Muchos usuarios de mIRC han sufrido takevoers cómo resultado de este troyano (un archivo que pretende ser de ayuda pero que no lo es)
Cuando intentas ejecutar este archivo, está diseñado para dar un mensaje de error y que parezca que ha habido una mala repección del archivo, mientras que en esos momentos se dedica a modificar el win.ini y a escribir otros 2 archivos.
La víctima probablemente llegará a la conclusión de que la transferencia fue incorrecta y en la mayoría de los casos, borrará el archivo original o simplemente se olvidará de él. Pero a estas alturas el daño ya está hecho.
¿Cómo soluciono el problema?
Borra el archivo winhelper.exe (haz una búsqueda y borra todas las posibles copias)
Borra el archivo c:\mIRC.ini
Abre el archivo win.ini con el block de notas y borra la línea que hace referencia al winhelper.exe (algo cómo ejecutar (run) c:\windows\system\winhelper.exe).
Mschv32.exe
Cuando ejecutas este troyano, se copiará a si mismo en c:\windows\system\Mschv32.exe. Después modificará el registro de Windows. Esto hará que el programa se ejecute cada vez que enciendas el ordenador.
Para comprobar si estás ya infectado con este troyano, pulsa Ctrl-Alt-Supr para ver qué programas se están ejecutando, y mira a ver si ves uno que se llame MSchv32.exe. Si lo hay estás infectado.
¿Cómo soluciono el problema?
Pulsa de nuevo Ctrl-Alt-Supr, para abrir la ventanuka de cerrar aplicaciones. Selecciona el programa llamado MSchv32.exe y pulsa en Finalizar Tarea. Espera uno 10 segunos, windows te pedirá que confirmes que quieres cerrar ese programa.
Borra el archivo c:\windows\System\MSchv32.exe (desde el explorador o desde msdos, cómo prefieras)
Ve al menú de inicio
Selecciona Ejecutar
Escribe Regedit.exe
Pulsa Aceptar
Te saldrá una especie de Explorador.
Primero vamos a hacer una copia de Seguridad
En el Menú Registro, elige la opción exportar Archivo del Registro
llamalo BacupRegistry.reg y guardalo en C:\windows
Selecciona Todo para exportarlo todo
Pulsa ok para guardarlo
Ahora vamos a recorrer directorios hasta llegar al que nos interesa.
Seleciona HKEY-USERS
Selecciona DEFAULT
Selecciona Software
Selecciona Microsoft
Seleciona Windows
Selecciona Current Version
Y por último selecciona RUN
Veras algo que diga c:\windows\system\MSchv32.exe. Selecionaló y pulsa Delete
Pulsa Yes para confirmar.
Sal del Registro
Ejecuta el mIRC
Pulsa Alt-R
Ve al menú View
Busca un archivo script.ini, si lo tienes selecionaló. Pulsa Find Text e introduce "opshit". Si encuentra la palabra opshit, mira cómo se llama el archivo en el textbox y apuntate el nombre y el path. Por ejemplo c:\mirc\scripts\ini o c:\script.ini
Ve al menú File y pulsa Unload.
Pulsa exit para salirte de los remotes.
En cualquier ventana teclea /remove c:\script.ini o el path que fuere.
Listo
