Microsoft/Windows2008. 12. 18. 14:04
회사에 새로 오신분이 계셔서 TG 에버라텍 4600 을 샀는데...

오피스 깔고 패치 하고 나서 프린터 잡을려고 SAMBA 서버에 접속해서 파일을 복사 하는데

갑자기 블루 스크린...


이거 뭥미 -ㅁ-!?






오늘 다시 출근 하셔서 하시는 말씀이

"애들이 어제 쥬니버에서 게임하고 그랬는데 갑자기 블루 스크린이 떳다"



그래서 에버라텍과 비스타 블루 스크린을 검색하니 의외로 도움 되는 내용은 없었다.

아무튼 dump 파일을 보니 두개(덧. c:\windows\minidump 가 crash dump 파일 기본 위치임)

하나는 어제 발생한 것이라서 파일 명이 Mini121708-01.dmp인데 Mini112808-01.dmp는 뭐지 -ㅁ-?
최초 설치 하고도 삼보에서 한번 죽었는데 그걸 그냥 판건가? -ㅁ-!


아무튼 덤프 파일은 WinDbg 를 이용하여 분석하면 된다고 해서 MS 사이트에서 받아서 돌렸는데
결과는

Mini112808-01.dmp
Probably caused by : dxgkrnl.sys ( dxgkrnl+3d8b )

Mini121708-01.dmp
Probably caused by : NETIO.SYS ( NETIO+835b )


아마도 2008년 11월 28일은 삼보에서 제조 하면서 설치 중에 발생한 듯 하고,
이름만 봐서는 directX 관련 오류 인데..

2008년 12월 17일 오류는 조금 검색을 더 해보니
NETIO.SYS 관련 hotfix가 있다고 한다. [hotfix download]
[출처 : http://forum.soft32.com/windows/Netio-SYS-Errors-ftopict341619.html]


결론은.. 뽑기 운이 안 좋은 것 일려나..




Posted by 구차니
Microsoft/Windows2008. 12. 8. 21:24
USB를 통해서 전파되는 악질적인 녀석으로...
인터넷이 느려진거 같길래 백신돌려도 잘 안나오고.. 아무튼 간만에 전체 파일 검사를 했더니 겨우겨우 잡는다.

c:\windows\boot.ini <- visual basic script 임
c:\windows\.MS32DLL.DLL.VBS
c:\autorun.inf

총 3개가 생성이 된다. USB의 경우에는
f:\windows\.MS32DLL.DLL.VBS
f:\autorun.inf
가 생성이 된다.

아무튼 지워고 나서 발생하는 에러로는
먼가 정상적인 에러 같은데 boot.ini 라고 하길래 c:\boot.ini를 복사 하면되는 줄 알았더니

라는 에러를 밷어 낸다. 이거 뭥미? 그 boot.ini가 그 boot.ini가 아닌건가?!

그래서 인터넷 검색을 해보니 msconfig를 사용하라고 해서 봤더니
이름 없는 녀석 .MS32DLL.dll.vbs 라는 녀석과 wscript.exe 라는 녀석이 생겼다.
이런 이유로 boot.ini를 요구 하는데, 상당히 교묘한 녀석으로 boot.ini 라는 파일이 존재는 하지만 c:\windows에
원래 존재 하지 않는 파일이며, 이름이 그럴싸 한 이유로 어느정도 컴퓨터를 아는 사람이라고 해도
확실하게 윈도우에 어떤 파일이 어디에 존재 하는지 모르면 속을 만한 고단수 바이러스다.

결론 : USB는 반드시 왼쪽 shift를 누르고 꼽아서 자동실행을 방지하자!
Posted by 구차니