** Process Explorer 초보자용 간략 사용 설명서
1 . Process Explorer - 소개
Process Explorer는
1996년 Mark Russinovich 와 Bryce Cogswell이란 분들에 의하여 만들어진
Sysinternals 이란 웹페이지를 통해 소개된 수많은
시스템 관리 도구들중 하나입니다 .
위 사이트는 2006년 7월 마이크로소프트로 합병되었으나
지금도 여전히 훌륭한 시스템 도구들을 제공하며
또 제공된 관리도구들에 대한
묻고 답하기 포럼도 개설하고 있습니다 .
2 . Process Explorer - 기본
이 채프터에서는 Process Explorer의 기본적인 사용법을 배워보기로 합니다 .
우선 아래 링크를 방문합니다 .
http://www.microsoft.com/technet/sysinternals/utilities/Processxplorer.mspx
방문하셨으면 맨아래 보이는
를 클릭합니다 .
다운로드 받아 압축을 풀게되면
(폴더 하나를 만든 후 압축 풀기를 권장합니다 .)
세개의 파일이 생성되는데
최종사용자동의서 , 설명서 파일과 함께
프로그램 실행 파일이 들어있는데 바탕화면에 바로가기 생성해 사용하시면
편리하리라 여겨집니다 .(설치 필요 없이 파일만 클릭하면 프로그램 실행됩니다 .)
아래는 실행된 Process Explorer의 메인창입니다 .
(이 스크린샷은 안철수 연구소에서 담아 왔습니다 .)
위 그림에서 상부의 판넬은 Process를 표시하는 것이고
하부의 판넬은 Handles & Dlls를 표시하는 것입니다 .
집필자 註 : 상부 판넬은 상위 프로세스(작업 관리자에서 볼 수 있는 내용)
하부 판넬은 하위 프로세스 개념으로 이해해 버리면 편합니다 .
실행하게 되면 우선은
하부 판넬은 끄고 전체 프로세스부터 눈에 익히시기 바랍니다 .
아래 그림 보시기 바랍니다 .
이제 시스템에서 실행되는 프로세스들이 한눈에 보일 것입니다 .
평소에 가끔 눈에 익혀두면 내 컴퓨터에서 무언가 이상한 것이 실행되었을 때
금방 눈에 띌 것입니다 .
이제 창에서 표시할 내용을 정해주어야 합니다 .
아래 그림처럼 도구모음 줄에서 마우스 오른쪽 버튼을 눌러
Select Columns를 택합니다 .
뜨는 창에서 아래 그림처럼 체크하고 확인 누르시면 기본적인 사용에는 충분합니다 .
표시한 각각에 대해서는 Process Explorer 메인창을 보시면
직관적으로 이해가 가능합니다 .
Process Explorer의 큰 특징중 하나는
속성을 알기를 원하는 프로세스명을 단지 더블 클릭함으로서
그 프로세스의 속성을 볼 수 있는데
이 속성에서 해당 프로세스의 인터넷 연결 상황(TCP/IP)과
우리가 평소에는 시작▶설정▶제어판▶관리도구▶서비스로 들어가서
서비스명으로 먼저 보고 파일 명을 파악할 수 있던 것을
프로세스를 클릭함으로서 파악이 가능하도록 했단점입니다 .
아래는 제 시스템의 svchost를 더블 클릭해서 본 창입니다 .
3 . Process Explorer - 응용
가끔 사용자를 괴롭히는 프로그램이
화면에 뜨는데 그 정체를 알 수가 없어서 귀찮을 때가 있을 것입니다 .
그런 경우에 Process Explorer가 유용할 수도 있습니다 .
아래 내용을 보시기 바랍니다 .
사례 1 > 사용자 처한 상황
인터넷에서 검색을하다보면.. 이런 작은 검색창이 뜨는데.. 제거하고싶어요ㅜㅜ
방법좀 갈켜줘요~ 프로그램 제거로 찾아봐도 딱히 이런게 없고..
젠장젠장.. 내공드려용
위의 경우 Process Explorer로 급한대로 대처 가능합니다 .
|
우선 해당 창을 띄우는 프로세스를 알아야 합니다 .
Process Explorer 메인창에서
아래 그림에서 보이는 것과 같은 빨간 네모로 표시된 것을
마우스로 꼭 집어서(집으면 Process Explorer는 투명화 되어 다른 화면들을 볼 수 있게 해줍니다 .)
님 트레이 위에서 뜨는 팝업 창에 떨어뜨리시기 바랍니다 .
그러면 그 팝업을 실행하는
프로세스가 Process Explorer 메인창에서
파란색줄로 마킹되어 표시가 될 것입니다 .
그렇게해서 프로세스 알아내시기 바랍니다 .
단 , 이게 iexplorer에 덧붙여진 라이브러리로
또는 그냥 플래쉬로 실행시는
조금 밝히기 애매할 수도 있습니다 .
일단 시도해 보시기 바랍니다 .
|
|
프로세스 알아내셨으면
안전모드로 부팅해 해당 프로세스명으로 검색해 삭제하세요 . (프로그램 추가/제거를 이용할만큼 정보를 얻어내면 더 좋습니다 . 그런데 요즘 사용자를 괴롭히는 일부 프로그램은 프로그램 추가/제거에서 제거 시도시 하드 전체를 날리려고 하는 경우도 있다고 하니 여기 소개하는 방법이 유효 적절할 수도 있습니다 .)
안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는 화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 . 안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 . 안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 .
참고로 파일 검색은 아래 그림과 같은 방법으로 하시기 바랍니다 . (파일 검색없이 Process Explorer 에서 프로세스를 더블 클릭해도 경로를 볼 수 있습니다 . )
시작▶검색▶파일 또는 폴더를 클릭
모든 파일 및 폴더 찾기 클릭하신 후
검색창 왼쪽에 보이는 고급옵션 클릭해 아래 그림처럼 체크하시기 바랍니다 . (안전모드로 부팅해 검색하는 것이 삭제가 필요시 수월하시리라 봅니다 .)
파일을 삭제하셨으면
이제 레지스트리 정보를 지우세요 .
시작-->실행-->msconfig라고 친 후 엔터해서 뜨는 창에서
창 맨오른쪽 위로 보이는 시작프로그램 탭으로 이동해
삭제한 파일 이름(프로세스명) 보이는 것 앞의 네모의 체크를 제거후 (옆으로 보면 경로(위치)도 있으니 이도 확인해 주시고요 .)
창 오른쪽 하단의 적용 , 확인 누르고 재부팅 .
리부트후 아래 같은 창이 뜨면 다시는 표시 안함에 체크하고 확인 .
|
이러한 방법은
팝업창으로 뜨는데 메신저 서비스 중단으로
해결되지 않는 여러 경우 , 그리고 화면에 증상을 내보이는 경우들에 유용할겁니다 .
사례2 >
일부 악성툴은 .dll 수준에서 (모든) 프로세스에 주입됩니다 .
그런 이유로 발견시 삭제가 쉽지 않을 것입니다 .
일단 안전모드에서 백신으로 진단해 삭제해보시기 바랍니다 .
안전모드로 부팅하기 : 부팅시 F8(윈도우98은 F5)를 연타해 뜨는
화면에서 안전모드(Safe Mode)를 방향키로 택한 후 엔터 .
안전모드(네트워크 사용 가능)은 택하시지 말기 바랍니다 .
안전모드 부팅후에는 화면 네 귀퉁이에 안전모드라고 쓰여 있음 .
안전 모드로 부팅해 아래 링크 참조해 바이러스
검사하시기 바랍니다 .
안전모드로 부팅전에 아래 링크의 백신을 다운받아놓고
사용법도 숙지하시기 바랍니다 .
안전모드에서 인터넷 연결 끊은 상태에서 검사하시기 바랍니다 .
현재 사용 가능한 백신 없으시면 아래 링크 참조해
다운로드 받으시기 바랍니다 .
(사용중인 백신이 있으셔도 두세개의 백신으로 검사 실행하는 것이
신뢰도가 더 높아지므로 활용하시는게 좋습니다 .)
(현재 cureit!은 한글 메뉴 지원합니다 .)
안전모드에서도 삭제 불가시는
Process Explorer를 이용해 볼 가치가 있습니다 .
아래 그림처럼 망원경 아이콘을 눌러서 찾기 실행한 후
위에 백신 검사에서 걸린 DLL 파일의 명칭을 써넣게 되면(예 : dfll.dll 형식으로)
그 DLL이 걸린 프로세스들이 나옵니다 .
(안나오면 해당 DLL이 주입된 프로세스는 안전모드에서 실행중이 아니며
삭제가 불가한 이유는 프로세스에 물려 그런 것은 아닙니다 .)
검색에 걸린 프로세스가 있다면 해당 프로세스 종료후
해당 DLL 파일을 삭제해 보시기 바랍니다 .
|
참고로 더 설명드리면
하부 판넬을 켰을 때 나타낼 사항들입니다 .
하부 파일들에 대한 표시 사항 정하는 것도
하부 판넬 명칭 표시줄에서
마우스 오른쪽 버튼을 눌러
Select Columns를 택합니다 .
4 . Process Explorer - 주의 ! Process Explorer로 작업관리자를 대체하지 마시기 바랍니다 .
대체시 프로그램 오류나서 종료해야할 때 애로사항이 심각할 수도 있습니다 .
즉 , 메뉴에서 아래 그림의 파란줄 앞에는 절대 체크하지 말란 소리입니다 .
5 . Process Explorer - 집필을 마치며 Process Explorer는 악성 BHO를 지울 때등 그 활용 범위가 더 넓어질 수 있습니다 .
오늘 집필에서는 기본적인 사용법과 약간의 응용과 주의 사항만을 간추려 보았습니다 .
사용하시는 각자께서 조금만 연구해 보시면
그 활용 범위를 넓혀 넓혀가실 수 있을 것으로 봅니다 .
집필자도 앞으로 Process Explorer로 해결에 도움이 될 수 있는
관련 질문이 올라오면
더욱 발전된 답변으로 그 활용도를 넓히는 방법을 알려드리도록 하겠습니다 .
6 . Process Explorer - 관련 오픈 백과 링크
오픈백과 : 트.로.이.목.마. 웜 대처하기( T r o j a n Downloader Win32 Bagle ae )
관련 오픈 백과 링크의 내용출처는 : sourireholic님께서 집필한 오픈백과 |
내용이 조금 길지도 모르겠습니다만 내공 100걸겠습니다
치료될시 감사내공은 물론입니다
사진이 잘 보일지 모르겠습니다만
우선 증상을 설명하겠습니다
EXPLORER 관련 증상
[증상 1]
Ctrl + Alt + Del 로 작업관리자를 실행해본 결과
위와 같이 explorer가 두개 찍혔습니다
전형적인 바이러스 증상이라고 하더군요
또한 용량이 큰것이 진짜, 작은것이 가짜라고 하는 소리도 들었습니다
[증상2]
c드라이브를 통채로 검색해 explorer.exe를 검색했습니다
위와같이 총 4가지 파일이 발견됐습니다
다른 지식in에서 알아본봐에 의하면 WINDOWS 폴더 외에
다른폴더에 들어있는 파일이 바이러스에 감염된 파일이라고들 하더군요
그러나 4가지 파일 모두 WINDOWS에 들어있었습니다
[증상3]
위와같이 V3/virut 으로 검사를 실시했습니다
여러파일이 발견되고 치료했으나
유독 explorer.exe와 wscntfy.exe 이 두녀석은 치료가 되지않으며 항상 치료실패 코드 = 26
라고 뜹니다
[증상4]
위와같이 V3neo로 검사를 실시했습니다
C:/a/u 명령어로 모든 파일을 검사 / 자동치료 했습니다만
보시다시피 감염파일 10 / 치료파일 0 / 삭제파일 9 입니다
감염된 10개의 파일중 트로이목마 3개를 지웠고 virut 바이러스 2개를 지웠으며
~~/ onlinegamehack 이라는 바이러스 3개를 지웠습니다만
온라인 게임 핵... 전 핵을 쓴적이 없습니다
그러나 던파를 할때 핵이 발견됬다고 한적은 있습니다
이는 바이러스의 소행같습니다만
아무튼 요점은
지금 화면에 나와있는
c:\WINDOWS\
explorer.exe
: infected by Win32/virut
이파일 !! 위에서 바이러스 검사했을때 나온 파일과 동일한것으로 간주됩니다만
보시다시피 치료안되고 삭제하랍니다
중요파일일지 몰라 고민되는군요
그럼 여기서
[질문]
이 컴퓨터에 explorer.exe 관련 바이러스가 있는것인가요
있는것으로 보여지는데 , 지금 v3neo에서 잡힌 바이러스. y를 눌러 삭제해도 될까요
한마디로 v3neo에서 잡힌 바이러스는 작업관리자에서 나온 두개의 explorer 중
어느것이며 진짜파일인가요 가짜파일인가요
또 explorer 관련 바이러스 완벽 퇴치법을 알려주셨으면 합니다
위에서 말했듯이 내공 100 걸구요
해결될시 감사내공 ! 아낌없이 드립니다
이방면으로 많이 찾아본 결과 퍼온글 다알아보니 개수작부리지마시구요
내공냠냠 죽습니다 ^^
부탁드립니다 길더라도...
질문자 채택된 경우, 추가 답변 등록이 불가합니다.
궁금증이 완벽히 해소되지는않았지만 어쩌다보니 혼자서 처리했습니다 그래도 여러모로 도움이 됬네요 성의있는 답변 감사합니다
질문하신 분께서는 우선 적절한 백신을 사용하지 않으시는 것 같네요. V3Neo는 한계가 많습니다. 사용 비권장하며, 오히려 윈도우 상에서 작동 가능한 V3 Lite 무료 제품이 더 나을 것입니다. 아울러 바이럿 바이러스는 무한 증식의 특성이 있고 치료가 안되는 경우도 있으며, 정상적으로 되돌리는 것이 근본적으로 힘들 수 있다는 것입니다(시스템 파일이 이미 파괴된 경우 치료는 불가능해지고, 삭제하면 문제가 발생하게 됨).
질문에 답변드리면,
1. explorer.exe는 하나만 실행되는 것이 정상적입니다. 우선 이름 자체만으로 파악했을 때에는 정상적일 수도 있고 바이러스에 감염된 채로 실행될 수도 있으며, 2개라면 나머지 하나는 비정상적인 경우일 수 있습니다.
프로세스에 대한 정확한 파악은 질문과 같은 "작업관리자" 화면에서는 제대로 볼 수 없으므로, Process Explorer 프로그램으로 파악하시기 바랍니다. CPU 사용량이 높으면 이상할 수 있고, 설명이나 회사 부분이 누락된 경우 의심하실 수 있으며, explorer.exe의 원래 경로가 아닌 다른 경로라면 가짜일 확률이 높습니다.
≫ 참고 : Process Explorer 사용 방법
2. V3Neo는 사용하지 마시고, 윈도우에서 사용 가능한 보안 프로그램을 사용하시면 됩니다. V3Neo에서 실수로 삭제한 것은 복원이 힘들지만, 윈도우 상에서 작동하는 백신에서는 삭제 처리하더라도 검역소에 보관되므로 오진이나 잘 못 처리한 경우 복원이 가능합니다. 또한 실시간으로 작동중인 것도 처리 가능하죠.
종합하면, explorer.exe 프로세스가 어떤 것이 진짜인지 파악하실려면 Process Explorer를 통해 살펴보셔야 할 것 같구요. 또한 질문하신 분의 경우 실시간 감시가 지원되는 백신을 사용하지 않고 있으므로, 현재 바이러스가 활동할 가능성이 있습니다. 따라서 실시간 감시가 지원되는 윈도우용 백신을 사용하셔서 정밀 검사 및 치료가 필요합니다. 그런데 바이럿 바이러스에 감염된 경우는 정상으로 되돌릴 수 없는 경우가 있으므로, 근본적인 해결책은 포맷 후 윈도우 재설치가 해답이 될 수도 있습니다.
해답이 될지는 모르겠지만 참고하시기 바랍니다. 여담이지만, 스샷이 너무 작아서 글자가 안보입니다.
질문자 채택된 경우, 추가 답변 등록이 불가합니다.
정말 대단해요! 당신의 지식에 감탄하고 갑니다.^^
안녕하세요.
여러가지 원인이 있습니다. 너무 정보가 부족하네요.
만약 악성코드이슈일 경우에만 설명드립니다.
악성코드의 경우, 레지스트리에 Winlogon과 같이 동작하게 Winlogon과 실행하게
삽입하여 넣을 수 있습니다. autorun.inf 같은 경우 explorer와 같이 동작되는데
이 두 실행파일은 윈도우 필수 프로세스 입니다.
특히 위 두 winlogon과 explorer는 악성코드가 많이 악용하는 프로세스 중 하나 입니다.
찾아 보아야 하겠지만, 위 두 프로세스 하위 쓰레드로 붙은 악성코드의 dll 파일이
있을 것이라고 봅니다.
확인을 위해서 autorun.exe 혹은 ProcessExplorer.exe와 같은 툴로 확인을
해야 할 것 같습니다.
그 전에 최신 백신 프로그램으로 정밀 검사하시면 문제가 해결 될 것 같습니다.
그 이외에는 다른 어플리케이션과의 충돌이 있을 수 있사오니 설치된 프로그램의
확인이 필요할 것 같습니다.
감사합니다.
Winlogon과 Explorer은 운영체제가 사용하는 정상적인 프로세스입니다.
다만, 질문 주신것과 같이 문제가 발생하고 있는 원인은 하위에 악성파일(dll)이 붙어서 기생을 하는 것입니다.
위 안철수연구소의 답변내용과 같이 autoruns, Process Explorer 이라는 툴을 사용하면
문제를 일으키고 있는 파일을 찾아낼 수 있지만, 컴퓨터를 잘 사용하지 못하는 비전문가의 경우
발견하는 것과 수동처리하는 것은 매우 어렵습니다.
그래서 전문가에게 의뢰해서 문제의 해결을 요청하는 것입니다.
아래 안철수연구소 바이러스 신고센터로 문의사항과 함께 리포트를 접수하시면
전문가가 해당 프로세스들을 분석하여 빠른 도움을 드릴 것입니다.
http://www.ahnlab.com/kr/site/securitycenter/virus/virus.do
안철수연구소 웹페이지 회원이시라면 무료로 기술지원을 받으실 수 있습니다.
추가적인 문의사항이 있으시면 메일 주세요...
처음 부팅해서 윈도에 사용자 로그 온 했을 때 입니다.
로그 온 이후 작업과정이 explorer.exe가 두 개 뜬 이후 상당히 느려졌습니다.
또 작업표시줄에 마우스를 가져가면 모래시계모양에서 바뀌지 않고,
바탕화면에서 마우스 오른쪽 팝업도 뜨지 않습니다.
아이콘들은 선택 만 됩니다. 실행은 되지 않고요,
두가지의 explorer.exe 중 제가 선택해 놓은 위에있는 explorer.exe있죠,
아래에 있는것보다 '메모리 사용'수치가 작은것이요.
이것을 프로세스 끝내기 하면 보통 explorer.exe를 종료시켰을때처럼 아이콘과 작업표시줄이 사라졌다가 곧 다시 뜨고 컴퓨터는 정상으로 돌아갑니다.
바이러스인가 해서 안철수연구소에서 검사 해봐도 깨끗하고..
C드라이브 오류검사를 해봐도 깨끗합니다.
왜 이런현상이 생기는것인지 궁금합니다!
도와주세요 :-(
질문자 채택된 경우, 추가 답변 등록이 불가합니다.
빠르고 정확한 고맙습니다 ;) 찾아보니 SYSTEM32 폴더에 어제날짜로 등록된 explorer.exe가 존재하더군요. 조언들도 정말 도움이 많이 될 것 같습니다 ^^
http://www.neuber.com/taskmanager/process/Explorer.exe.html 에 보시면
Note: The Explorer.exe file is located in the c:\windows\ folder. In other cases, Explorer.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager<!--4.8.04: for free-->.
바이러스일 가능성이 높습니다. 파일 찾기에서 explorer.exe를 찾은뒤 windows 폴더가 아닌 다른 폴더에도 똑 같은 파일이 있다면 바이러스인 것입니다.
없더라도 다시 한번 아래 마이크로소프트에서 제공하는 온라인 검사를 해 보시기 바랍니다. 다음은 제가 항상 하는 답변의 일부입니다.
평소 못보던 컴 증상이 나오면 일단 바이러스와 웜을 의심해야 합니다. 의외로, 특히 게임, 여러 사이트 다운로드많이 하는 컴, p2p 사용컴은 바이러스/웜인 때문인 경우가 많습니다. 방화벽 없으면 더욱 의심, 있어도 의심, 바이러스 프로그램 상주하고 있어도 의심의 잇점(영어로 the benefit of suspicion)이 시간의 기회 손실을 훨씬 상회합니다 .
시간을 들여서라도 꼼꼼히, 차근차근 메모해 가면서 관련된 모든 것(파일, 레지스트리 검색으로)을 완벽히 삭제해야 합니다
시스템 복원을 사용하고 있으면 요즘 바이러스는 시스템 파일을 가장하므로 삭제하여도 복원 폴더 속으로 들어 갔다가 복원하는 순간 다시 작동합니다.
평소 작업관리자를 실행하여 못 보던 프로그램이 설치되어 실행되고 있나 확인합니다. 자신도 모르게 시작프로그램, 악성 서비스, BHO등이 설치되어 실행되고 있을 가능성이 많습니다.
안전모드(인터넷이 필요하면 네트웍크 가능한 안전모드)에서 진행을 권합니다.
제일 알기 쉬운 처방은 Microsoft Site 에서 해결할 수 있습니다.
http://safety.live.com/site/ko-KR 를 방문하여 1 2 3 4 단계를 onestop 처리하는 것입니다.
조금 더 꼼꼼한 처방은
1. 익숙하고 본인이 믿음가는 바이러스 프로그램으로 (안전 모드에서 또는 시스템 복원 기능을 꺼도 된다면 끄고서) 바이러스와 웜을 검사 치료합니다. 시스템 복원 기능을 끄면 복원은 더 이상 불가하지만 일부 바이러스는 삭제 하여도시스템 복구 폴더에 남아 다시 활동하게 됩니다.
2, 언라인 바이러스 프로그램 자체가 악성일 수 있으므로 조심하여야 합니다. 은행 홈페이지에서 제공하는 무료프로그램은 믿음이 갑니다. 가능하면 압축파일 검사옵션도 가동 시킵니다.. 하지만 압축해논 파일이 많으면 검사 시간이 비약적으로 늘어 날 수 있습니다.
혹시 사용자 계정은 제대로 되어있나요?
계정 삭제후 다시 해보심이...
즐컴~~
