윈도우에서는 시동 과정에 자동 시작되는 프로세서 관리는 전통적으로 "MSConfig" 유틸리티를 사용하고 있다.
윈도우7 까지는 별도 구성창을 통해 실행되던 것에 반해, 윈도우10에서는 작업관리자의 부분 텝으로 귀속돼 표시되고 있다.


이 텝에서는 윈도우10 부팅시 자동실행되는 유틸리티나 프로그램들을 끄고/켤 수 있는데, 일반적인 컴퓨터 사용자들의 경우 컨트롤하지 않는 관리 환경에서는 시작프로그램에 수많은 플러그인들이 등록되는 것이 일반적이기에, 끄고 껴는 문제가 아닌, 불필요한 것을 삭제해야 할 필요가 있다.
시작 프로그램 리스트는 윈도우 데이터베이스인 레지스트리에 등록되는 것이고, 위 화면과 같은 구성 유틸리티에서 관리상 편의를 제공할 뿐이다.

윈도우의 기본 시작프로그램 관리툴은 끄고 껴는 것이외 삭제하기 위해서는 레지스트리에 직접 접근해야 한다는 단점이 있다. 
그래서, 별도 기능을 갖고 있는 CCleaner등의 독립 프로그램을 사용하게 되고, 윈도우 기본 툴보다 사용상 편리한 기능들을 이용할 수 있다. 


2019년 하반기 원격 지원을 진행하면서, 일부 사용자들의 컴퓨터에 멀웨어 성격의 스크립트가 발견 됐다.

파일명: master_x64.lna
위치 : \Users\AppData\Roaming
시작프로그램에 자동 등록됨.

 

master_x64.lna 는 리디렉션 하는 특성을 갖고 있다. 사용자 목적지 주소 A를 입력시 - B - C - D - [A] 와 같이 랜덤한 불특정 사이트로 우회 시켜 접속 시키며 최종 결과 사이트로 접속해 우회여부를 모르게 된다. 우회 사이트들의 스크립트나 브라우저 자동 캐시를 통해 최대 위험 요소로 볼 수 있는 랜섬웨어등이 유입될 가능성이 없지 않다.

master_x64.lna스크립트 파일 자체는 윈도우 기본 백신에서도 자동 삭제 된다. 시작 프로그램에 등록되는 리스트는 자동으로 수정되지 않기 때문에 부팅시 스크립트 실행 오류 창이 뜨게 된다. 때문에 위 방법으로 수동 삭제해야 한다.

master_x64.lna 의 유입 경로 또한 확인 됐다. 이번 하반기 원격에는 70여명의 랩탑과 데스크탑 90여대를 원격 지원 했고, 해당 사용자들 중, Adobe CC 2020 크랙 버전을 다운 받아 설치한 경우, 크랙 파일을 통해 유포되고 있다. 11명의 사용자들이 해당 크랙 프로그램을 사용하고 있었고, 설치 파일을 통해 확인 했다. 윈도우 뿐만 아니라, 맥에서도 마찮가지다. Adobe CC 2020 크랙 프로그램을 사용한 경우, 필히 해당 스크립트 수동 제거를 해야만 한다.  

 

시작프로그램으로 등록된 실행 프로세서는 윈도우 기본 시작프로그램 관리유틸리티로는 삭제되지 않는다. 비활성화 시켜도 재부팅시 다시 활성화 된다. 
별도 구성 요소 관리 유틸리티인 CCleaner 등을 사용해도 마찮가지다. 

이런 경우, 윈도우에 기본으로 포함돼 있지는 않지만, Microsoft 에서 제공하는 공식툴로 해당 문제를 수정할 수 있다.



Autoruns for windows

Autoruns는 프로세서 관리 유틸리티로, 프로세서의 직접적인 레지스트리 위치를 확인하고 수정할 수 있는 유틸리티다.

사용 방법은 간단하다. 
실행 했을때 위와 같이 실행중인 프로세서와 실행 프로그램에 등록된 레지스트리 키값이 표시 되는데, 직접적인 레지스트리 수정 유틸리티이기 때문에, 기본툴로 수정되지 않는 시작프로그램 리스트를 삭제할 수 있다.
삭제되지 않거나 불필요한 시작프로그램 리스트를 확인 - 선택 후 마우스 오른쪽을 눌러 삭제 시키면 된다.

아래 Sysinternals 사이트에서 최신버전을 다운 받을 수 있다.

 

Windows Sysinternals는 마이크로소프트 테크넷 웹사이트로, 마이크로소프트 윈도우 환경을 관리, 진단, 문제 해결, 모니터링하는 기술 자료 및 유틸리티를 제공하는 사이트다.

 

https://docs.microsoft.com/en-us/sysinternals/downloads/

 

Sysinternals Utilities - Windows Sysinternals

Evaluate and find out how to install, deploy, and maintain Windows with Sysinternals utilities.

docs.microsoft.com

 

  1. 감사 2020.03.10 09:30

    이거 다운받아서 master_64.lna 시작프로그램에서 삭제하는 것을 성공했는데요. 참고로, 덧붙이면 개인적으로 v3 clicnic 으로 검사후에 해당 파일까지 삭제를 했습니다. 자동으로 실행되는 것만 막아도 문제가 없는 것 같습니다.

    정리하면, 시작프로그램에서의 삭제는 sysinternals에서 하면 시작프로그램에서만 자동으로 실행이 안되는 것입니다. 따라서, 해당 경로에 있는 파일까지 지우시려면 정품 바이러스 제거 프로그램을 돌려서 제거까지 마쳐야 좋습니다.

    1. sysinternals 다운로드 후 압축을 풀고 해당 디렉토리에서 autoruns 실행화일을 관리자권한으로 실행.
    2. autoruns 파일이 실행되면 맨 위에 기본메뉴들 밑으로 filter 란이 있는데 여기사 master를 입력하면 master_64.lna 가 나온다.
    3. 해당 줄을 클릭하고 우측마우스 버튼을 눌러서 delete를 선택 , 삭제한다.
    4. 여기까지가 시작프로그램에서 master_64.lna를 자동으로 실행 못하도록 막는 것이다.
    5. 그 후에 v3라든가 정품 바이러스 제거 프로그램을 통해서 악성 멜웨어가 위치한 스크립트 파일 master_64.lna 를 제거한다.
    6. 이렇게 해야 완벽한 것 같다.

    더 잘 아시는 분 있으면 댓글로 부탁드릴게요.
    이런 정보공유가 많이 있었으면 하네요.

    이 포스트 덕분에 쉽게 고민을 해결하였습니다. 고맙습니다.