El ataque del caballo de Troya de dmsetup2.exe

7/ 16/ 98

Sin mucho cuento vamos al punto de como arreglarlo, si está bien seguro que tiene este bicho (o mal). Vea la página de la ayuda principal para más info sobre los ataques del caballo troyano en general y otro troyanos en particular:

http://www.irchelp.org/irchelp/security/trojan.html

Enterese del nombre del archivo que envía, hay muchos nombres en el dmsetup2 y el tamaño del archivo normalmente es alrededor de 81084 bytes

Una vez que tenga el nombre del archivo, haga lo siguiente:

Paso 1. Escribir /remove off

Paso 2. Escribir /unload -rs archivo.INI (asegure que uses el .ini en ves de .exe)

Paso 3. Escribir /remove archivo.ini (vea arriba "archivo" pondra ud el nombre del archivo que manda)

Paso 4. Escribir //say $findfile (c:\, archivo, 0)

Paso 5. Escribir //remove $findfile (c:\, archivo, 1)

Repita Paso 5 por tantas copias del virus como hay.

Por ejemplo si paso 4 le volvió un resultado de" 7" entonces necesitará hacer paso 5 esa cantidad de veces osea "7"

Paso 6. Escribir //say $findfile (c:\, archivo, 0)

Si resultado es 0 entonces ve al paso 7, de otra forma repite paso 5 de nuevo hasta que de resultado "0" en el paso 6

Paso 7. Escribir //say $lines (c:\autoexec.bat)

Paso 8. Escribir //say $read -ln c:\autoexec.bat

Donde "n" es el número que recibio del Paso 7

Si Paso 8 vuelve con el mensaje de "Filename- inauto"

entonces Escriba //write -dn c:\autoexec.bat

de otra manera haga que la persona abra el archivo del autoexec.bat en el Notepad (/run notepad.exe c:\autoexec.bat) y encuentre la línea con ahi "filename -inauto" y quite la línea completamente. Luego salve los cambios salga del Notepad.

Paso 9. Escriba /remove c:\ni.cfg

Paso 10. Escribir /remove mIRC.ini

Paso 11. Escribir /remove bakupwrks.ini

Paso 12. Cierre el programa de mIRC y reinicie su computadora

Paso 13. Vuelva a mIRC y escriba //say $exists (c:\ni.cfg)

Paso 14. Si éste le vuelve el mensaje "$False" entonces esta limpio del troyano, ahora esciba /remote on y /sreq ask. No haga downloads o bajar archivos o ejecutarlos de los cuales está inseguro sobre todo .exe y archivos .ini por otra manera no se ha quitado el archivo, busque ayuda de alguien en un canal de ayuda reconocido.

Si tiene dos plegadores dentro del c:\mirc\download\ llamados Odm2yif y suckOit Escriba lo siguiente

//run command /c deltree c:\ $+ [ $chr(255) $+ dm2yif] y /c deltree c:\ $+ [ suck $+ $chr(255) $+ it ]

ésto debe anularlos.

Si la barra de Titulo de mIRC dice "your mirc is buggy" lo puede cambiar escribiendo esto //titlebar [titulo nuevo]

ã Derechos Reservados Traducción por Oscar B.