CPU 부하를 주는 tor.exe 삭제하기
얼마전부터 데스크탑 컴퓨터가 너무 느려지면서 프로그램들이 제대로 돌지가 않더군요. 그래서 작업관리자를 통해서 문제를 확인했더니, CPU 점유율을 지속적으로 차지하고 있는 것이 바로 tor.exe(32비트) 였습니다. 시스템을 종료 할때도 한참동안 꺼지지 않는 걸 보면 아마도 채굴을 하는 멀웨어인 것 같은데, 여러 방법을 찾아서 시도해 봤지만 제대로 삭제가 안되더군요.
malzero 와 같은 유틸리티로 삭제를 해보려고 했지만, 제대로 동작하지 않아서 이런 저런 검색을 해보고 삽질 끝에 특별한 프로그램 없이 삭제를 하였습니다. 90% 가까이 치솟던 CPU 점유율이 해결하고 났더니 대기 상태에서 10% 밑으로 떨어졌습니다.
지워야할 파일은 아래 3개의 파일인데요. 해당 디렉토리가 조회가 안되시면 우선 윈도우 탐색기의 메뉴 중 보기로 가셔서 선택사항중에 숨긴 항목을 체크해줍니다.
C:\ProgramData\KB5019959.exe
사용자이름\AppData\Local\Temp\tor-expert-bundle.tar.gz
사용자이름\AppData\Local\Temp\tor-expert-bundle\tor\tor.exe
입니다.
다만 이 파일들이 삭제해도 바로 쉽게 지워지지가 않는데요. 실행 프로그램이 물고 있기 때문에 잘 지워지지가 않아서 실행중인 프로세스를 종료하고 바로 삭제하는 스킬(?)을 사용해야 합니다. 또한 삭제를 좀 늦게하면 실행파일이 다시 시작되기 때문에 파일 삭제를 빠르게 하는 방법을 알려드리면, 윈도우 탐색기에서 삭제를 하면 실행중이라고 하고 다시시도 버튼이 나오는데요. 이 상태에서 작업관리자에서 작업 끝내기를 하고 바로 다시시도 버튼을 눌러서 삭제하는게 가장 쉬운 방법인 것 같습니다.
하나씩 삭제를 해보겠습니다.
첫번째로 C:\ProgramData\KB5019959.exe 의 경우에는 해당 실행파일이 실행되는 중이기 때문에 삭제가 안되는데, 작업관리자에서 이름 순으로 정렬을 하신다음 맨 아래로 내리시면 해당 exe 파일과 동일한 아이콘의 실행 프로그램이 있을 겁니다. 해당 작업을 작업 끝내기 하신 후에 삭제하면 삭제가 완료됩니다.
두번째로 사용자이름\AppData\Local\Temp\tor-expert-bundle.tar.gz 를 삭제하지 않으면 다시 tor-expert-bundle\tor\tor.exe 가 압축이 풀리고 실행이 되는데요. 이 파일은 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe 실행파일이 잡고 있다보니 삭제가 되지 않습니다. 해당 파일을 삭제하기 위해서는 작업 관리자에서 이름 순으로 정렬하고 '서비스호스트'를 찾은 다음 해당 실행파일로 실행 중인 프로세스를 중단합니다.
마지막으로 사용자이름\AppData\Local\Temp\tor-expert-bundle\tor\tor.exe 가 있는 tor-expert-bundle 폴더를 삭제하면 되는데요. 작업관리자 (윈도우 하단 상태바에서 오른쪽 마우스 누르면 메뉴 중 작업관리자를 선택) 에 들어가셔서 tor.exe(32비트) 를 선택하고 마우스 오른쪽 버튼을 눌러 '작업 끝내기' 로 삭제한 후에 위의 폴더를 삭제합니다.
혹시 작업중에 다시 설치가 되는 파일이 있다면 실행 프로세스를 종료하면서 3개 파일이 모두 삭제될 때까지 작업을 해주시면 됩니다. 여러 번 재부팅해서 확인해봤는데, 파일 3개를 완전히 지우고 나니 다시 실행되진 않는 것 같네요.
윈도우를 다시 설치해야 하나 심각하게 고민했었는데 그리 어렵지 않게 해결이 되어 다행입니다. 혹시 동일한 증상으로 컴퓨터가 현저히 느려지시고 CPU 사용이 100% 가까이 되면서 시스템 종료해도 바로 꺼지지 않는다면 위 방법으로 멀웨어를 삭제하시기 바랍니다. 이상 CPU 부하를 주는 tor.exe(32비트) 삭제하기 였습니다.