저는 Windows 7 컴퓨터에서 작업하고 있습니다. 소유자는 컴퓨터가 맬웨어에 감염되었다고 생각하며 해외 회사에서 문제를 해결하려고 시도했지만 자신의 문제로 인해 컴퓨터가 부팅할 수 없게 되었다고 보고합니다.
C:\Windows\System32\Drivers에 있는 trjaaake.sys라는 다소 의심스러운 드라이버 파일을 발견했습니다. 파일은 최근에 생성/수정되었지만 제가 보기에는 감염이 발생한 지 약 이틀 후에 생성/수정된 것으로 보입니다. 이 파일의 버전 탭에 다음이 표시됩니다.
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
파일이 디지털 서명으로 서명된 것으로 보이지만 서명이 합법적인지/유효한지 확인하는 방법을 모르겠습니다.
Virus Total에 파일을 제출했는데 42개의 서로 다른 바이러스 백신 엔진 모두 파일이 정상이라고 보고했습니다. Norton File Insight는 또한 이 파일이 수천 명의 컴퓨터 사용자가 사용하고 있으며 신뢰할 수 있는 등급을 받았다고 말합니다.
C:\Windows\Temp에서 BootClean.log라는 파일을 찾았습니다. 여기에는 다음 내용이 포함되어 있습니다(사용자 이름을 "[수정됨]"으로 변경했습니다).
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
그래서 내 질문은 '이 파일이 무엇인지 아는 사람이 있습니까?'입니다. 아마도 Microsoft의 악성 소프트웨어 제거 도구의 일부일까요?
답변1
시작하기 좋은 곳은 달리는 것입니다.시그베리프- 서명을 확인하는 데 도움이 될 수 있습니다. 따라서 신뢰할 수 있는 회사가 서명한 경우에는 문제가 될 가능성이 없습니다. 그렇지 않으면 삭제하는 것이 좋습니다.
반면에 일단 머신이 손상되면 그 시점부터는 실제로 신뢰할 수 없습니다. 개인 파일 및 OS와 관련이 없는 기타 데이터를 백업하고 OS를 다시 포맷/재설치하는 것이 좋습니다.
답변2
이러한 파일은 실제로 Windows Defender에 의해 동적으로 생성됩니다. 목적은 재부팅 시 시스템을 감염시킨 악성 코드를 제거하는 것입니다.
각 파일의 속성을 살펴보면 이름이 무작위이며 Microsoft 인증 기관에서 디지털 서명한 것을 알 수 있습니다. 재부팅 시 .SYS 파일은 의도된 목적, 즉 재부팅 시 악성 코드를 제거한 후에 실제로 사라집니다.
이것은 좋은 파일이고 나쁘지 않습니다!!!