본문 바로가기

조치 가이드

악성코드로 인한 imm32.dll 파일 변조 조치 가이드

1. 서론
 최근 imm32.dll 파일을 변조하는 악성코드로 인해 한/영 전환이 정상적으로 동작하지 않거나, 게임 혹은 기타 프로그램 실행 시 해당 파일 변조로 게임을 실행할 수 없다는 메세지가 나타나는 현상이 많이 접수되고 있습니다. 따라서 해당 조치가이드를 안내해 드립니다.


2. 악성코드 감염 시 나타는 증상
 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다.

해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일을 imm32.dll.log, imm32.dll.bak, imm32.dll.tmp 등의 이름으로 백업시킨 후 악성코드로 교체하게 됩니다.
(발견되는 변종에 따라 일부 파일명은 달라질 수 있습니다.)

따라서 아래 파일들을 삭제하고 변조된 파일은 정상 파일로 복원을 시켜주어야 합니다.

C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll


3. 조치 방법

3-1. 전용백신으로 치료

아래의 링크를 클릭하시어 전용백신을 다운로드 합니다.

[전용백신 다운로드 (클릭)
]



3-2.  수동 조치 방법
우선 수동조치 방법보다 위에 안내해드린 전용백신을 통한 치료를 권장 드립니다.

1) imm32.dll은 탐색기창에서는 정상적인 삭제가 되지 않을 수 있습니다.  아래 주소에서 GMER를 다운로드하여 악성파일을 삭제해 보시기 바랍니다.

-  GMER 다운로드 (클릭)

# 일부 변종에 감염될 경우 Gmer 실행 시 시스템이 다운되는 증상이 발생하여 툴 사용이 어려울 수 있습니다. 이러한 경우 아래 블로그 내용을 참고하셔서 IceSword 툴을 이용하여 imm32.dll 파일을 삭제하여 보시기 바랍니다.
- http://core.ahnlab.com/18

2) 프로그램 실행 후 [Files] 탭으로 이동하여 아래 파일들을 찾아서 오른쪽에 있는 [Delete] 버튼울 눌러 삭제 합니다.


C:\Windows\System32\imm32.dll
C:\Windows\System32\ole.dll
C:\Windows\System32\nt32.dll



3) [내컴퓨터] 를 실행한 후 아래 경로로 이동하여 imm32.dll.log 또는 imm32.dll.tmp 또는 imm32.dll.bak 파일을 imm32.dll 로 이름을 변경하도록 합니다.

만약 해당 파일이 모두 존재하지 않는 경우 감염되지 않은 정상 PC에서 파일을 복사 후 붙여넣기를 하시면 됩니다.



4) 재부팅 후 인터넷 익스플로러를 실행하여 한글 입력이 정상적으로 동작하는지 확인 부탁 드립니다. 만약 한글 입력이 정상적으로 동작하지 않는다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.


[인터넷 익스플로러에서 한글 입력이 안되는 경우]

마이크로소프트 오피스의 한글 입력기와의 충돌로 인해 발생 되며 이를 해결하기 위해서는 ctfmon.exe의 실행을 유도하는 2개의 dll 파일을  수동 삭제해 주어야 합니다.


1) 시작 -> 실행 -> cmd 입력 후 아래 명령어를 순서대로 입력합니다.

[그림] msimtf.dll 제거

[그림] msctf.dll 제거



만약 재부팅 후에도 증상이 해결되지 않는다면 시스템 복구를 이용하여 문제가 생기기 이전의 상태로 복구를 하는것을 권장 드립니다. 시스템 복구는 아래 경로에서 진행 할 수 있으며 자세한 내용은 FAQ에서 다루었으니  관련 글을 참고 하세요.

시스템 복원 방법 : http://core.ahnlab.com/176
시스템 복원을 취소하는 방법 : http://core.ahnlab.com/177


현재 imm32.dll 관련 악성코드는 현재 많은 변종이 나타나고 있으며 변종에 다른 증상이 각각 다르게 발생되고 있습니다.


위와 같이 조치하신 이후에도 한영키 변환의 문제가 있거나, 시스템 이상 증상이 계속적으로 발생할 경우
상단의 [바이러스 신고센터] 메뉴를 이용하여 신고주시면 확인 후 답변 드리겠습니다. 감사합니다.
  • 이전 댓글 더보기
  • ㅠㅠ 2011.04.16 20:27 댓글주소 수정/삭제 댓글쓰기

    제 껀 완전 변종인가봐요....
    gmer로 찾으면 파일이 안 찾아지고, icesword는 아예 실행이 안되고...
    그냥 정상파일을 무조건 붙여넣으려고 했더니 그것도 안 되고.
    이것도, 저것도, 백방으로 알아봐도 아무것도 안 되는군요.
    ㅠㅠ

  • 복사가 안되요.ㅠㅠ 2011.04.18 16:06 댓글주소 수정/삭제 댓글쓰기

    알려주신대로 gmer로 imm32.dll을 삭제하고
    깨끗한 imm32.dll을 system32 폴더에 복사를 하려고 하는데
    "imm32 항목을 복사할 수 없습니다. 액세스가 거부되었습니다. 디스크가 꽉 찼거나 쓰기 금지되어 있는지 " 메시지가 나오네요.
    그래서 확인해보니 system32 폴더가 읽기전용으로 되어 있어 변경하려고 했더니
    flash10k.ocx 액세스가 거부되었습니다.
    이러고 안되는데요.
    혹시 뭐가 잘못되어 있는지 알 수 있을까요?

  • 동안 2011.05.14 17:09 댓글주소 수정/삭제 댓글쓰기

    전용백신으로 치료하고 전용백신으로 또 검사했을때 안나오면 완치된건가요 ㅠㅠ?

  • 우와ㅠㅠ 2011.05.16 23:37 댓글주소 수정/삭제 댓글쓰기

    감사합니다!!! 전용백신으로치료하고나서 바이러스감염되거나이런게안떠서
    그밑에수동다운받아서 할려고하는데 파란색화면이떠서 재부팅을했는데..
    혹시나해서 인터넷에쳐봤는데 다시 한글로도 잘쳐지고있습니다!! 이게 바이러스가사라진게맞을까요?ㅎㅎ
    너무너무너무감사합니다!!!!!!!!!!ㅠㅠ

  • 하연 2011.06.05 23:07 댓글주소 수정/삭제 댓글쓰기

    안철수선생님 전용 백신으로 치료를 했는데요. 이젠 창같은거 안뜨고 컴퓨터가 빨라지긴 했는데, 한/영변환이 뒤죽박죽이에요.;; 네이버에선 영어로 변환이 안 되고 여기 안철수연구소에 덧글 달땐 한글로 변환이 안 되요. 그나마 한글과컴퓨터에서는 둘다로 변환이 가능해요. 왜 그렇고 어떻게 해결해야되요. 복사해서 계속 하기엔 불편해요.ㅠㅠ

  • 오.. 2011.06.06 15:36 댓글주소 수정/삭제 댓글쓰기

    전용백신으로 치료했는데 없어졌어요! 감사해요ㅠ

  • 감사감사 2011.06.13 01:29 댓글주소 수정/삭제 댓글쓰기

    완전 감사함다. 한영변환은 그냥 넘어가다가 동영상 플레이어가 자꾸 오류떠서 찾아보게 됬는데
    이런놈이 ^^~ 백신 프로그램 꺼져있는것도 몰랐는데 확인후 트레이보니.. 없더라구요..
    백신 검사하니 꺼져있던동안 쌓인 바이러스가 4개나 되네요.. 컴터 완치 시키고 갑니다!!

  • 질문..; 2011.06.16 18:11 댓글주소 수정/삭제 댓글쓰기

    궁금한게있는데요
    v3removaltool_patched <<파일을다운받아서 재부팅한다음에 다시검사해봐도 감염된건없는데요
    imm32.dll 외에 imm32.dllqONSqx.tmp 파일이있는데 뭐죠?...


    그리고 위에서전용백신을다운받아실행시켰는데 잠깐뭐가반짝하더니아무일도없는데 원래그런가요?

  • ㅇㅅㅇ 2011.06.16 19:17 댓글주소 수정/삭제 댓글쓰기

    탐색기로 검색했을때 imm32.dllCb8y6x.tmp <<요건 뭔가요. 이름 바꿀려니까 안 바꿔지던데 ㅠㅠ
    이것도 악성코드로 인한 파일 변조인가요? ㅠㅠ?

  • 은잠비 2011.06.17 17:51 댓글주소 수정/삭제 댓글쓰기

    에....여기서 받은 전용백신이 ksuser.dll이라는 파일이 감염되었다고 보고합니다.

    치료하기 눌러서 재부팅표시도 뜨지 않고 재부팅을 하고 다시 검사해보면 다시 감염된 파일로 찾아냅니다.

    어떻게 손을 써야할까요.

  • 은잠비 2011.06.17 21:46 댓글주소 수정/삭제 댓글쓰기

    에....ksuser.dll이라는 파일을 시스템32폴더에서 잘라내기로 바탕화면으로 옮기고 확장자를 바꾸고재부팅후에 다시 검사해를 했습니다만 같은 파일이 또 생성되있고 감연되었다고 뜨는군요.

    -근데 네이버백신을 사용중인데 이전에는 네이버백신의 윈도우시작시 자동감시 구동이 좀 느리게 시작되더니 저 파일을 옮긴뒤에 재부팅했을때는 빠르게 구동이 되더군요.

  • 감사합니다. 2011.06.22 00:28 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 그냥 단순한 오류라고 생각했는데 바이러스였다니.. 이렇게 도움을 주시지 않았다면 어찌됬을지 섬뜩합니다.

    다행히 바이러스도 잡고 한영도 보시다시피 잘 바뀌어집니다. 그런데 위의 글을 읽다보니 해킹과 관련된 바이러스 같은데 앞으로 컴퓨터 사용할때 아무 문제가 없을까요..? 불안해서 이 컴퓨터로 개인신상과 관련된 것들은 하지 않고 있는 상태라서요.. 빠른 시일내 답변 부탁드리겠습니다. 감사합니다.

  • 2011.07.14 00:38 댓글주소 수정/삭제 댓글쓰기

    정말 정말 고맙습니다. ㅠ.ㅠ 며칠동안 너무 고생했어요. 1번 방법으로 끝났습니다.^^

  • ㅇㅇ 2011.07.14 00:44 댓글주소 수정/삭제 댓글쓰기

    제 경우엔 알약 실행이 되질 않아 여려가지 방법을 사용해보던중,(알약 검사시 문제없는걸로 나옴) 다음팟오류가 뜨더군요. 검색해서 덕분에 빠르고 간편한 방법으로 알약 실행과 동시에 모든걸 해결하게 되었습니다. 3일을 고생했어요. 다시한번 감사드립니다.
    질문: 아들녀석이 온라인 게임만 하면 3개정도의 바이러스가 깔립니다. 가끔 알약 실행을 방해하는 경우도 있고요. 그 이유가 무엇인지 참 궁금합니다. 온라인 게임을 못하게 할 수도 없고, 일주일에 두시간 하는데 희한하게 다른이의 노트북도 10분 만졌는데 같은 증상이... 이유가 도대체 뭘까요?

  • ㅇㅇ 2011.07.14 00:53 댓글주소 수정/삭제 댓글쓰기

    v3와 알약중 어느것을 사용하는게 효과적일까요? (너무 진부한 질문인가요? )

  • 김진수 2011.07.26 14:25 댓글주소 수정/삭제 댓글쓰기

    게임실행불가, 다음팟플레이어재생오류, 인터넷꺼짐, 백신프로그램실행안됨 등 으로
    원인을 찾다가 덕분에 해결하게 되었습니다. 정말 감사합니다.
    그리고 사이트가드가 갑자기 뜨더군요 -프로그램 이름 V3Kill.exe 어쩌구저쩌구

  • 초반수 2011.08.13 04:26 댓글주소 수정/삭제 댓글쓰기

    전용백신 진단시 imm32.dll이 발견되서 치료하고 재부팅했는데 또 생겨있네요. 전용백신인데...
    한영키는 잘 먹히고요, 검사하고 치료 후 자꾸 내문서 창이 뜨네요.
    위에서 말씀하신 imm32.dll.log, imm32.dll.bak 등의 변종 파일명은 없고 대신
    imm32.dllGu1f4x.tmp
    imm32.dllNqQ5Dx.tmp
    imm32.dllWpesEx.tmp
    이 3개가 있네요.
    전용백신으로 해서 자꾸 감염되었다고 나오는데 삭제하고 재부팅해도 자꾸 생겨있고 오히려 오른쪽 아래의 시작 프로그램들이 모조리 꺼져버렸네요. V3 라이트 자동 시작까지 안되고 왜이렇나요 전용백신 -- 이거 하나면 되는거 아니었습니까

  • 정혁종 2011.10.17 18:32 댓글주소 수정/삭제 댓글쓰기

    제가 시키는데로 gmer로 imm32.dll을 삭제했습니다 그리고 imm32.dll이랑 비슷한 imm32 Rqvppx.tmp랑 imm32_bk.ahn을 삭제했습니다 그리고나서 재부팅을한다음 게임스팀팩 스팀팩적용하기를 하니 블루스크린이 뜨네요... 혹시나 해서 system32에 들어가보니 imm32가 있더군요
    또 혹시나해서 다 복원시켰습니다 그래도 블루스크린이뜨네요...
    정말급합니다 부탁드려요

  • 정혁종 2011.10.17 18:32 댓글주소 수정/삭제 댓글쓰기

    제가 시키는데로 gmer로 imm32.dll을 삭제했습니다 그리고 imm32.dll이랑 비슷한 imm32 Rqvppx.tmp랑 imm32_bk.ahn을 삭제했습니다 그리고나서 재부팅을한다음 게임스팀팩 스팀팩적용하기를 하니 블루스크린이 뜨네요... 혹시나 해서 system32에 들어가보니 imm32가 있더군요
    또 혹시나해서 다 복원시켰습니다 그래도 블루스크린이뜨네요...
    정말급합니다 부탁드려요

  • 혹시나하는데 이방법 시작 실행 cmd 입력후
    cd.. 엔터.
    cd..엔터후에
    del usp10.dll lpk.dll imm32.dll /a /s엔터
    <<이방법과 같은방법인가요? 바이러스 골라내는거