PC를 켜니 아래 그림과 같이 취소 없는 '확인' 만을 강요하는 팝업(인코드 프로그램 설치 안내사항) 창이 뜨네요.

카카오인코더(CacaoEncoder) 프로그램 설치로 인해 발생한 팝업 인듯 합니다.

 

- 제작사: http://www.cacaotools.com

  • 유튜브 등 스트리밍 사이트의 동영상을 다운받기 위해 사용하는 '튜브다운(Tubedown)'도 보이네요.

 

 

카카오인코더(CacaoEncoder)

- 프로그램 설치 후 업데이트 시 드로퍼(Dropper)로 의심되는 악성파일 생성.

 

드로퍼(Dropper):

  • 파일 자체내에는 바이러스 코드가 없으나 실행 시 바이러스를 불러오는 실행 파일.
  • 사용자가 인지하지 못하는 순간에 바이러스 혹은 악성파일 등을 사용자의 컴퓨터에 설치하는 프로그램

 

- 카카오인코더 설치 경로에 드로퍼(sch.exe) 설치.

- 드로퍼(Dropper) 악성 파일을 통해, 추가 악성파일(mon.exe) 설치.

- 악성파일(mon.exe)이 서버와 통신하여 가상화폐 채굴기(smartpoint) 다운로드 설치.

- 감염자 PC 자원을 악용하여 가상화폐 채굴하여 서버로 전송 추정.

 

- 참고: [구글 검색] 카카오인코드 채굴

 

 

제거(Uninstall) 하기

프로그램 제거

- 카카오인코더(CacaoEncoder) 프로그램 삭제.

- 'MiBigData solution matchpop Report Platfrom" 프로그램을 삭제.

 

시작 - 설정 - 앱 - 앱 및 기능 - 관련 설정(프로그램 및 기능)

시작 - Windows 시스템 - 제어판 - 프로그램(프로그램 제거)

 

폴더/파일 삭제

- 카카오인코더(CacaoEncoder) 폴더 삭제.(폴더 안에 sch.exe 파일 남아 있음.)

- C:\Windows\ceuueclommom.exe 파일 삭제.

 

- update.exe 파일 삭제.

- MatchPop 파일 삭제.

 

작업관리자 - 프로세스

1. 작업표시줄에서 우마우스 클릭 후 '작업 관리자(K)' 선택.

2. 상단 프로세스 탭 선택 후 'update.exe' 또는 'MatchPop' 파일에서 우마우스 클릭 후 '파일 위치 열기(O)' 클릭.

3. 파일이 있는 위치 확인 후 (파일 탐색기 창은 그대로 열어 두고 다시 프로세스 창으로 돌아 갑니다.)

  • 파일 위치: C:\Users\사용자 이름\AppData\Local\Temp

4. 프로세스 창 'update.exe' 또는 'MatchPop' 파일에서 우마우스 클릭 후 '작업 끝내기(E)' 클릭.

5. 열어둔 파일 탐색기 창에서 'update.exe' 파일 삭제.

 

01234

 

서비스 삭제

- 서비스에 등록된 카카오인코더 삭제.

 

1. 윈도우 키 + R

2. 입력 창에 'services.msc' 입력 후 엔터.

 

작업 스케줄러 삭제

- 작업 스케줄러에 등록 되어 있는 'ceuueclommom' 관련 항목 삭제.

 

참고: Windows10: 작업 스케줄러 - 불필요한 항목 사용중지/삭제하기

 

레지스트리 삭제

- 레지스트리에서 'cacao, ceuueclommom' 검색해서 모두 삭제.

 

1. 윈도우 키 + R

2. 입력 창에 'regedit' 입력 후 엔터.

 

 

Posted by TAME :