타올라라 게임혼! www.gamehon.com


일부 어플리케이션 설치 시 프로그램폴더에 sduprotect가 있다면 반드시 어떠한 개인정보 계정도 사용하지 말고
즉각 삭제해야 합니다.

sdupsvc는 삭제해도 사라지지 않습니다. 일단 무한증식을 막기 위하여

텍스트 에디터를 열고 가짜 파일을 만듭니다. 이후 읽기전용으로 변경한 후 sdupsvc와 바꿔치기 합니다.

sdupsvc는 장치관리자에서 종료해도 다시 실행되기 때문에 일단 언락커와 같은 프로그램으로 강제종료하고 이름을

변경하시기 바랍니다. sdupsvc.exe -> sdupsvc.ex

그 후 삭제하고 읽기 전용으로 만든 가짜 파일로 대체합니다.

그러면 다시 생성되지 않지만 몇몇 폴더에 더미 파일들이 생성되어 있으므로 해당 파일들을 찾아서 모두 삭제하는 것이

바람직합니다.

현재 이 악성프로그램의 백신이 없는 관계로 수동삭제를 하시기 바랍니다.

감염되면

sdupsvc.exe 아래에

the_world.exe 프로세스가 2개 중복 실행됩니다.

특이증상

- 화면 갱신 포착
- 느려짐
- 해킹기능 의심 있음

추가
- 프로그램 폴더에 setup.exe, sdupsvc.exe the_world.exe 생성
- 레지스트리 익스플로러 피처콘트롤에 the_world.exe 스누핑 의심생성
- C:\Users\AppData\Roaming\Microsoft\Windows\Templates 에 the_world.exe the_world.ini 생성

검토결과 의도적으로 한국계정을 노린 정황이 포착됨.

'Hardware talk' 카테고리의 다른 글

애플 G5 유선 키보드 수리  (2) 2015.06.23
오큘러스 리프트 시작  (0) 2013.08.13
SDUProtect 경보! sdupsvc.exe the_world.exe 경보!  (19) 2011.05.22
한본 롤릭 0604 구매  (0) 2011.05.07
emu 1212m windows7 beta driver 활용기  (0) 2010.11.14
데논 NC 732  (0) 2010.10.31

Comment +19

  • 까를로 2011.05.22 20:20 신고

    좋은 정보 고맙습니다!

    이것 때문에 고생 좀 하고 있었어요~

    ^^

  • 미르 2011.05.24 02:04 신고

    정말 감사합니다. 이글보고 해결한듯하네요. 근데 전 강제종료프로그램으로 강제종료를 하고나서 sdupsvc.exe를 sdupsvc.ex 로 이름을 바꾸니까 바꿔지네요. 전 가짜파일도 안만들었거든요. 그래서 지금은 그냥 프로그램 폴더에 sduprotect폴더가 있긴한데 안에 sdupsvc.ex 가있는걸 그냥 그대로 두고 있습니다. 이걸 다 지워도 다시 생성 안되나요?

  • 여기에 소개된 방법은 원인이 되는 프로그램 설치만 안하시면 다시 생성은 안되지만 혹시라도 추후에 설치를 방지하기 위하여 더미파일을 읽기전용으로 대체해 놓는 방법입니다. 일단 삭제해 놓으면 다른 문제는 없는 것으로 보입니다. (레지스트리 정리, 유저폴더 내부에 the_world 정리등) 관련된 것들을 모두 정리하면 현재까지는 문제가 없다고 보여집니다. 원인이 되는 프로그램 설치(예를 들면 Skidrow FableIII.rar 등) 이런 일만 없으면 생성되지는 않을 거예요.

  • Joseph 2011.05.24 10:18 신고

    게임혼님의 글 덕분에 문제를 해결했습니다!!
    정말 감사합니다!!

    저또한 The_world.exe 이란 파일과 프로세스실행때문에 고생을 많이했는데
    저는 특이하게도, Sdupsvc.exe 라는 파일은 없었고,
    kscpsvc.exe 라는 파일이 문제였습니다.
    특징으로는 저는 이프로그램의 설명이 SDU Application 으로 되어있었습니다.
    'SDU'라는 단어가 공통으로 들어가는걸 보면서...
    만약이지만 Sdupsvc.exe 나 kscpsvc.exe 이외에도 다른 형태로 프로세스에 상주하고있지않을까
    생각해봅니다.

    이름만 달랐지 내용이 똑같아서 게임혼님 덕분에 문제를 해결했습니다. 정말 감사합니다.

    //미르 - 미르님 저는 참고로 바꿔치기하기전 용량이 2.5mb정도 되었습니다.
    그안에 이상한 소스(?)들이 들어있다고생각하니...가짜파일을 만들어서 0kb 짜리로 바꾸지
    않고서는 찝찝해서 안되겠더라구요.. 제 사견입니다만 게임혼님이 설명해주신대로 가짜파일을
    만들어서 교체하시는게 기분상 좋으실것같아요~ 왠지 파일안에 나쁜바이러스가 우글거릴꺼같다는
    망상을 혼자 잠시 해봅니다..

  • 다른 분들께 도움이 되었다니 다행입니다. 문제가 어느정도 밝혀지면 기존 바이러스 및 말웨어의 안티제품개발 업체 및 개인들이 정식 처리방법을 내놓을 것이기 때문에 임시방편정도로만 봐주시기를 부탁드립니다.

  • 컴퓨터잉여 2011.05.24 16:38 신고

    제가 컴퓨터를 잘몰라서 그러는데 좀 쉽게 설명해주세요 ㅠㅠ

  • 순서대로 설명드리면 다음과 같습니다.
    0. 메모장을 열고 "가나다라" 이렇게 쓴 뒤 파일로 저장합니다. 이름은 sdupsvc.exe 그리고 등록정보를 눌러서 읽기 전용으로 해 놓습니다.
    1. unlocker 를 다운받아 설치합니다.
    2. 문제가 되는 program files/sduprotect/sdupsvc.exe 를 우클릭하면 별마술봉 아이콘의 unlocker라고 있습니다. 그걸 누르고 이름변경을 누릅니다.(sdupsvc.exe -> sdupsvc.ex)
    3. process explorer를 이용하여 sdupsvc 와 the_world.exe를 모두 강제종료하고 읽기 전용으로 만들어 놓은 가짜 sdupsvc를 program files/sduprotect/ 폴더에 복사합니다. 복사가 끝나면 sdupsvc.ex 파일을 삭제합니다.
    4. program files 폴더에 보면 setup.exe the_world.exe sdupsvc.exe가 있는지 보고 있으면 삭제합니다.
    5. 유저폴더(C:/Documents and Settings/내계정)에서 AppData/Roaming/Microsoft/Windows/Templates 에 the_world.exe the_world.ini 를 삭제합니다.
    6. 레지스트리에서 익스플로러 피처콘트롤 항목을 보고 the_world.exe 관련 정보는 모두 삭제합니다.
    7. 확인을 위해 재부팅해주세요.

    이 악성코드에 문제가 있다는 것이 확인되면 분명 정식 해결방법이 빠르게 나올 것입니다. 제가 쓴 내용은 단지 우려되는 사항에 대한 임기응변 정도로만 생각해 주시기 바랍니다.

  • 볼팅 2011.05.26 05:10 신고

    저도 오늘 하루 이상하게 느려져서...게임 깔고 난 후인데...

    기냥 안전모드 들어가서

    위에 있던 파일들 삭제하고 들어오니까

    다시 안뜨네요..

    바이러스 Avira에서는 찾지도 못하고요..

    그래도 지금 현재는 없어서 다행입니다..

  • 화판 2011.05.27 11:56 신고

    저는 kscsvc.exe 때문에 생겼는데 어찌 따라가다 보니
    npkusvc.exe를 발견 했습니다

    뭔가해서 실행시켜보니까 service_test라고 뜨면서 kscsvc.exe를 생성하네요

    계속 실행중이라고 뜨는데 프로세서에는 안잡혀서 일단 언라커로 삭제했습니다;;

  • 방문하신 분들께 조금이나마 도움이 되었다면 좋겠습니다. 정식으로 문제가 밝혀지거나 해결책이 나오면 저도 해당 내용을 알리도록 하겠습니다.

  • zzz 2011.05.29 21:50 신고

    저 같은 경우는 programfiles/sduprotect폴더자체는 없구요
    프로세스창에 The_world.exe가 계속존재합니다. 지워도 계속나타나구요(심지어는 레지스트리에서도 지워도 다음찾기누르면 바로또나옴!!!)

    그래서 시스템복원하고 기다리는중입니다. 이건뭐 sduprotect폴더 자체가없으니까 파일 바꿔치기도 안되는데 게임혼님 도와주셨으면 감사하겠습니다....

  • 화판 2011.05.30 08:11 신고

    굳이 프로그램 파일 폴더에 파일이 생기진 않습니다

    저같은경우는 windows의 sys폴더에 들어가있었구요;;;

    윈7이라면 작업관리자에서 모든사용자의 프로세스 표시 한다음에 설명에 sdu project라고 써있는 게 있는지 보고

    경로 찾아가시면 됩니다...

  • revan 2011.06.03 20:46 신고

    저도 저문제때문에 고생 하는데요
    굳이 저방법 안쓰고 카스퍼스키 같은 외산 백신 가지고 잡히나요?

  • falcon 2011.06.08 09:21 신고

    윈도우 7 은 unlocker 가 작동이 잘안되서

    그냥 기본 윈도우 보안 정책을 이용해

    해당 파일 자체를 실행 못하게 막아버렸습니다

  • EffectMaster 2011.06.14 08:54 신고

    삭제방법

    실행창에 services.msc 실행 -> sdupsvc or sduprotect 서비스 중단 -> 작업관리자에서 해당 프로세스 종료(sdupsvc.exe, the_world.exe) -> sdupsvc.exe 파일 검색 후 삭제 -> the_world.exe, the_world.ini 파일 검색 후 삭제 -> 재부팅

    이렇게만 해줘도 삭제되더군요. 참고하세요.

  • EffectMaster 2011.06.14 08:58 신고

    아 그리고 서비스 삭제시 cmd 띄우시고 sc delete [해당서비스명] 입력하시면 삭제됩니다.

  • ㅇ_ㅇ 2011.07.16 00:31 신고

    프로그램이 어딨는지 못찾겠어요..
    The_World.exe가 실행되서 프로세스 추적한후 텍스트로 가짜를 만들어놓긴했는데 자꾸 The_World.ini가 생성되네요 으아..

  • ini가 생성되는 건 원인되는 숙주가 아직 있다는 것입니다. the_world.exe가 실행될 때 프로세스 익스플로러를 통해 상위에 있는 프로그램을 찾아보시고 있다면 그것을 sdupsvc 처리와 같은 방법으로 처리해 보세요.

  • 슈퍼노트북 2011.08.03 00:46 신고

    이글좀 퍼가겟습니다.~
    출처는 당현이쓰구요~ㅋ