Soubor dmsetup2.exe - Trojský kůň 7/16/98 Uspustíme od dlouhosáhlých popisných statí a zaměříme se na praktické rady jak se "viru" zbavit, pokud jste si jisti že jste bylůi napadeni právě tímto "virem". Na hlavní stránce o útocích trojských koňů můžete najít více informací o Trojských koních jako takových a o některých specifických i informace podrobnější: http://www.irchelp.org/irchelp/security/trojan.html Je zjištěno, že jmen souboru, pod kterým je dmsetup2 rozesílán je mnoho a velikost souboru bývá typicky okolo 81084 bytů. Jakmile zjistíte, že takový soubor máte, proveďte následující: Krok 1. Napište /remote off Krok 2. Napište /unload -rs filename.INI (ujistěte se že jste nenapsali .exe ale .ini) Krok 3. Napište /remove filename.ini (viz. výše) Krok 4. Napište //say $findfile(c:\,filename,0) Krok 5. Napište //remove $findfile(c:\,filename,1) Opakujte krok 5 pro tolik kopií viru kolik jste jich zaregistrovali... Např. pokud krok 4 vrátil výsledek "7", musíte opakovat krok 5 7 krát. Krok 6. Napište //say $findfile(c:\,filename,0) Pokud je výsledek 0, přejděte ke kroku 7, jinak opakujte krok 5 znovu dokud nebude výsledek kroku 6 nula. Krok 7. Napište //say $lines(c:\autoexec.bat) Krok 8. Napište //say $read -ln c:\autoexec.bat Kde n je číslo, které bylo výsledkem kroku 7 Pokud krok 8 vrátí "Filename -inauto" pak napište //write -dn c:\autoexec.bat jinak otevřete ručně soubor autoexec.bat (/run notepad c:\autoexec.bat) a nalezněte řádku s tímto souborem -inauto a odstreňte ji. Pak soubor uložte a ukončete notepad. Krok 9. Napište /remove c:\ni.cfg Krok 10. Napište /remove mIRC.ini Krok 11. Napište /remove bakupwrks.ini Krok 12. Ukončete mIRC a REBOOTUJTE počítač Krok 13. Znovu otevřete mIRC a napište //say $exists(c:\ni.cfg) Krok 14. Pokud je výsledek předchozího kroku $False, je proces léčby ukončen, napište /remote on a /sreq ask. Nestahujte podezřelé soubory obzvláště s koncovkou .exe a .ini; pokud se soubor nepodařilo odstranit, vyhledejte pomoc u někoho ze známých help kanálů. Pokud vám v adresáři, který mIRC používá pro download zůstaly 2 adresáře pojmenované ˙dm2yif and suck˙it (ty podivné znaky by měly odpovídat kódu 255 v ascii tabulce), napište příkaz: //run command /c deltree c:\ $+ [ $chr(255) $+ dm2yif ] and /c deltree c:\ $+ [ suck $+ $chr(255) $+ it ] který by je měl smazat. Pokud titulek vašeho mIRCu obsahuje sekvenci "your mirc is buggy", můžete ji změnit příkazem //titlebar [nový titulek]