MEMZ 바이러스 복구 (BIOS)
사전 준비
실습 환경 : Oracle VirtualBox - Windows 10
BIOS 방식의 디스크, 파티션 정보
여기서 중요하게 확인할 점은 볼륨 정보 중 시스템 파티션과 부팅 파티션
※ UEFI 방식의 디스크도 비슷한 방법으로 복구할 수 있다.
바이러스 복구 첫번째 실습을 위한 파일 "MEMZ"가 준비되었다.
항상 바이러스가 잘 활동할 수 있게 윈도우 디펜더 실시간 검사 등 보안 관련 설정은 전부 해제해주자.
복구
VirtualBox 설정에서 부팅순서 중 광디스크 올려 가장 먼저 부팅이 되게 한다.
저장소에서 PE (설치전 환경) 부팅을 위한 iso를 지정해준 후 가상머신을 부팅한다.
나는 홍차의 꿈 Win11 PE를 사용했다. (출처 : https://jsb000.tistory.com/7878)
복구환경이 부팅되면 Win + R 하여 cmd 입력 후 명령프롬프트 실행
이후 아래 명령어 순서대로 입력
파티션 표시가 없는걸 보니 MEMZ 바이러스는 파티션을 손상시키는 바이러스인 것 같다.
바탕화면의 파티션 복구 툴 (Partition Wizard) 을 실행 (또는 다른 파티션 복구 툴도 가능)
상단의 파티션 복구 실행하여 가상 머신 디크스인 디스크 1번 지정 후 다음
전체 디스크 선택
빠른 스캔 (시간이 다소 소요될 수 있음, 너무 오래걸리거나 멈춘다면 가상머신 재부팅 후 재시도)
손상된 파티션을 확인할 수 있다.
모두 체크 후 완료
좌하단 적용 버튼 클릭
명령프롬프트 실행 후 아래 명령어를 순차적으로 입력
list part로 파티션 정보를 조회했을 때 파티션이 복구되어 정상적으로 나오는 것을 확인할 수 있다.
이후 list vol로 볼륨 정보를 확인하면 오프라인 볼륨을 확인할 수 있다.
또는 오프라인 상태가 아닐 수도 있다. 오프라인일 경우 아래 명령어를 입력한다.
sel vol 1
online vol
이 명령어를 입력 시 볼륨을 활성화할 수 있다.
나머지 오프라인 상태 볼륨도 똑같이 활성화해주자.
모두 활성화했다면 exit로 DISKPART를 빠져나간다.
이후 아래 bootrec 명령어 2개를 입력한다.
여기서 bootrec /fixboot 명령 시 엑세스가 거부될수도 있는데
거부된다면 아래 방법을 사용해야한다.
우선 DISKPART에서 list vol로 볼륨정보 조회 시
시스템 파티션과 부팅 파티션 (가장 큰 용량) 의 LTR (드라이브 문자) 아 있는지 확인한다.
문자가 없다면 아래 방법대로 문자를 할당해준다.
DISKPART 볼륨 정보에서 볼륨 1번 선택 (sel vol 1) 후
assign letter=Z를 통해 시스템 예약 파티션에 문자를 할당한다.
그 이후, 하드 드라이브 (보통 가장 큰 용량)에 대한 파티션도 똑같이 지정한다.
이후 bcdboot E:\Windows /l ko-KR /s Z: /f all을 입력하여 부팅 파일을 만들어준다.
이미 문자가 있었다면 E, Z 드라이브 대신 기존에 있던 드라이브 문자를 입력해야한다.
복구 완료
이제 부팅순서를 다시 원래대로 변경한 후 재부팅해보자. (부팅순서 변경 방법은 위에 있다.)
혹시 부팅이 되지 않을 경우 복구모드 명령 프롬프트에서 아래 명령어도 입력해서 재시도해본다.
bootsect /nt60 all /force
부록
부팅할 때 운영 체제를 선택하라고 뜬다면?
명령 프롬프트를 관리자 권한으로 실행한다.
이후 device 정보가 unknown인 것을 확인하여 identifier의 id를 복사해준다. ( {} 괄호까지 )
그리고 프롬프트 창에 bcdedit /delete { id } 를 입력해준다.
이후 재부팅하면 운영체제 선택 화면이 뜨지 않을 것이다.