 참조하여 시스템을 안전 모드로 다시 시작하고 다시 제거 도구를 실행하십시오.
   
   
10. 시스템을 재시작하십시오.
11. 제거 도구를 다시 실행하여 시스템이 감염되지 않은 상태인지 확인하십시오.
12. Windows Me/XP를 실행하는 경우 시스템 복원을 다시 실행하십시오.
13. 네트워크에 있거나 인터넷에 항상 연결하는 경우 네트워크나 인터넷에 시스템을 다시 연결하십시오.
14. LiveUpdate를 실행하여 최신 바이러스 정의를 사용하십시오.
    

도구 실행이 완료되면 다음 항목이 표시됩니다. 시스템이 위협 요소에 의해 감염되었는지 여부를 나타내는 메시지. 이 도구는 다음과 유사한 결과를 표시합니다.

• 검사된 총 파일 수
• 삭제된 파일 수
• 복구된 파일 수
• 종료된 바이러스 프로세스 수
• 수정된 레지스트리 항목 수
  

제거 도구의기능
이 제거 도구는 다음을 수행합니다.

• 관련된 프로세스 종료
• 관련된 파일 삭제
• 위협 요소가 추가한 레지스트리 값 삭제
  

스위치
아래 스위치는 네트워크 관리자를 위해 제공됩니다.
/HELP, /H, /?
도움말 메세지를 보여줍니다.
/NOFIXREG
레지스트리 치유 기능 중지 (이 스위치의 사용은 권장하지 않음)
/SILENT, /S
비밀 모드 실행
/LOG=[PATH NAME]
지정한 <저장 경로>에 도구 실행으로 생성한 로그 파일을 저장합니다. 기본적으로 이 스위치는 제거 도구가 실행된 폴더에 FixDwndp.log라는 로그 파일을 생성합니다.
/MAPPED
맵핑된 네트워크 드라이브를 검사 맵핑된 네트워크 드라이브를 검사 (이 스위치의 사용은 권장하지 않음 - 참고)
/START
즉시 검사
/EXCLUDE=[PATH]
지정한 [경로]를 제외한 검사 (이 스위치의 사용은 권장하지 않음 - 참고)
/NOCANCEL
제거 도구 취소 기능을 제외합니다.
/NOFILESCAN
파일에 대한 바이러스 검사를 제외함
/NOVULNCHECK
패치되지 않은 파일 검사 기능을 제외합니다.

중요: /MAPPED 스위치를 사용하더라도 다음과 같은 이유로 인해 원격 시스템에서 바이러스를 완전히 제거하지 못할 수 있습니다.

• 연결된 드라이브를 검사할 때 연결된 폴더만을 검사합니다. 따라서 원격 시스템에 있는 모든 폴더를 검사에 포함하지 않아 바이러스 탐지가 누락될 수 있습니다.
• 연결된 드라이브에서 바이러스 파일이 탐지되었지만 원격 시스템의 프로그램이 이 파일을 사용 중일 경우, 바이러스 제거에 실패합니다.
  

다음과 같은 이유로, 모든 시스템에서 제거 도구를 실행하십시오.

/EXCLUDE 스위치는 단일 경로에서만 사용하십시오. 대안으로써 /NOFILESCAN 스위치를 실행하고 Norton AntiVirus 수동 검사를 실행할 수 있습니다. 이러한 방법은 제거 도구가 레지스트리를 변경합니다. 최신 바이러스로 업데이트한 후 Norton AntiVirus로 시스템을 검사하십시오. 이와 같은 방법으로 파일 시스템을 완전히 검사 및 치료 할 수 있습니다.

아래의 예는 한개의 드라이브를 제외할 때 사용하는 명령어입니다.

"C:\Documents and Settings\user1\Desktop\FixDwndp.exe" /EXCLUDE=M:\ /LOG=c:\FixDwndp.txt

대안으로써 아래의 명령어는 파일 시스템 검사를 제외하고 레지스트리만 수정합니다. 그런 후, 적절한 예외를 설정하고 시스템 검사를 실행하십시오.

"C:\Documents and Settings\user1\Desktop\FixDwndp.exe" /NOFILESCAN /LOG=c:\FixDwndp.txt

참고: 로그 파일에 아무 이름이나 지정한 후 원하는 장소에 저장할 수 있습니다.

디지털 서명
보다 안전한 사용을 위해서 FixZotob.exe 파일은 디지털로 인증되었습니다. 시만텍 보안 연구소(Security Response) 웹 사이트에서 직접 다운로드한 FixZotob.exe 파일만 사용할 것을 권장합니다.

출처를 알 수 없거나 네트워크 관리자로써 파일 실행전 인증이 필요한 경우, 디지털 서명 인증을 확인하십시오.

다음 단계를 수행하십시오.

1. http://www.wmsoftware.com/free.htm으로 이동하십시오.
2. FixZotob.exe를 저장한 폴더에 chktrust.exe 파일을 다운로드하고 저장하십시오.
   
   참고: 아래의 단계는 Windows Dos 명령창에서 수행합니다. 제거 도구를 바탕화면 등에 저장하였다면 C: 드라이브로 옮기는 것이 좋습니다. Chktrust.exe 파일 또한 같은 C: 드라이브로 옮기는 것이 좋습니다.
   
   (단계 3 부터는 전용 제거 도구와 Chktrust.exe 파일이 같은 C: 드라이브에 저장되었음을 가정합니다.)
   
   
3. [시작] > [실행]을 누르십시오.
4. 다음 중 하나를 입력하십시오.
   
   Windows 95/98/Me:
   command
   
   Windows NT/2000/XP:
   cmd
   
   
5. 확인을 누르십시오.
6. 명령창에서 아래의 명령들을 한 줄씩 입력하고 Enter 키를 누르십시오.
   
   cd\
   cd downloads
   chktrust -i FixDwndp.exe
   
   
7. 다음과 유사한 메시지가 나타납니다.
   
   Windows XP SP2:
   Trust Validation Utility - 보안 경고 창이 나타납니다.
   
   "게시자" 정보에 있는 Symantec Corporation 링크를 누르십시오. "디지털 서명 정보"가 나타납니다.
   "서명자 정보"를 확인하여 제거 도구가 시만텍에서 개발되었음을 확인하십시오.
   
   이름: Symantec Corporation
   서명 시간: 2009년 3월 16일 오전 09:24:46
   
   이외의 운영 체제
   다음과 같은 메시지가 나타납니다.
   
   Do you want to install and run "FixDwndp.exe" signed on March 16, 2009 9:24:46 AM and distributed by Symantec Corporation?
   
   참고:
   위의 디지털 서명 날짜 및 시간은 태평양시를 기준으로 한 것입니다. 이 날짜와 시간은 해당 시스템의 시간대 및 국가별 옵션 설정에 따라 조정됩니다.
   
   일광 절약 시간제를 사용하는 경우 한 시간 빠른 시간이 표시됩니다.
   
   이 대화 상자가 표시되지 않는 경우에는 두 가지 가능한 원인이 있습니다.
   
   시만텍 보안 연구소에서 제작하여 배포한 제거 도구가 아닌 경우: 제거 도구가 합법적이고 합법적인 시만텍 웹 사이트에서 다운로드한 것이 확실한 경우를 제외하고는 제거 도구를 실행하지 마십시오.
   
   시만텍 보안 연구소에서 제작하여 배포한 제거 도구인 경우: 사용자의 운영 체제가 시만텍의 컨텐츠를 항상 신뢰하도록 설정되었습니다. 자세한 내용 및 확인 대화 상자 재표시 방법은 시만텍 기술 자료 Publisher Authenticity 확인 대화 상자를 복원하는 방법을 참조하십시오.
   
   
8. [예] 또는 [실행]을 눌러 대화 상자를 닫으십시오.
9. exit를 입력하고 Enter 키를 누르십시오. (이렇게 하면 MS-DOS 세션이 닫힙니다.)