Soubor MSchv32.exe - Trojský kůň
---------------------------------            
zpracoval Allaik 22-06-98

Popis
-----------

Tento trojský kůň je velmi podobný jako router32b. Nahraje se do paměti při
startu počítače. POkud ho spustíte, zkopíruej se do adresáře
c:\windows\system\MSchv32.exe. Pak pozmění registry ve windows.
To způsobí, že se bude spouštět vždy když spustíte windows.

Kontrola
-----

Pokud se chcete přesvědčit, že jste infikováni trojanem MSchv32.exe, zmáčkněte
kombinakci kláves ctrl-alt-del, čímž se objeví okno umožňující uzavřít windows.
Poskytuje pohled na seznam programů, které právě běží. Podívejte se zda mezi
nimi není MSchv32.exe. Pokud ano, jste infikováni.

Instrukce k vyléčení
----------------------

1. Stiskněte ctrl-alt-del. Objeví se "uzavírací" okno. Vyberete program
   MSchv32.exe a klikněte na "Konec úkolu". Vyčkejte asi 10 sekund,
   windows se vás zeptají zda chcete potvrdit ukončení programu. Klikněte na
   "Konec úkolu".

2. Vymažte soubor C:\windows\system\MSchv32.exe. (Můžete použít např. Průzkumník
   nebo okno DOSu)

3. Přejděte do menu Start -> Run. Napište "regedit.exe".
   Nejprve bude rozumné si zazálohovat soubor s registry.
   Klikněte na Registry Menu -> Export Registry File
   Soubor: C:\windows\BackupRegistry.reg
   Rozsah Exportu: Vše
   Pak zmáčkněte Ok pro uložení.

4. Nalezněte klíč: HKEY_USERS -> .DEFAULT -> Software -> Microsoft 
    -> Windows -> CurrentVersion -> Run
   Uvidíte klíč, který obsahuje: "C:\windows\system\MSchv32.exe"
   Vyberete ho, a zmáčkněte výmaz -> klikněte "Ano" pro potvrzení

5. Spusťte Mirc klient, stiskněte kombinaci Alt-R. 
   Přejděte do menu "View", pokuste se nalézt soubor nazvaný script.ini. 
   Pokud ho najdete, vyberte ho. Stiskněte "Find Text" (CTRL-F) a napište "opshit"

   Pokud najdete slovo "opshit", podívejte se na název právě editovaného souboru.
   Zapamatujte si cestu a jméno souboru. Např.: C:\script.ini nebo C:\mirc\script.ini
   Poté přejděte do menu "File" a stiskněte Unload.

6. Znovu opusťte Mirc. 
   V libovolném okně napište /remove c:\script.ini, resp. užijte cestu kterou
   jste nalezli v předchozím kroku

----------------------------------------------------------------------------------------

Úspěšně jste odinstalovali tento trojan. Mnoho štěstí!

Více informace k dalším trojanům naleznete na adrese:
http://www.irchelp.org/irchelp/security/