Trojan:Win32/Powemet.G!attak 삭제 방법 (How to remove Trojan:Win32/Powemet.G!attak)
Trojan:Win32/Powement.G!attak 삭제 방법 (How to remove virus)
여동생 매장에 있는 컴퓨터를 살펴보다 이상한 흔적이 있어서 점검해 보니 Trojan:Win32/Powemet.G!attak 바이러스를 확인했습니다. 웬만하면 백신으로 치료가 될 텐데 시간이 지나면 다시 살아나는 fileless 바이러스 같았습니다.
컴퓨터 포맷 없이 바이러스를 제거할 수 있는 방법 소개해 드리겠습니다.
안전모드 부팅 및 Malware Zero 점검
안전 모드로 부팅을 하게 되면 안전 모드에서는 윈도 디펜더가 작동하지 않습니다. 따라서 Malware Zero, Windows Safety Scanner, Stinger, 등의 안티 바이러스 프로그램 최신 버전을 먼저 다운로드해둔 상태에서 안전 모드로 부팅하는 것이 좋습니다.
안전 모드로 부팅하기 위해서는 Win + r, msconfig 입력하여 [부팅]에서 [안전 부팅]을 선택하시고 재부팅하시면 됩니다.
마우스 오른쪽 클릭 - [관리자 권한으로 실행]을 선택합니다.
안내에 따라 시스템을 점검합니다. 시스템의 사양에 따라 점검에 1시간 이상 소요될 수 있습니다.
구라 제거기 실행
프로그램을 사용하여 불필요한 뱅킹 관련 보안 프로그램을 모두 삭제합니다.
Ahnlab Safe Transaction 을 삭제하지 않는 이유는 유해 사이트 차단, 위협 행위 차단, hosts 파일 보호 기능을 평소에 이용할 수 있기 때문입니다. 또한 뱅킹 사이트에 로그인하게 되면 방화벽과 PC 검사 기능이 추가로 활성화되기 때문입니다.
Powershell 정책 설정
[관리 템플릿] - [Windows 구성 요소] - [Windows Powershell]를 선택합니다.
[스크립트 실행 켜기]를 선택하여 "사용" - "서명된 스크립트만 허용"으로 변경합니다.
Powershell을 완전히 차단하려면 "사용 안 함"으로 바꿔도 됩니다.
Process 및 Autoruns 점검
컴퓨터를 재부팅하고 자동 실행되는 프로세스에 이상한 프로세스가 있는지 점검합니다.
Process Explorer를 사용하여 점검할 수 있는 방법은 내용이 길기 때문에 아래 링크를 참고하여 점검해보세요.
https://kaliholic.blogspot.com/2023/10/processexplorer.html
Trojan:Win32/Powemet.G!attak 프로그램의 경우 컴퓨터 전체를 바이러스 점검해도 나오지 않다가 시간이 지나면 윈도 디펜더가 차단했다는 알림이 뜨기도 합니다. 즉, Fileless 방식의 바이러스일 가능성이 매우 높은데요. 이런 경우 Sysinternals에서 Autoruns 프로그램을 다운로드하여 점검하는 것이 좋습니다.
Logon, Explorer, Scheduled Tasks, Services 메뉴를 각각 확인하여 Not Verified로 표시되는 프로세스가 있는지 잘 확인하여 체크박스를 없애거나 확실히 삭제해도 되는 프로그램의 경우 마우스 오른쪽 클릭하여 삭제를 눌러주세요.
Logon에 나오는 cmd.exe 정상 프로그램이니 그대로 두시고 만약 powershell.exe가 자동 실행으로 설정되어 있는 경우 꼭 삭제하시기 바랍니다.
브라우저 확장 프로그램 점검 및 삭제
컴퓨터에 설치된 chrome, edge 등 웹 브라우저 프로그램을 실행하고 설치된 확장 프로그램을 모두 확인합니다. 가능하면 모든 확장 프로그램을 일단 다 삭제하는 것을 추천합니다.
안전하다고 확실히 판단할 수 있는 확장 프로그램만 그대로 남겨두세요.
위 과정을 모두 거친 다음 확인해보니 Trojan:Win32/Powemet.G!attak 차단 알림이 더 이상 나오지 않네요.