'gthook.sys'에 해당되는 글 1건

  1. 2008.12.05 GTHOOK.sys 조심 (11)
삽질2008.12.05 16:24
어떤 프로그램 크랙을 위해서 특정 파일을 받아서 실행하고 나서 크랙도 안되고

윈도우 사용중에  불특정하게 계속 블루스크린이 떠서 Crash Dump 파일을 분석했다.

볼것도 없이 GTHOOK.sys 파일의 문제였다.



구글신께 물어보니 루트킷 -_-;; ㅎㄷㄷ

[SSDT HOOK / Hooking]    <\??\C:\WINDOWS\system32\drivers\GTHOOK.sys>

바로 찾아서 삭제하고 레지스트리의 서비스도 지워주니까 바로 정상 작동하였다.

요즘엔 크랙도 조심해서 써야 겠다.

-- 추가 --

이놈의 모체가 있었다. server.exe라는 파일로 Windows방안에 있었다.

무려 RemoteStorage라는 이름으로 서비스를 돌고있었고, 이놈이 계속 GTHOOK.sys를 생성하고 등록하고 있었다.

윈속 DLL을 가지고 어디로 연결을 해서 정보를 다른곳으로 보내는 것 같았다.

192.168.1.2 라는 문자열까지만 확인했는데, 설마 내부망으로 -,.-
Posted by 꿍스

댓글을 달아 주세요

  1. 감사..ㅠㅜ

    감사합니다..ㅜ 저도 이 트로이잔 gthook.sys가 계속뜨고 해서 server.exe가 remotestorage로 인해 자꾸 방해 했었군요...^^ V3도 잘 못잡군요..ㅠㅜ

    2009.03.10 00:04 [ ADDR : EDIT/ DEL : REPLY ]
  2. 꿍스님도와주세요 ㅠㅠ

    이놈 어떻게지우나여ㅠㅠ 자꾸 system32 - drivers 에 GTHOOK 생성해내던데 ㅠㅠ

    어떻게지워욤 ㅠㅠㅠㅠ

    2009.06.05 22:30 [ ADDR : EDIT/ DEL : REPLY ]
    • windows 방안에 server.exe라는 파일이 있습니다.

      그 파일을 지우고 gthook.sys를 지워보세요.

      2009.06.08 20:39 신고 [ ADDR : EDIT/ DEL ]
  3. 도와주세요 ㅠ

    윈도우방안에 server.exe이런파일이있나여? 없던것같은대 ㅠㅠ 아 맨날 블루스크린떠서 돌아버리겟어요 ㅠㅠ
    도와주세요

    2009.08.04 18:03 [ ADDR : EDIT/ DEL : REPLY ]
    • 켁 정확한 증상을 제가 안봐서 모르겠네요 ㅜ.ㅜ

      윈도우즈 방이나 시스템 방안에서 날짜순으로 정렬해서 최근에 생성된걸 지워보시구요

      레지스트리 에디터에서 gthook.sys로 검색하셔서 다 지워보세요.

      2009.08.07 15:42 신고 [ ADDR : EDIT/ DEL ]
  4. 헬미

    윈도우방안에 찾아봣더니PF파일로 server.exe가 잇더군요 이걸지우면되는건가요 ㅜ?

    2009.08.11 09:50 [ ADDR : EDIT/ DEL : REPLY ]
    • 네 그걸 지우고 gthook.sys를 지우시면 됩니다. ^^

      레지스트리에서도 gthook.sys를 검색해서 지우시면 되구요 ^^

      2009.08.11 13:27 신고 [ ADDR : EDIT/ DEL ]
  5. 어휴.....

    이놈 진짜 개악질이더군요..; 이놈때문에 2틀동안 안전모드로 켜서 V3lite로 찾아서 지우고 했는데 계속생겨서 또 찾고지우고 하다가 얼마나 해댔는지; 나중에 v3로 검색하니까 아예 검색조차 안돼더군요.; 그래서 카스퍼스키를 한번 써봤는데 v3에서 안잡히던 바이러스 160몇개가 쫘르륵..역시 세계1위와 무료백신의 차이가;; 그리고 이놈은 그래도 리붓하니까 계속생기던데 직접 경로로 들어가서 잡으니까 잡히더군요; 얼마나 악질인지; 그리고 제경우는 system32방에 있었어요 근데 찾기 검색으로는 안잡히던데 숨어있어서 그런건지; 어쩄든 지금은 다 완치됐구요 ㅠㅠ 님의 정보와 카스퍼스키의힘 ㅎㅎ; 한가지 저처럼 초보자들은 위한 팁을 알았는데 부팅하고나서 1분정도 켜져있을때 바로 경로로 들어가서 gthook.sys 이놈을 빨리 지우면 리붓돼는일은 없더군요; 모체를 안잡아서 계속생겨나긴하지만 어쨌든 빠르게 지우고나서 카스퍼스키같은백신으로 잡으면 될것같네요.. 저같은 아픔을 겪으실분이 안생기길..ㄷㄷ

    2009.09.13 20:59 [ ADDR : EDIT/ DEL : REPLY ]
  6. 꿍스님헬프미

    ㅠ.ㅠ 꿍스님 맨날 블루스크린떠서 V3로 치료해도 개속 생기더니 제가 카스퍼스키 체험판을 받아서 치료를햇는대욤
    gthook.sys가 떳어요 그리고 server.exe도 떳는대 그냥 모두치료 눌르니까 '치료불가능한파일입니다'
    이런거뜨고 그다음에 잘못봤지만 어떤파일이 개속 gthook를 생성해내고 있습니다<<이말이떳어요 ㅠ
    그래서 맨날 컴퓨터 킨다음에 시스템32 들어가서 드라이버? 들어간다음에 gthook를 지우고 다음날 또지우고
    반복했는대요 본거지를 안잡아서 그런지 맨날 생성해내 더군요;,. 근대 제가 본거지를 찾는방법을 모르겟어요
    꿍스님말로는 server.exe를 지우고 gthook를 지우면 완치된다구 하셧잖아요 그런대 제가 검색을 해봣더니
    server.exe가 없더라구요 윗분말대루 숨어있는거같은데 윈도우 방안에 있다고 하셧잖아요 윈도우 방안이 윈도우에있는 모든 파일,풀더인가요 아니면 그냥 윈도우풀더 안에있는건가요? 제가 윈도우폴더랑 시스템 폴더에서
    S를 클릭 하니까 server.exe는 안보이구 다른것만보이던대 어떻개 찾는지 정확히 답변 해주시면 정말 감사하겠습니다.

    2009.09.24 19:57 [ ADDR : EDIT/ DEL : REPLY ]
  7. 해결법

    카스퍼스키 3개월 체험판을받아서 치료를하면 server.exe GTHOOK.sys이놈 두마리 잡히는대 처음에는
    치료안된다고 떳다가 개속 제부팅하구 치료하면 완치 됩니다 윗분 저도 처음엔 안됬는대 개속치료하니까 이제
    완치 됬슴 ㅎ

    2009.09.28 14:27 [ ADDR : EDIT/ DEL : REPLY ]