open.jpg 

< ENTER >

error.jpg

위와 같은 경고 메세지를 내뿜으며 시스템구성(msconfig)이 실행되지 않는 문제에 대한 해결방법입니다.

msconfig가 실행되지 않는 문제는 이유가 여러가지가 있습니다만, 

악성코드나 바이러스 감염으로 인한 레지스트리 강제수정이 원인의 대부분 입니다.

아래 방법들을 이용하면 대부분 해결되리라 생각합니다.



첫번째 방법

"C:\Windows\system32\msconfig.exe" 경로를 직접 찾아가서 파일이 존재하는지 확인 후

만약 없다면 같은 윈도우 버전을 사용하는 컴퓨터에서 msconfig파일을 복사해서 "C:\Windows\system32\"에 넣어줍니다.


번째 방법

시작 - 실행 - regedit 

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" 

로를 찾아가서 "MSCONFIG.EXE" 키가 있는지 확인합니다. (없으면 새로만들기 - 키 MSCONFIG.EXE 로 새로 만들어 줍니다.)

기본값으로 "%SystemRoot%\System32\Msconfig.exe" 또는 "C:\Windows\System32\Msconfig.exe"를 적어줍니다.


세번째 방법

제어판 - 시스템 (윈도우키+Pause)  - 고급 시스템 설정 - 환경변수 

아래에 있는 시스템변수에서 "Path"라는 변수를 찾아서 편집을 누르신 후 

"%SystemRoot%\system32;"가 적혀있나 확인하시고 없으면 추가해줍니다. 

(맨 앞부분에 %SystemRoot%\system32;를 복사해서 넣으시면 됩니다.)


네번째 방법 (제가 여기에 해당되었었죠..)

시작 - 실행 - regedit

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe"

경로를 찾아가시고 오른쪽 차에서 Debugger 값으로 C:\WINDOWS\Media\rndll32.pif가 적혀있을 경우

값의 내용을 삭제하거나 Dubugger를 통째로 삭제하면 정상적으로 실행됨



* 이 문제로 포맷은 하기 싫어서 ( 귀차니즘 + 개인사정.. )
 
 약 두달간을 시간이 날때마다 우리나라 검색엔진은 물론 해외사이트에서도 검색해보았으나.. 아직 같은 사례가 없는 것 같습니다. 

 일단 제가 해결은 하였으나, 윈도우 전문가가 아니기 때문에 부작용이나 기타 다른 사항에 대해서는 확인하지 못했습니다.

 혹시 위 방법을 적용하시고 다른 문제가 발생하신다면,

 dial4585@naver.com 으로 메일을 보내주시거나 이 게시글 상단에 닉네임을 이용해서 쪽지를 주시면 참고하겠습니다.
 


* 네번째 문제는 오토런 바이러스 중 "Win32.HLLW.Autoruner.Based"로 인해 발생하는걸로 해당 바이러스는 


아래와 같은 레지스트리를 생성하여 해당 프로그램 시작시 자기 자신을 실행시키도록 하기 때문에 이상이 생길경우 아래 파일들을 점검해 보아야 합니다.



< Win32.HLLW.Autoruner.Based의 감염 특징>
ㅇ Win32.HLLW.Autoruner.Based 에 감염되면, 아래와 같은 경로에 자기 자신을 복사한다. - 모두 동일한 파일들로 동일 진단명으로 검출된다.

- %Windir%\\Fonts\\Fonts.exe
- %Windir%\\Fonts\\tskmgr.exe
- %Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com
- %Windir%\\pchealth\\Global.exe
- %Windir%\\system\\KEYBOARD.exe
- %Windir%\\Help\\microsoft.hlp
- %Windir%\\Media\\rndll32.pif
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\system.exe
- %system%\\drivers\\drivers.cab.exe
- %system%\\drivers\\Global.exe
- %system%\\drivers\\svchost.exe
- %system%\\dllcache\\Default.exe

* 기본적인 윈도우 폴더(%Windir%) 
-Windows 9X/ME/XP: %Windir%
-Windows NT/2000: C:\\Winnt

* 기본적인 윈도우 시스템 폴더(%system%) 
- Windows 9X/ME/XP: %Windir%\\SYSTEM
- Windows NT/2000: C:\\Winnt\\system32
- Windows XP: %Windir%\\system32

ㅇ Win32.HLLW.Autoruner.Based 에 감염된 시스템은 모든 루트 드라이브와 [%system%\\dllcache\\]에 자신의 복사본과 Autorun.inf 를 생성하기 때문에 해당 드라이브 또는 폴더를열 때 자동실행 되어진다. 
(이동식 디스크가 연결 시 이동식 디스크의 루트 드라이브에 자신과 Autorun.inf를 생성하기 때문에 이동식디스크에 의해서 다른 시스템에 전파될 수 있다.)
- C:\\MS-DOS.com
- C:\\autorun.inf
- %system%\\dllcache\\autorun.inf

autorun.inf 파일의 내용은 아래와 같다.
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\\Open\\command=MS-DOS.com
Shell\\Explore\\command=MS-DOS.com

* Autorun.inf 파일 자체는 악의적인 기능은 없지만, 드라이브가 연결될 경우 자동실행 되기 위한 정보를
가진 설치정보파일(.inf)이다.

ㅇ Win32.HLLW.Autoruner.Based 바이러스는 자동 실행을 위해 아래와 같은 VBS(Visual Basic Script) 파일을 생성하고, 실행한다.
- %Windir%\\Cursors\\Boom.vbs

* vbs 파일은 Wscript.exe 프로세스를 이용 하여 실행되며, Boom.vbs 실행 시 바이러스 파일들이 존재하는지 확인하고, 지정된 경로에 자신을 복사 또는 생성 하며, 자동 실행을 위한 특정 레지스트리 값을 변경한다.


<레지스트리 변경>
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리의 변경 하여 숨김 속성을 된 자기 자신을 숨긴다.

-[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\NOHIDDEN]
CheckedValue: 0x00000001
-[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
CheckedValue: 0x00000002

<레지스트리 생성>
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성하여 모든 exe,com 파일의 확장자를 보이지 않게한다.

- [HKLM\\Software\\Classes\\comfile]
NeverShowExt: "1"
- [HKLM\\Software\\Classes\\exefile]
NeverShowExt: "1"

ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성하여 해당 프로그램 시작 시 자기 자신을 실행 시키도록 한다.

- [HKLM\\Software\\Classes\\regfile\\shell\\open\\command]
"C:\\WINDOWS\\pchealth\\Global.exe"
- [HKLM\\Software\\Classes\\MSCFile\\Shell\\Open\\Command]
"C:\\WINDOWS\\Fonts\\Fonts.exe"
- [HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options]
auto.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
autorun.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
autoruns.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
boot.exe\\Debugger: "C:\\WINDOWS\\Fonts\\fonts.exe"
ctfmon.exe\\Debugger: "C:\\WINDOWS\\Fonts\\Fonts.exe"
msconfig.exe\\Debugger: "C:\\WINDOWS\\Media\\rndll32.pif"
procexp.exe\\Debugger: "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com"
taskmgr.exe\\Debugger: "C:\\WINDOWS\\Fonts\\tskmgr.exe"
- [HKU\\S-1-5-21-436374069-776561741-682003330-1004\\Control Panel\\Desktop]
SCRNSAVE.EXE: "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com"
AutoEndTasks: "1"
ScreenSaveTimeOut: "30"

ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성라하여 자기 윈도우 종료 및 시작 및 로그오프 시 자신을 실행 시키도록 한다.

- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
sys: "C:\\WINDOWS\\Fonts\\Fonts.exe"
- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"C:\\WINDOWS\\system\\KEYBOARD.exe"
- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
"C:\\WINDOWS\\system32\\dllcache\\Default.exe"
- [HKLM\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Shutdown\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"
- [HKLM\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Startup\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"
- [HKU\\S-1-5-21-436374069-776561741-682003330-1004\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Logoff\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"

profile


   இڿڰۣ-ڰۣ—