어떤 프로세스가 xxywt.dll 파일을 사용하고 있기 때문에 v3가 이를 삭제하지 못하는 겁니다.
보다 정확하게는 악성코드가 자신의 존재를 숨기기 위해 윈도우 정상 프로세스 등에 자신을 강제로 주입시켜 그 프로세스가 실행될 때 함께 실행되도록 합니다.(dll injection)
예를 들어 winlogon.exe 프로세스에 악성코드가 주입된 경우에는 안전모드로 부팅해도 winlogon.exe 프로세스는 실행이되기에 이와 함께 주입된 악성 dll 파일도 실행이되어 이를 삭제하기가 어럽게 됩니다. 백신등이 악성 dll 파일을 삭제하지 못하는 경우는 대부분 dll injection 때문입니다.
< 프로세스에서 dll 파일을 탈락(unload)시키기 >
dll unload 기능이 있는 프로그램으로 실행중인 프로세스상의 dll 파일을 탈락시킨 후 dll 파일을 찾아 삭제하는 방법입니다.
1).아래에서 IceSword 1.22를 다운받아 압축을 푸세요.
IceSword122en.ziphttp://www.antirootkit.com/software/IceSword.htm
2).xxywt.dll 를 사용하는 프로세스를 찾아 탈락시키기
IceSword.exe 실행 - Process 탭 클릭 - 각각의 프로세스 우클릭 - Module
Infomation 클릭 - xxywt.dll을 찾아 클릭(이때 파일경로 확인) - Unload 클릭
#.xxywt.dll 파일을 사용하는 프로세스는 하나일 수도 있고 전부일 수도 있으니
모든 프로세스에서 xxywt.dll 파일을 찾아야 합니다.
#.<IsHelp.exe를 이용해 spop.dll 파일을 사용하는 프로세스 찾기>
IceSword.exe의 보조 프로그램인 IsHelp.exe을 이용하는 방법입니다.
(이와 유사한 방법으로 process explorer로도 가능)
a).IsHelp.exe를 실행한 후 실행중인 프로세스를 클릭하면 아래창에
그 프로세스가 사용하는 dll파일목록을 확인할 수 있습니다.
b).IsHelp.exe를 실행 - ??模?클릭 - 창에 xxywt.dll 를 적고 搜索 클릭하면
xxywt.dll 파일을 사용하는 프로세스의 PID를 확인할 수 있습니다.
3).xxywt.dll 삭제하기
IceSword의 File 탭에서 경로를 따라 xxywt.dll 찾아 우클릭 - Delete 클릭