Defender(Windows 11)에서 다음과 같은 메시지를 받았습니다.
지금까지 시도한 것:
제거 또는 격리 조치조차 효과가 없습니다.
Defender 오프라인 검사, Malwarebytes, MSERT에서는 아무것도 발견하지 못했지만, Defender 전체 검사에서는 이 문제가 다시 나타났습니다.
이제, 이 폴더는 다소 신비로운데, Microsoft의 공식 정보가 존재하지 않는 듯하기 때문입니다. "숨겨진 항목 표시"를 사용해도 액세스할 수 없습니다. 그리고 관리자 모드에서 CMD를 사용해도 액세스가 거부되었다고만 표시됩니다.
제 질문:
이게 거짓 양성일 수 있을까요? 반면에 저는 Phone Link 소프트웨어에서 비롯될 것이라고 생각했던 시스템의 이상한 끊김 현상을 경험했습니다.
시스템을 새로 설정하는 것 외에 시도할 수 있는 게 있나요? 하지만 그렇게 해도 다른 파일이 감염되어 처음부터 다시 시작될 수 있어요...
감사합니다
업데이트
최신 서명을 사용하여 3개의 다른 스캐너(clamav, eset, f-secure)로 깨끗한 Linux 시스템에서 컴퓨터를 스캔했지만 아무것도 발견되지 않았습니다. 정말 이상합니다. 여전히 무엇을 해야 할지 모르겠습니다.
업데이트 2
지금은 Defender 전체 검사에서도 찾을 수 없습니다. 그리고 위에서 정확히 같은 메시지를 두 번(!) 받았습니다! 매우 이상합니다. 보호 기록에 문제가 있는 것일 수 있을까요?
Detected: Trojan:Win32/Wacatac.B!ml
이것은 매우 자주 거짓 양성입니다. 사실 저는 제 PC에서 VB exe를 컴파일할 수 있고 Windows Defender는 이 탐지로 즉시 삭제/격리하려고 시도합니다. 저는 이러한 파일을 Microsoft에 제출했고 예외 없이 실제로 거짓 양성이라는 알림을 받았습니다.
이러한 파일의 탐지는 매우 느슨한 규칙 집합에 기반합니다. 규칙 집합은 예를 들어 3개 규칙 집합에서 2개의 히트를 조합한 것일 수 있습니다. (1) 일반 유형 파일 이름(예: SQOTT.exe), (2) 디지털 서명이 없음, (3) 실행 코드가 압축됨.
Defender나 다른 맬웨어 스캐너에서 더 이상 발견되지 않는다면, 실제로 '위협'이 있었다 하더라도 이제는 사라진 것입니다.
Defender가 의심스러운 파일을 감지하고 이를 제거하려고 하면 Catch-22 유형의 상황에 빠지기 쉽지만 지금은 감지에 대해 크게 걱정할 필요는 없다고 생각합니다.
- 파일은 $Deleted열린 핸들이 있지만 삭제 요청이 있을 때 나타납니다. 재부팅을 시도해 보셨나요? 그러면 없어질 것입니다. 끊김 문제에 대해서는 더 많은 정보가 필요합니다.Windows 내부에서 스캔해 보세요 .
- 다른 Trojan:Script/Phonzy.A!ml에서도 비슷한 상황이 있습니다. 위협은 없지만 지난주 "조치 필요" 경고를 없앨 수 없습니다. –
- @harrymc: 여러 번 재부팅했지만 소용이 없습니다. 위에 적었듯이 다른 스캐너는 찾을 수 없습니다.
- 리눅스에서 삭제하는 게 가능할까요?
이 파일을 제거하려면 실시간 모니터링을 비활성화하고 휴지통을 비운 다음 실시간 모니터링을 다시 활성화하는 것이 좋습니다.
해당 파일이 실제로 존재하고 최후의 수단으로 DMDE 디스크 편집기의 무료 버전을 사용할 수 있습니다.
드라이브를 선택한 다음 파일이 들어 있는 볼륨을 선택합니다. > 이제 볼륨 열기를 클릭합니다. 원하는 파일은 특수 MetaData 폴더에 있습니다. 있는지 확인하고, 있다면 파일 삭제로 진행합니다.
그렇지 않은 경우 "발견된 모든 파일/가상 파일 시스템"을 클릭합니다. > 대화 상자에서 Pure FS 재구성 및 삭제 포함을 선택해야 합니다. > 확인을 클릭합니다. 이제 삭제하려는 파일이 있는지 다시 확인합니다.
파일 삭제. 파일 > 도구 > NTFS 도구(쓰기 모드) > 파일 제거/디렉토리 비우기를 선택합니다. 메시지를 따라 쓰기 모드를 활성화합니다.
DMDE를 닫고 chkdsk를 실행합니다.
- 감사합니다. 방금 전체 검사를 했습니다. 숫자가 있는 NTFS 항목이 많이 보입니다. 화살표 중 하나를 클릭하면 "열린 볼륨이 닫힙니다. 계속하세요."라고 표시됩니다. $deleted 폴더와 그 내용을 보려면 어떻게 해야 합니까?
- 아니요, 전체 검사를 하지 마세요. 파일이 존재하거나 존재하지 않는 것입니다.
- 전체 검사는 해롭습니까? 파일을 어떻게 찾을 수 있습니까? 죄송하지만, 이 프로그램은 그다지 직관적이지 않습니다.
- 알겠습니다. 제가 잘못된 섹션에 있었네요. 두 번째(논리 디스크)가 맞습니다... 파일이 더 이상 없습니다. 정말 감사합니다!
- Defender가 여전히 불평한다면 harrymc의 답변을 참조하세요!
이 바이러스는 PC나 네트워크의 다른 파일에 코드를 첨부하여 퍼집니다. 감염된 프로그램 중 일부는 더 이상 제대로 실행되지 않을 수 있습니다.
Microsoft Defender Antivirus는 이 프로그램을 감지하여 제거합니다.
출처 입력
Defender가 문제를 성공적으로 감지하고 해결했습니다. 파일이 당시 사용 중이었기 때문에 $Deleted 다음 재부팅 시 열린 파일 핸들이 해제될 때까지 폴더로 이동했습니다.
처음에는 거짓 양성일 수 있지만, 신중을 기해 여러 바이러스 백신 제품으로 시스템을 주의 깊게 검사해야 합니다. 아무것도 발견하지 못했지만 예방 조치로 주기적 검사를 계속하는 것이 좋습니다.
해당 파일은 다음 재부팅 후에 제거되어 더 이상 존재하지 않는 것으로 보이며, 후속 검사에서 발견되지 않았다는 사실에서 이를 알 수 있습니다. 그러나 알림은 여전히 Defender의 탐지 기록에 남아 있습니다.
다음과 같이 Defender의 보호 기록을 지워서 이러한 거짓 긍정을 제거할 수 있습니다.
- 안전 모드로 Windows 부팅
- Explorer를 실행하고 다음으로 이동하세요.
- C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- 하위 폴더 "Detection History"를 삭제하세요(또는 예방 차원에서 임시로 이름을 바꾸세요)
- 정상적으로 재부팅합니다.
다음에 맬웨어가 감지되면 Windows에서 감지 기록을 다시 작성합니다.
- "정말 맬웨어입니다." .. 네, DOH, 하지만 탐지 결과는 대개 거짓 양성입니다.
- 누가 알겠어요. 파일이 더 이상 존재하지 않거든요.
- 감사합니다. 보호 기록을 지우는 데 매우 유용한 또 다른 도구는 DefenderUI입니다.
시스템에서 Trojan /Wacatac.B!ml을 찾는 것은 특히 C:$Extend$Deleted와 같은 위치에서는 위험할 수 있습니다. 하지만 아직 너무 걱정하지 마세요. 무섭게 들릴 수 있지만, 관리할 수 있습니다. 제 조언은 이 문제에 대해 위험을 감수하지 않는 것입니다. 바이러스 백신이 플래그를 지정했더라도 조금 더 깊이 파헤치는 것이 좋습니다.
시스템을 철저히 청소하는 것이 좋습니다 . 이 가이드는 일반적으로 단계별로 프로세스를 안내하여 남은 흔적을 제거할 수 있도록 합니다. 시간이 좀 걸릴 수 있지만 시스템을 안전하게 유지하고 원활하게 실행하는 것은 그만한 가치가 있습니다. 또한 소프트웨어를 최신 상태로 유지하고 정기적으로 시스템을 검사하여 안전한지 확인하세요
'IT 컴퓨터' 카테고리의 다른 글
| 윈도우 339 런타임 오류 VB6 Visual Basic 6 로딩 mscomctl.ocx 파일 누락 비주얼 베직 에러 (0) | 2025.01.19 |
|---|---|
| 윈도우 7 윈도우 8 정품키 다이렉트 윈도우 11 무료 업그레이드 가능 방법 (0) | 2025.01.18 |
| 윈도우 11로 변경해야 하는 이유 장점 윈도우 10과의 차이점 (0) | 2025.01.17 |
| 메인보드 CAM 4G Resizable bar 설정 성능 향상 효과 AMD SAM 항목 활성화 방법 (0) | 2025.01.17 |
| 윈도우 10 11 게임 MAME 오락실 아케이드 실행 키 설정 치트 사용 방법 (0) | 2025.01.17 |
