Il mio antivirus ha rilevato il file scrsvr.exe infetto da virus w32.opaserv.worm e lo ho eliminato. Ho raccolto informazioni su questo virus sul sito della Symantec e ho corretto tutti gli errori provocati dal worm(modifiche nel file di registro di windows, in win.ini ecc.) sia manualmente sia con il removal tool di symantec. Il tool mi dice che ha eliminato con successo il worm e in effetti facendo una scansione completa del sistema non si rileva nulla.
Il problema è che mentre lavoro, ad intervalli di circa 15' il Norton AV mi avvisa di aver trovato il solito file che io puntualmente elimino e successivamente se riavvio il sistema mi ricompaiono i comandi di esecuzione del file infetto in win.ini.
Chi mi può aiutare?

Nel registro nel percorso:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
ScrSvr = %Windows%\ScrSVr.exe

c'è ancora (ricontrolla) questa voce relativa al file scrsvr.exe?

Logicamente in win.ini sezione [windows]hai tolto la voce:

“%Windows%\SCRSVR.EXE”

Al limite installa un programma che uccide i processi da utilizzare con il processo relativo a questo file (appena il processo si attiva magari cercalo nel registro con questo nome).

Ciao

nel registro non c'è e nel win.ini lo elimino e mi ricompare al riavvio.
Mi dai ulteriori informazioni sul programma che uccide i processi?
>Ciao

Anche trend micro dice di fare le stesse mosse che hai fatto e niente più..........ma dice inoltre di fare una scansione on line.......prova, altro non saprei.....questo virus è un backdoor
Il file ScrSVr.exe è stato cancellato?

Ciao

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

Originariamente inviato da valeriaccio
[B] MA COME LO BECCO?

Forse l'unica soluzione e installare un programma che vede i processi attivi e quando riconosci un processo strano lo devi cercare nel registro...........

Ciao

dove lo trovo un programma del genere? non ne conosco

http://digilander.libero.it/andreaing/troian_protection.htm

c'è winpatrol o sentinel.

Ciao

Originariamente inviato da valeriaccio
[B]IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

Hai provato ad eliminare scrsvr.exe in WINDOWS e ScrSvrOld in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ e ScrSvr in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ in modalità provvisoria?
Ciao Marco(amvinfe)

ho ricontrollato ciò che diceva carlo ma non c'è nulla nel registro di configurazione di windows, nè nella posizione da lui indicata nè altrove.
Adesso ho installato il Winpatrol e il Northon personal firewall, gli avvisi dell'antivirus sono diminuiti ma ci sono sempre(file scrsvr.exe) e winpatrol mi avvisa sempre dei tentativi di modifica del win.ini.
Il problema seppur circoscritto non è risolto perchè non si riesce a capire cosa fa rigenerare il file scrsvr.exe.
Se qualcuno sa darmi altre dritte è il benvenuto.

ciao Valerio:confused:

succede anche a me, ho pulti il win.ini e il file di registro regedit, cancellando il scrsvr.exe ma ogni tanto PcCillin mi segnala il virus e me lo mette in quarantena.
Per questo faccio uppare il tuo post!:)

Ciao a Valeriaccio e a tutti quelli che condividono lo stesso mio problema con Opaserv. Cio' che e' veramente incredibile e' che nessuno dei siti antivirus ufficiali tratti di questo fenomeno! Ma, a quanto vedo, non solo solo.
Quanto posso dire per cercare di dare un contributo alla comunita' e' dire che ho osservato che, se non sono connesso ad internet, l'antivirus Norton non mi da' mai sagnalazione che e' in corso una nuova infezione... in altre parole, l'infezione avviene solo se sono connesso!!! - INOLTRE, ho notato che, pochi secondi prima che mi appaia la finestra di allarme, la icona del collegamento internet segnala piena attivita', e, guardando meglio in dettaglio, ho visto che e' in corso un download, anche se magari, in quel momento, non sto navigando. IL SOSPETTO E' che, anche se abbiamo ripulito il computer alla perfezione, il worm ritorni "da solo" attraverso la connessione internet (non chiedetemi come, considerato anche che il mio provider mi assegna un IP dinamico, quindi ogni volta diverso).
E poi.... nessuno ci ha mai spiegato come abbiamo contratto il virus la prima volta! Visto che non si propaga per posta elettronica, ma attraverso networks! E, nel mio caso, si tratta di un singolo PC!!!
Come dicevo, scusate l'ignoranza, questo e' tutto quello che posso dire!!! Ciao!

Non essendo io infetto da questo worm, non posso fare un test direttamente sulla mia macchina, ma rileggendo accuratamente ciò che viene scritto in nai.com la macchina infetta dovrebbe avere in C: i files C:\SCRSDAT.IN, C:\SCRSDAT.OUT (local infection)
C:\TMP.INI (when machine remotely infected) ed inoltre deve avere un collegamento diretto ad un sito, che ho letto da qualche parte ma non ricordo dove, che una volta connessi si collega e scarica in automatico l'.exe. Cerco di spremere le meningi e ricordare dove cavolo l'ho letto, nel caso sarà mia premura postare l' URL, per poi poterlo bloccare nei Pc con Firewall installato.
Marco(amvinfe)

http://www.sophos.com/virusinfo/analyses/w32opaservb.html

http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=101

che virus maledetto.......

Ciao

This worm propagates via network shared C:\ drives by looking for machines in the same domain that has these drives with full access. It registers itself as a service process and repetitively scans for machines connected to the network. It uses SMB (Server Message Block Protocol) commands to access the shared drives.

It also appears that this worm sends information to the site http://www.op<blocked>soft.com, and that it has the capability to download updated copies of itself from this site. However, at the time of writing, this site is currently down and inaccessible.

Upon execution, this worm drops a copy of itself named SCRSVR.EXE in the Windows directory of both the local machine and all the remote machines with shared drives.

It then deletes the copy that was originally executed, provided that this copy is not located in the Windows directory.

It also drops the following files in the root directory of drive C.

SCRSIN.DAT
SCRSOUT.DAT
SCRLOG2
It uses these files during the information exchange with http://www.op<blocked>soft.com. The third file, SCRLOG2, is the new file dropped by this OPASOFT variant, and is not dropped by earlier versions of the worm.

da: trendmicro

è ovvio dunque la presenza di un trojan all'interno di una macchina infetta, ed esistono 3 varianti del virus!

io oltre a tutto ciò ho provato anche a mettere di sola lettura il file win.ini e funziona!

Ho installato un firewall (Agnitum Outpost Firewall 1.0), l'ho scelto nella versione FREE, e mi trovo benissimo, adesso non ho piu' il problema... Il firewall ha anche una finestra che visualizza tutti i tentativi di connessione "sospetta", che evidenzia una attivita' abbastanza frenetica (in media, un tentativo ogni 8 minuti).
Consiglio il firewall a tutti voi che avete questo problema... la navigazione diventa veramente molto piu' sicura!

raga, il virus lo richiappiamo tutte le volte che ci colleghiamoa una rete, dsl o dial-up che sia.
Questo non so bene perchè, perchè io ho una dial-up ma tutte le volte che mi collego mi ribecca.
Ho letto che c'e' un apatch per windows per la sicurezza dello sharing dei file e dei dischi, lìho installata e mi si è crashato il pc!!!:(
Ma disabilitando la condivisone del disco c o mettendola in sola lettura o protetta da password, non mi ritorna il virus.
Ma non capisco sta' storia della patch Ms che doveva risolvere.
P.s: a me il tools della symantec non ha trovato un bel niente.....

Fatemi sapere

Ciauz!!!!:D :D :D

non so se è stato il nuovo removal tool di simantec o cosa, ma attualmente il norton non mi segnala + il file scrsvr.exe.
Il win patrol mi segnala ogni tanto la riga di comando che tenta di scrivere nel win.ini anche se disattivandolo non rilevo problemi.
Per sicurezza ho protetto il file win.ini da scrittura.

Sì,
ma mettendo in sola lettura se faccio una modifica da windows sul sistema che interessa il win.ini non me la salva, è una soluzione provvisoria ma da dove c***o arriva sto virus tutte le volte???



Ciauz!!!!!:D :D :D

Ho riscontrato lo stesso problema su tre macchine con win 98 connesse in rete.

Il virus mi ricompare anche se non mi collego a windows.

Ed ho provato a fare la procedura di disifenttazione manuale non le macchine scollegate dalla rete.

Maaaaaa mi sto scemunendo.
E poi non capisco virus molto più potenti come Bugbear e klez vengono tolti facilmente tramite i fix, questo invece sia con i fix o manualmente ritorna sempre.

Sono due giorni che combatto con questo c***o di virus..
Ho due macchine in rete, una con Windows 98 SE e l'altra con XP e nonostante scrsvr.exe faccia di tutto per infettare la macchina con XP, sembra che sia invano. Vorrei sapere se è vero (come mi pare di aver letto che i S.O. Xp non vengono infettati dal virus, ciò potrebbe risultare una possibile soluzione al problema, upgradando Windows 98. Ho notato che il virus ricompare solo con la connessione a internet attiva, scaricando dati da indirizzi sconosciuti (tipo cablevision.qc.ca - asm.bellsouth.net - dial.ipervia.it ecc..) ogni 10 min c.a. Ma se viene bloccato con un firewall può aumentare anche fino ad una volta al minuto, con scrsvr.exe in continua attività in background. Ho utilizzato tutti i tools possibili e tutte le istruzioni manuali che ho scovato su tutto l'web, ma puntualmente ad ogni connessione alla rete si ripresenta. Inoltre ciliegina sulla torta norton antivirus 2002 aggiornato al 2/10 bloccava l'attività virale, dopo l'aggiornamento al 9/10 non mi blocca più niente. Ho anche istallato la famosa patch della Microsoft senza alcun risultato.VI PREGO HELP!!

E' da giovedi scorso che combatto contro sto maledetto worm. Ho dovuto ripulire ben 6 pc collegati in rete. Sono riuscito a eliminare il problema su tutti i pc tranne quello che funge da server (che guara caso e' quello con cui si accede a internet). Ho notato anch'io che il virus ricompare solo se si e' connessi, indipendentemente dal fatto che si usi outlook o explorer (e' sufficiente cioe' che vi sia accesso remoto). Leggendo qua e la ho trovato che dovrebbero esserci + versioni di questo virus...e se fossimo infetti da qualche variante che non viene ancora rilevata dai principali antivirus?:confused:

mah...secondo me non ne sono venuti a capo...
anche con la patch microsoft, fà uguale.
Se mettete però i dischi condivisi in sola lettura o protetto da password, il virus anche se connessi non entra.
Però mi chiede: come fà sempre a ricapitarmi su quella macchina mentre su altre , sempre in rete, mi collego diretto anche lì con isdn ma non arriva??:confused: :confused:
A mio avviso c'e' qualche altra traccia sul pc che fà ricomparire sto' worm...:rolleyes:

Fatemi sapere.....


Ciauzzz!!!!!:D :D :D

Taglio la testa al toro e aggiorno tutto a XP:mad:

Almeno posso usare ancora le condivisioni...


Ciao:cool:

Avete altre news raga? ho i clienti che mi fanno uscire pazzo per sto worm. :(

non avevo voglia di leggere tutto ma avete provato questo?
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe

sì ma in alcuni pc niente da fare non rileva niente, e anche se toglie, quando connesso ad internet...riappare

domani devo andare a ripulire una rete dallo stesso virus ..... vi faro' sapere se mi viene in mente qualcosa ... di certo spengo l' hub e me li pasticcio uno alla volta!!!

Se hanno win98 connettiti a Internet dopo aver debellato il virus e vedrai la magia..... :(

Do questa informazione perchè non mi sembra d'averla letta in nessun post, nel caso mi sbagliassi, due le risposte: o sono rinc********o o devo al più presto recarmi da un oculista...

Controllando Pc infetti da questo simpaticone di worm, ho trovato non solo la presenza di tutte le chiavi di registro modificate, del file scrsvr.exe in WINDOWS, ma anche e soprattutto di un file, nella stessa Directory il cui nome è molto simile al primo. L'ho cancellato e, almeno per il momento, non mi hanno più segnalato la presenza di Opaworm. Il file in questione è, come detto in WINDOWS e si chiama Crsvr.exe.
Fatemi sapere.
Marco(amvinfe)

non sono ancora andato a disinfettare ma mi sono messo a studiare ( e pure la rima!!!!)

avete letto questo?!?!?!?
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

La patch Microsoft non risolve nulla....

Originariamente inviato da amvinfe
[B]Il file in questione è, come detto in WINDOWS e si chiama Crsvr.exe.


Attenzione! Potrebbe essere la chiave di volta:) :) :)
Tanks

doppio..

avete provato cosi':

avviate in modalita' provvisoria
eseguite questo:
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
eseguite questo
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
riavviate ....

l' ho fatto e anche connettendomi a internet non c'era piu' traccia del virus

per debellare questo figlio di puttana cosa devo fare passo per passo?? non capisco.......

ho provato quel cazzo di tool della symtec...non trova nulla.......

alzare gli occhi e leggere l' hai fatto?:cool:

il tool non funziona

Originariamente inviato da Thunder Vex
[B]per debellare questo figlio di puttana cosa devo fare passo per passo?? non capisco.......

ho provato quel cazzo di tool della symtec...non trova nulla.......

Un pochino di educazione non guasterebbe..........:rolleyes:

Ciao

proposta per i mod:
quando c'e' una discussione importante su di un virus (come questa) non si potrebbe metterla in rilievo

aggiungo.... non si potrebbe accorpare qualcuna di quelle gia' in rilievo e forse eliminarne qualcuna???

enjoy!!!

scusa bilancino...hai ragione...solo che non riesco a togliere sto virus........e mi sono fatto prendere male...

raga vi prego cosa posso fare......come intervengo mamualmente??...non riesco a fare niente....e soprattutto che problemi porta sto coso...oro l'ho messo in quarantena....ma sembra che il pc funzi bene...

Purtroppo non ti so aiutare, in quanto anche io sono nella tua stessa situazione, cmq non per fare il seccatore ma hai la signature irregolare.. ;)

non voglio cantare vittoria troppo presto ma facendo cosi' sembra che sia sparito:

avvio in modalita' provvisoria
lancio il fix della symantec
lancio la patch della microsozz
riavvio

e' da ieri sera che non c'e' piu' traccia del virus

il virus è in quarantena...il tool lo rileva lo stesso??....perche sia bitdefender che symtec non lo trovano...

cosa devo fare per vedere se quel virus è ancora all'interno del sistema o isolato??

come devo rimuoverlo dalla quarantena?? aiuto...vi prego..

http://www.viruslist.com/eng/viruslistfind.html?findTxt=opasoft&x=44&y=9

qui ci sono altre informazioni in cui si parla di un file temp.ini.........io non avuto modo di avere sotto mano macchine infette quindi non posso stabilire come rinasce..............

Ciao a Tutti

opaserv è un worm che colpisce i sistemi windows 95,98,me attraverso un piccolo buco di windows. le operazioni per la rimozione sono diverse:
1- rimozione del file scrsvr.exe dalla cartella di windows
2- rimozione da win.ini della stringa run=c:\windows\scrsvr.exe (o simili ...)
3- installazione security update di windows9x
4- rimozione dal registro di windows.
5-rimozione condivisione file e stampanti in accesso remoto
le prime due operazioni si possono facilmente effettuare attraverso l'installazione del opaserv fix removal tool dal sito della symantec:
http://www.symantec.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html
la pagina segnala anche il sito della microsoft da cui scaricare la patch per windows 9x:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.
editare poi con regedit in "start" - "esegui" - "regedit.exe" il registro di windows e trovare tutte le riche che contengano la stringa scrsvr.exe,procedere con la loro eliminazione.
per eliminare la condivisione file e stampanti in accesso remoto: start - impostazioni - pannello di controllo - rete - tcp/ip accesso remoto - binding - deselezionare condivisione file e stampanti.

Ok, ma ricompare sempre mentre si è collegati ad internet ... Boh, credo di averle provate tutte e ho dei clienti che minacciano di uccidermi ... penso che passerò ad accendere un cero in Chiesa.

se il worm ricompare , dopo la completa pulizia, e la connessione effettuata è sempre via modem significa che è ancora abilitata la condivisione file e stampanti su tcp/ip di accesso remoto. il worm in questione infatti non è un mass mailing worm scaricato da posta o attraverso un file "infetto", ma viene mandato sfruttando la condivisione file e stampanti che windws 9x abilita automaticamente anche su accesso remoto quando si ha anche una scheda di rete (che appunto richiede una condivisione file e stampanti).

inoltre per essere sicuri della completa pulizia è a volte richiesta la scansione del sistema anche via dos

resta pacifico che l'antivirus sia installato e aggiornato onde evitare che i famosi clienti non si mettano a gridare perchè oltre all'opaserv il sistema si è beccato il bugbear... con relativi errori di spool, backdoor e rilevazione password .

Questi virus sono una brutta bestia visto che anche i tools della case produttrici di antivirus non risolvono definitivamente il problema............

Ciao

il tool pulisce momentaneamente windows ma , come in questo caso, se rimane il bug di windows, il worm ritorna. ossia se io lascio la porta aperta (condivisione file e stampanti) non ho neanche bisogno di scaricare posta o file per ricevere il virus, basta che l'hacker faccia lo scan degli ip (sia essi dinamici che statici) e che invii ai sistemi aperti il famoso scrsvr.exe.

Provato a fare come ho scritto per BugBear?
Symantec infatti consiglia di disabilitare il ripristino di configurazione, riavviare e fare la scansione.
Marco(amvinfe)
http://forum.hwupgrade.it/showthread.php?postid=3714264#post3714264post3714264

A me aveva infestato il pc del lavoro, ed il tecnico di rete ha detto che l'unica soluzione eè non condividere più l'intero hard disk ma bensì una sola cartella, magari crendola appositamente e chiamandola "condivisione"... Il virus infatti lavora soltanto quando siamo in rete ed esclusivamente se riesce a vedere la cartella c:windows di un qualunque altro pc che conseguentemente infetta.....
In effetti da quando ho fatto questa modifica alla condivisione del virus non ne ho più avuto notizie. E si che sono ormai 20 giorni.....

Ho rimosso i file con nome Brasil*.* che sono sotto la cartella windows, il virus non sembra più tornare quando sono collegato ad internet. Ho trovato questa informazione su un sito (..... non ho salvato il link ...... ) dove si parlava di una variante del virus che crea quei due files.

Originariamente inviato da mcoferra
[B]Ho trovato questa informazione su un sito (..... non ho salvato il link ...... ) dove si parlava di una variante del virus che crea quei due files.

I files sono BRASIL.EXE BRASIL.PIF PUT.INI in C:\WINDIOWS, per rigenerarsi su collega al sito www.***.com.** (ATTENZIONE quindi all'URL).
Un esempio per questa variante del worm, che è la E, se per McAfee era sufficiente avere il motore di scansione 4.1.60 e le definizioni 4226, ora con la variante E sono necessarie le definizioni 4230. Quindi fate attenzione ad avere sempre le impronte virali aggiornate.

Marco(amvinfe)

P.S.
Ho rimodificato l'URL

se la cosa può esservi utile.....
in C: avevo un bel tmp.ini ed un suo amico che si chiamava put.ini (non credo serva aggiungere che quel put deve essere amico della tana.......)...
rinominando entrambi come .old (dopo aver fatto tutte le cosuccie descritte nel post....) come per magia il virus non si è più ricreato.....

Ciauz
Boboli

Cnfermo che eliminando i files brasil*.*, il virus non torna più, inoltre ho ritrovato il link da dove ho preso l'informazione:

http://www.europe.f-secure.com/v-descs/opasoft.shtml

Saluti

io non riesco a toglierlo!
anche togliendo il brtazil.pif o .exe
sti antivirus non tolgono un bel nulla!
e poi voi dite di condividere stampanti etc etc
ma io con la rete ci lavoro e mi servono le condivisioni non mi sembra una soluzione non condividere file e stampanti
ciauz!
cmq le ho provate tutte
con tutti i fix tool esistenti
con tutti gli antivirus
cancellando sia la riga del win .ini
che le voci sotto regedit!
ma puntualmente sto virus si riforma + veloce che mai!
lunedi chiamo quelli della nortono visto che a studio abbiamo i software in regola e mi lamento un po magari mi trovano la soluzione!
ciauz e se qualcuno risolve mi faccia sapere!

Nocturn...visto che mi sono sma@ronn@to non poco per toglierlo...ma alla fine ci sono riuscito....prova a verificare (ed eventualmente elencare qui...) quali e quanti file *.ini hai nei tuoi pc (se sei in rete devi verificare in tutti)...pensa che il mio problema sta in un file .ini che si era creato in un client della rete (ne il server ne quello da cui mi connetto ad internet....) e ricreava il virus che poi si diffondeva nella rete....

file .ini non ne ho trovato neanche uno di quelli elencati finora
ma ho trovato la riga run: etc etc che fa avviare il virus!
e l'ho cancellata!
poi ogni tanto ma non sempre torvo le voci nel file di registro!
ma a volte neanche quelle dipende da pc a pc!
e poi trovo i file brazil.pif brazil.exe scvcr.exe alevir.exe marco.scr!
questo è quanto!
formattare non posso formattare!
ma la cosa strana è che su altri pc di miei amic l'ho tolto al volo!
qui torna sempre!
che balls se hai siggerimenti sono ben accetti!
ciao e grazie

...quanti PC hai in rete ???
dovresti verificare tutti i file *.ini (lo so.. two balls).....purtroppo in quelli si annida il comando che ti fa partire il file che ti fa ri-acquisire il virus......e se ce l'hai su un client ti infesti la rete.....inoltre dovresti cancellare tutti i files incriminati (brasil etc....) da tutti pc (lo so altre two balls...)...se qualcuno non te lo fa cancellare devi farlo da DOS.....
io ho dovuto cancellare i file conosciuti da DOS; rinominare alcuni .ini in .old per verificare che il sistema partisse comunque e poi eliminarli...modificare il win.ini manualmente, usare il tool della symantec......
a disposizione.....ciao Roby

Anche io ho avuto il tuo problema.
L'ho risolto in questo modo:
Collegati al sito www.f-secure.com e scaricati il fix per opaworm, dopo averlo lanciato e fatto lavorare, trova il worm e lo cancella.
Dopo entra con il comando regedit in esegui (start ed esegui),vai in hkeylocalmachine,quindi in software,poi in microsoft,poi in windows,quindi in run e cancelli nel riquadro alla tua destra tutte le tracce che parlano di alevir.*,brasil.*,scrsvr.*,marco!.scr.
Chiudi e vai in runonce e cancella di nuovo il tutto.
Chiudi e vai in runservice e cancella di nuovo il tutto.
Fai attenzione alle varie cancellazioni perchè ti trovi nel file di registro di Windows!
Dopo fai ripartire il computer e munisciti del migliore antivirus in commercio (a mio parere) quale f-secure (costa circa 230 euro) e con quello sei tranquillo.
Buona fortuna.

ueeeeeeeeeee..... meno male che esiste hwupgrade
credevo di impazzire, adesso che so che non sono solo sto meglio ;)
due mezze giornate passate intorno ad una rete con sto c.. di opaserv, con variante G, E che ricompare ad ogni connessione internet. Tra l'altro mi è comparso anche il Funlove e lo spaces (rimossi senza problemi).
PS. Il cliente il virus se lo è beccato con il norton 2002 aggionatissimo su tutti i pc della rete.

Comunque in questa discussione ho lettto un po di cose interessanti e domani le proverò

Un'altra cosa. Sul computer dove appaiono i continui avvisi di file infetti (alevir, marco! brasil etc...etc...) se si prova a stampare compare uno strano messaggio di errore mentre le stampe inviate sulla stessa stampante ma da altri pc della rete funzionano!!! a qualcuno succede anche questo?

saluti a tutti

ecco cos'ho inutilmente tentato
Ho spento l'hub e poi su ogni computer della rete ho disattivato la condivisione file/pr, riavviato in modalità provvisoria, passato il tool fixopasrv e quello di f-prot (che non hanno mai trovato niente!!), rimosso tutte le voci sospette dal registro e win.ini (alevir.*,brasil.*,scrsvr.*,marco!.scr) e ricercato i file mensionati che dovrebbero annidarsi nella root o nella windows.
Ma purtroppo l'opaserv continua a venir fuori. Non solo, su un pc il norton ha rilevato l'scrsrv.exe quando il pc era scollegato dalla rete e da internet.

Allora? qualcuno è riuscito ha capirci qualcosa?

prova a fare una ricerca su tutto l'HDisk dei file scr*.* opaserv*.* brasil.* e vedi cosa salta fuori.....
poi fai pure una ricerca dei file *.ini e vedi se ce ne sono di modificati recentemente o con delle date future (io ieri sera in un client al lavoro avevo un bel 13/11/2106.....) ed eventualmente verifica il loro contenuto... :mad: :mad: :mad:
in bocca al lupo!!!!!

SPARITI TUTTI?
Ho l'impressione di essere rimasto il solo ad aver problemi con l'opaserv!!!
Per favore, qualcuno che si degni di darmi un'indicazione esiste?

Grazie Boboli, però la vedo bruttina... un'altro mio cliente con 5 computer collegati in rete, ha chiamato proprio stamani per lo stesso virus. Anche li, ho provato tutte le varie procedure ma continuano a comparire i messaggi dei vari scrsvr.exe o brasil o marco! o alevir che il norton blocca.
Inoltre capita che sui computer dove il norton blocca questi file le stampanti smettono di funzionare; appena si lancia una stampa compare il messaggio "Impossibile impostare la stampante".
Per risolvere questo problema basta rimuovere e reinstallare le stampanti.

Ho anche provato ad installare winpatrol e zonealarm per tenere sotto controllo il virus ma rilevare niente di apparentemente strano.

A questo punto mi metto a spulciare i .ini come dici tu boboli, se non trovo niente proverò a togliere la condivisione del disco C condividendo solo alcune cartelle.
Una cosa: I tool non servono a niente!!!

grazie ancora, ma gli altri hanno risolto tutti?

ALLORA.... in definitiva, non sono riuscito a individuare e rimuovere chi genera l'opaserv e secondo me NON SI RIMUOVE. Forse però la soluzione (se così vogliamo chiamarla) sta nel togliere la condivisione all'intero disco C: e metterla solo alle cartelle che interessano al cliente, togliendo la condivisione quindi alla root e alla cartella windows, come ho letto da qualche parte in questa discussione.. mi pare

In una rete di 5pl da stamani non hanno più avuto problemi dopo aver fatto come descritto sopra (forse un po presto per cantare vittoria) se non funziona poi

Riassumendo i vari passaggi raccolti in questa discussione:

...da eseguire su tutti i pc della rete.

1) Scollegare tutti i pc dalla rete

2) Riavviare in mod. provvisoria

3) trovare ed eliminare/rinominare tutti i seguenti file:
\put.ini
\tmp.ini
\institu.vat
\gustav.sap
\scrsin.dat
\scrsout.dat
\windows\crsvr.exe
\windows\scrsin*.*
\windows\opas*.*
\windows\brasil*.*
\windows\alevir*.*
\windows\marco*.*
\windows\instit.bat
e chi più ne ha più ne metta

4) nella chiave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
rimuovere qualsiasi voce che riguardi i file seguenti
run=c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr,c:\windows\scrsvr.exe,c:\windows\instit.bat

5) stessa cosa nel win.ini nella sezione [WINDOWS]

6) scaricare la patch microsoft per il bug di windows
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp

7) TOGLIERE LA CONDIVISIONE ALL'INTERO DISCO e condividere solo quelle cartelle che interessano. L'importante è che rimangano non condivise la cartella windows e la root

8) Nel caso di problemi con le stampanti, rimuovere e reinstallare

9) Installare un Firewall. Io ho provato a mettere zonealarm (MI BLOCCA UN CASINO DI ACCESSI). Ho installato anche winpatrol per controlare le eventuali modifiche al registro.

10) Riavviare e provare. Se i messaggi del norton continuano .. .. ... ........................................................................................ installate windows 2000 o XP ;)


i tool della symantec e f-prot non credo facciano più di questo e comunque a me non hanno mai individuato nessun file ma piuttosto hanno lasciato file come put.ini etc... nel pc.

Spero di essere stato utile a qualcuno
saluti a tutti

Ciao ragazzi,
anche io combatto nei ritagli di tempo con questo simpatico worm, e ho notato che oltre ai files di cui avete parlato fin'ora, c'è un richiamo ad un file batch nel win.ini con un nome molto banale (ora non lo ricordo) ma facilmente confondibile con un file di sistema, che richiamava un altro file batch, che richiamava un altro file batch (con una serie di ifexist..) che era finalmente il file che ho scoperto installava il worm...
:s

Ciao,
oltre a rimuovere tutto (chiavi registro, file ,etc.), penso che il virus si "propaghi" da solo sotto internet magari ha un range di IP (una miriade) nel quale tenta di entrare, e quelli che hanno la condivisione in lettura scrittura senza pw, se lo beccano tutti.
Io penso che la cosa migliore al momento sia rimuovere il virus e le chiavi "bacate", poi togliere dal tcp/ip dell'accesso remoto nella cartella Binding il flag su condivisione file e stampanti.
A meno che non dobbiate fare una rete su tcp/ip di accesso remoto.....così funziona!:D
Il fatto è.....chi è che manda sto' opaserv? da che server parte?:confused:


Comunque meglio di nulla...........;)

Commenti e suggerimenti sono ben accetti...


Ciauz!!!!!!!!!!:D :D :D

E SE IL VIRUS NON FOSSE ANCORA CONOSCIUTO?
Mi pare che le modifiche al registro e al win.ini vengono fatte anche con l'antivirus attivo e bello aggiornato.
Quindi il worm, che è gia attivo in memoria fa quello che gli pare, non viene bloccato direttamente. Mentre i famosi file alevir, marco!, brasil etc... vengono tutti perfettamente riconosciuti ed eliminati o spostati in quarantena dall'antivirus.
Quindi non possono essere quelli che causano di modifiche o altri strani effetti.
Il baco che fa tutto questo deve essere un'altro, che se ne sta tranquillamente annidato sotto la windows e magari mascherato dentro un altra applicazione che al controllo del firewall passa tranquillamente perchè conosciuta.

........non sta in piedi?
forse è come dici te ANAKIN_7x... gli attacchi partono in modo random da internet (strano però che quando lo becchi una volta poi non ti molla più). Voglio provare anche ad eliminare dal binding del tcp/ip di accesso remoto la condivisione file (ma poi IExplorer, Outlook nonchè applicazioni filesharing chat etc... funzionerà tutto?)
Comunque grazie per il suggerimento

PS. il problema lo devono avere in molti; basta fare un giretto per i tanti forum hw simili per trovare discussioni tipo questa.

red eye... il file batch è per caso instit.bat?

io ancora non ho risolto sono stati apposto per 24 oreora è tornato!
che balls non so + che fare se qualcuno sa qualcosalo mettesse online!
ciauz!

anche nel mio posto di lavoro è successo di avere una decina di client win98 infettati dall'opaserve. Quello che abbiamo fatto io e i miei colleghi è stato di: staccare i cavi di rete, applicare i removal tool, eliminare la riga del win.ini, modificare il registro di configurazione ed eventualmente eliminare i file infetti come suggerito dalla norton e/o dalla mcaffe ma come rimettevamo i cavi di rete il virus ricompariva di nuovo, fino a quando ci siamo resi conto che c'era un pc che non avevamo preso in considerazione in questa fase di pulizia xchè pensavamo non fosse infetto, invece semplicemente non aveva l'av aggiornato => l'opaserve non veniva rilevato su quel pc che continuava a spargere il virus indisturbato agli altri pc in rete :D
devo dire però che una 10-na di giorni ci sono voluti x arrivare alla soluzione ;) :)

ATTENZIONE!!!
Come dicevo, l'opaserv è solo l'effetto non la causa
Nei computer infetti, deve essere installato un programma che l'opaserv usa per infiltrarsi, oppure il programma stesso, richiama e tenta si scaricare l'opaserv.
Il misterioso programma non deve essere un virus, altrimenti l'antivirus lo bloccherebbe.

Oggi pomeriggio, su una rete di 6 pc infestata dall'opaserv ho individuato, grazie allo zonealarm il file GMT.EXE e il CMESYS.EXE che tentavano l'accesso all'indirizzo 127.0.0.1 porta 1038.
Questi file sono stati installati dal cliente con un certo programma GAIN - CME II application che dovrebbe avere la funzione di velocizzare il collegamento internet e questo è il link che ho trovato nella cartella del programma http://www.gatoradvertisinginformationnetwork.com
Il programma viene installato nella C:\PROGRAMMI\FILE COMUNI\CMEII

Con mia sorpresa ho ritrovato il CMESYS.EXE nella guida di WINPATROL e viene classificato assieme ad altri come spyware pericoloso e viene consigliato proprio di rimuoverlo.

Ecco i file da tenere sottocchio:
BARGAINS.EXE
NEWDOTNRT.DLL
SAVENOW.EXE
DW.EXE
WNAD.EXE
AORNUM.EXE
CTBCLICK.EXE
SP.DLL/SP.REG
TSADBOT.EXE
GAIN_TICKLER*.EXE
GTM.EXE
CMESYS.EXE <------- sto figlio di p....
PTSNOOP.EXE
GATOR.EXE

fatevi subito una ricerca sia nella WINDOWS che nella cartella PROGRAMMI; se trovate uno di questi file probabilmente avete trovato chi richiama l'opaserv. uccidetelo!

anche io ho avuto lo stesso medesimo problema con opaserv che mi diceva tutta la menata di scresv.exe brasil e cosi via....o scaricato diverse fix e poi ritornava..morale ho dovuto formattare 3 partizoini su 3 poi siccome rimane ancora fare scansione online con avg e rimuoverlo,se uno formatta e schiaccia qualche eseguibile doo il virus ritorna..
ciao

AAAAAAAAAAHHHHHHHHHHH!!!!!!!!!!!!!!!!!!!!!!
beccato per la seconda volta al lavoro...e sta volta non riesco a debellarlo.....(lui crede...alla fine vincerò io...)

vi faccio sapere...
ciauz
Roberto

ma allora forse non avete capito...
non dovete cercare di ripulire windows dall'OPASERV!!!
questo lo fa gia l'antivirus
dovete cercare l'appilicazione, installata sulla vostra macchina che si scarica tutte le volte l'opaserv!!!!!
fatevi una ricerca dei file come ho scritto 2 messaggi fa, e poi fatemi sapere.

L'OPASERV di per se è un virus che si rimuove facilmente da windows. Il fatto che ritorni sempre non è attribuibile a questo virus ma ad un programma che risiede indisturbato sul vostro pc e che l'antivirus non considera pericoloso.
leggete bene il messaggio che ho lasciato venerdi sera.. penso che la soluzione stia li.

ho installato OUTPOST ed ha fatto da schermo...ora aspetto al varco il programmino che vorrebbe riconnettersi al/ai siti incriminati......e poi ZACKKKKKKKKK.....

ciao
Roby

ragazzi, leggendo gli ultimi articoli mi sono reso conto che c'è un po' di ignoranza su come funzionano trojan, spyware, worm etc.. etc..
pur non essendo una persona preparatissima in materia, volevo sottolineare alcune cose:

opaserv non è un programma senziente
non si propaga, non si installa da solo e non fa nulla di particolare.
Ha solo un modo molto semplice di essere introdotto (da qualcuno, che con degli ip port scanner si diverte a trovare persone con hd condivisi).

Proteggere con la password il proprio hd e le cartelle condivise
non serve a nulla, e vi riporto di seguito il perchè: (tagliato dalla mailing list di pc-facile.com, una mailing list che, al di la' del nome, è molto interessante)

Paolo Attivissimo (http://www.attivissimo.net) mi invia:
Indagando su un virus, Opaserv
(http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.E), uscito alcuni giorni fa ho scoperto che sfrutta una falla di Windows (versioni 95/98/ME) che ha dello stupefacente per diffondersi a tutte le macchine della rete locale. L'utente diligente che condivide file e stampanti adotta la precauzione di proteggere queste risorse con una password di condivisione, ma in realtà quella password è una cortina di fumo, perché è facilissimo indovinarla.

Infatti Windows (95/98/ME) ha un difetto colossale nel metodo di verifica della password: non ne controlla la lunghezza. Mettiamo che il computer A di Angelo voglia condividere una cartella del computer B di Beatrice. A dice a B: “la password è lunga un carattere ed è 'a'”. Sapete B come gli risponde? B si fida della lunghezza comunicata da A (sì, avete letto bene), guarda la password effettiva e ne legge soltanto il primo carattere (perché leggere oltre, visto che A gli ha detto che la password ha quella lunghezza?). Se il carattere non è quello indicato da A, gli risponde “no, non è la password giusta”; se A ha indovinato, B risponde “giusto, ma c'è qualcosa che non va lo stesso”.

Stando così le cose, basta procedere per tentativi: il computer A dice “la password è lunga 1 ed è 'a'”, “la password è lunga 1 ed è 'b'”... e così via, finché B gli risponde “giusto, ma c'è qualcosa che non va lo stesso”.
Ora A sa la prima lettera della password di B. Basta ripetere il procedimento per le lettere successive e in men che non si dica si ottiene la password completa, così Angelo può leggere e scrivere tutte le cartelle condivise che Beatrice crede di aver protetto con una password.

L'intero procedimento può essere automatizzato con un programmino come quello che ho appena provato:
http://online.securityfocus.com/data/vulnerabilities/exploits/sharehack2.zip
e che mi ha trovato la password in meno di mezzo minuto. Te la vedi indovinare sotto il naso, una lettera alla volta.
Microsoft ha rilasciato la correzione mesi fa, per cui consiglio vivamente a chi usa Windows 95/98/ME di installarla!

Altre informazioni sono disponibili presso:
http://www.securityfriday.com/Topics/share_passwd.html
http://www.nsfocus.com/english/homepage/sa_05.htm

il problema e che anche con la patch, l'opaserv entra lo stesso se hai condivisione file e stampanti nel binding di accesos remoto!!!:mad: :(
Io rimango sempre dell'idea che sia appunto qualcuno che con degli ip scanner non ha un cazzo altro da fare e ti arriva......
Ricordo che togliendo nel binding "condivisione file e stampanti" (quello del tcp/ip di accesso remoto), l'opaserv non entra piuù, e se non avete reti sotto accesso remoto o simili , tutto fila liscio.


Ciauz!!!!


Giacomo:D :D :D

Sul sito Symantec si dice pure di disabilitare in WinME o WinXP il ripristino della configurazione di sistema, cosicche' l'Opaserv non possa ritornare nel sistema in futuro.
Quindi dopo aver disabilitato il "ripristino configurazione di sistema" bisognerebbe cancellare tutti i file inerenti allo stesso, io ho cancellato in un pc infetto tutti i file (o quasi, non volevo fare dei danni) *.cab presenti nella cartella "_Restore", purtroppo la cosa non e' servita a molto, il problema si e' ripresentato dopo qualche ora.
La cosa strana e' che il virus pare che sia accanisca contro i pc che hanno il Norton Antivirus installato. Infatti nel pc infetto da questo virus, oltre ad essere installato il WinME, c'e' pure il Norton Antivirus 2002 (se non il 2003). La situazione si fa ancora piu' strana, infatti questo pc facente parte di una rete tcp/ip (coassiale), infetta e colpisce solo il pc che ha il NAV2002, mentre gli altri pc con Win95, che non hanno nessun antivirus installato, non sono infetti da questo malefico Opaserv.
Continuando a provare a segare questo virus ho pure provato, a staccare dalla rete interna tcp/ip ogni pc uno per uno, poi usando il "presunto" (presunto perche' sembra che funzioni!!) fix per rimovuere il virus, ho scansionato tutti i pc, ma non e' stato trovato alcun virus, presente nei pc senza antivirus.
Sul sito Symantec si dice pure di abbassare l' "Utilizzo dello spazio su disco per il ripristino della configurazione di sistema" opzione presente in "Proprieta' del Sistema/Prestazioni/FileSystem/DiscoRigido", poi disabilitare il "ripristino configurazione di sistema" e provare a lanciare il fix da un floppy.
In piu' proverei ad aumentare al massimo il livello di protezione del Nav200x, ed a controllare che nelle opzioni di esclusione dei file dalla scansione, non siano presenti i file del virus (ossia instit.bat, alevir.exe, marco!.exe e brasil.pif), infatti il virus bastardo aveva messo nel pc, cui stavo tentando di toglierlo, questa opzione attivata. Consiglierei poi di cancellare tutti i file temporanei dell'Internet Explorer e pure quelli della Cronologia, e magari cercare nei Preferiti gli ultimi collegamenti memorizzati per scovare qualcosa di strano.

L'IMPERATIVO E' COMUNQUE: "TENERE AGGIORNATI I NOSTRI ANTIVIRUS".

Infatti le persone che se lo sono beccato l'opaserv, non avevano le defizioni dei virus aggiornate, mentre le altre (come me, ad esempio) che tenevano tutto a modino non hanno avuto problemi.

Si puo' pure provare a fare una scansione con un antivirus da dos tipo l'F-Prot, magari questo potrebbe essere piu' efficace, in quanto agisce da dos.

Speriamo in bene!!!


ps= una domanda!! I Norton Antivirus 200x che ho installato finora, hanno nelle "esclusioni dei file da scansionare" sempre queste due estensioni *.dbx e *.nch, sapete di cosa sono?


Byezzz

i files dbx sono database, gli altri non so...
Riguardo al ripristino di configurazione:
per vedere tutte le cartelle nella directory c:\_restore devi, da dos:
c:
cd _restore
dir
attrib

in questo modo vedrai tutti i files.
personalmente ti consiglio di cancellare tutte le cartelle e tutti i files nascosti che ci sono all'interno. Quando presi il vermicello la prima volta, il simpatico vermetto era presente su una decina di files nelle varie cartelle dentro C:\_restore...
Tranquillo, non danneggi il sistema operativo...
------
Ah, non mi ricordo chi mi aveva chiesto un po' di posts fa, se il file batch a cui facevo riferimento nel mio primo post era instit.bat:
è lui confermo...
Saluti
Redde

te lo avevo chiesto io red

da dos se vuoi cancellare tutta la _restore devi prima cambiare gli attributi dei file protetti o quelli nascosti con

attrib -h -r -s *.*

più comodo è fare così:
supponendo di aver riavviato in Msdos da cd-rom di WIN ME (visto che si parla della cartella _RESTORE) sarà necessario cambiare la path che è impostata sul drive virtuale A:

path=%path%;c:\windows;c:windows\command;

in questo modo puoi usare comodamente il comando

deltree /y c:\_restore

e la cartella sparisce.

Consiglio spassionato per tutti, aggiornatevi il vostro windows facendo una capatina sul link Windows Update della Microsoft: http://windowsupdate.com
Sembra che questa utilissima procedura Microsoft non venga utilizzata da quasi nessuno.

Il worm opaserv32 esiste in varianti numerose
per tutte comunque dovresti fare questi passi:

terminare il processo scrsvr.exe (traminte un task monitor)
cercare ed eliminare i seguenti file se presenti:

c:\Windows\Brasil.exe
c:\Windows\Brasil.pif
c:\Windows\marco!.scr
c:\windows\scrsvr.exe
c:\windows\instit.bat
c:\scrsin.dat
c:\scrout.dat
c:\tmp.ini (potrebbe avere anche l'icona di una cartella)

verificare che in win.ini non si trovi:

run=c:\windows\scrsvr.exe

o uno dei file prima elencati

se il tuo disco e' condiviso dare una password alla condivisione
o condividerlo in sola lettura.

scaricare la patch dal sito microsoft riguardo la vunlerabilità
della condivione della radice del disco (es. C:) senza password

http://www.microsoft.com/technet/security/bulletin/MS00-72.asp

verificare nel file di registro in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run=scrsvr.exe (o uno dei nomi sopra riportati)

Non so se vi può essere utile. Io il virus non l'ho beccato. Su http://www.nod32.it/home/home.htm è possibile scaricare uno scanner per rimuovere Opaserv. Ripulisce il file di registro e il file WIN.INI.

Ho provado ad installare Outpost, mi rileva delle connessioni a siti polacchi e russi, ma non riesco a capire chi è che le fa, l'unica cosa è che quando Outpost è attivo, il virus non compare. Ho notato un'altra cosa, sembrerebbe che la comparsa del virus sia legata a Internet Explorer, infatti se faccio la connessione senza aprire il browser non compare, ma appena lo apro ritorna magicamente; domani mi smazzo la parte di registro che contiene le informazioni di IE ... speriamo bene.

Saluti

Niente da fare!!! Anche usando l'ultima versione del fix, presente sul sito symantec, versione 1.0.3 non si riesce di eliminare questo maledetto virus, che non so precisamente cosa faccia di male, so solo che rompe :rolleyes: le balls!!

Ho provato ad usare l'F-prot da dos, poi il file da windows, a segare tutti i file e collegamenti vari col regedit, ma niente, l'infame dopo un po' torna a scassare la minchi@ :rolleyes: .

Aggiungerei, che vi sono altri file del virus, che non sono stati elencati, tipo il file "Institu" (se non erro), ossia un file nella root del disco C: senza estensione, e pure delle stringhe nei file *.INI sempre nella root.

E' strano che non si riesca ancora a rimuoverlo con successo, ed e' ancora piu' strano che non si trovi ancora un fix decisivo che permetta una volta per tutte di debellarlo, forse davvero intacca l'Internet Explorer e lo muta a suo piacimento, l'ultima spiaggia comunque, rimane sempre il format.
Nessuno ha provato l'fdisk /mbr se sortisce qualcosa o a fare una scansione da un pc pulito con un antivirus aggiornato?
Si potrebbe aggiornare proprio l'I.E. , magari sovrascrivendo certi file infettati si potrebbe risolvere il problema, vedremo!!

byezzz

Originariamente inviato da FiorDiLatte
[B]il "presunto" (presunto perche' sembra che funzioni!!) fix per rimovuere il virus
i fix che abbiamo provato si attivavano solo se trovavano l'eseguibile scrsvr.exe altrimenti nada, cmq da noi è stato sufficiente aggiornare tutti i pc in rete all'ultima versione del dat, l'av era mcafee

Provato fdisk/mbr e upgrade IE, senza risultati.
Io ho un cliente con mcafee aggiornato, ma il virus continua a tornare ...

Boh

Un mio amico (Win98SE - NAV 2002) aveva il tipico problema con opaserv, cioè tentativi di collegamento a un sito per scaricare scrsvr.exe, ecc. che venivano bloccati da NAV.
Seguendo i consigli trovati sul forum avevamo tentato la procedura manuale, poi visto il fallimento avevo provato le fix proposte da symantec e da f-prot, ma il problema si era riproposto.
A quel punto dopo avere rimosso la condivisione dal disco C ho applicato di nuovo le fix e da allora sembra andare tutto bene (il mio amico non mi ha più chiamato).
Il bello della situazione è che lui non si ricorda di aver mai condiviso il disco C, anche perchè il PC è un notebook che non è collegato ad alcuna rete.

Che il malefico forzi la condivisione dei dischi????

Mi sa che il problema si ripresenta ad ogni collegamento ad internet, questo worm e' polivamente fa pure da trojan. Il fix per ora non funziona ancora.
Anch'io staccando i pc infetti dalla rete tcp/ip e fixandoli uno ad uno, per qualche ora e' andato tutto bene, poi il Norton Antivirus 200x ha ritrovato tutti i file inerenti al virus Opaserv, e da li' in poi si sono reinfettati tutti i pc.

Vedremo!!!


byezzz

IL PROBLEMA NON E' L'OPASERV

Il fix, almeno quello della norton funziona benissimo. Se il pc è infetto dall'Opaserv questi lo ripulisce senza problemi. Da notare che se avete l'AV perfettamente aggiornato windows non si infetta perchè l'OPASERV viene sempre riconosciuto e bloccato.

Il fatto che ritorni è da imputare ad un'altra applicazione presente sul vostro pc che che agisce indisturbata (perchè l'antivirus non la ritiene pericolosa) e tutte le volte si scarica il vermiciattolo.

L'Applicazione che in apparenza non c'entra niente con l'opaserv rimane nascosta in memoria e viene comuqnue caricata in avvio. Quindi togliete tutti i programmi sospetti che vengono avviati nelle varie chiavi run del di registro o nel win.ini

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
..\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
.......\RunOnce
.......\RunOnceEx



date un'occhiata anche hai file sospetti indicati da winpatrol a questo indirizzo http://www.winpatrol.com/nonplus.html

Inoltre per tutti coloro che hanno pc in rete è d'obbligo togliere la condivisione dal disco C: e andare a condividere solo le cartelle che interessano all'utente.

Aprendo il log del file "scrsvr.lgc" si vedono i file che l'opaserv utilizza per la sua infezione:

scrsvr.exe
ws2_32.dll
msvcrt.dll
tapi32.dll
secur32.dll
user.exe
mpr.dll
rpcrt4.dll
svrapi.dll
msnet32.dll
wsock32.dll
mswsock.dll
rasapi32.dll

Sul sito della Symantec consigliano di modificare il proprio programma di posta elettronica, affinche' cancelli in modo automatico i messaggi con allegati file .exe, .pif, .bat, .vbs, .scr . Il problema e' che l'outlook express che io ed altre persone utilizzano non permette di fare una distinzione precisa per estensione dei file che devono essere cancellati, ma cancella tutti i messaggi con allegati indiscriminatamente; conoscete un modo per eliminare le estensioni sopracitate dai messaggi con Outlook Express?


byezzz

vedo che l opaserv e' davvero potente
ma èossibile che nessuno sappiada dove rispunta fuori
ossia cosa attiva sto server che richiama sti benedetti virus????
io sono sconcertato
attualmente tutte le aziende dove porto assistenza
gli risolvo il problrma con il firewall outbound(o qualcosa del genere)
ma che delusione
nemmeno la symantec sa da dove spunta:(
:( :(

Secondo me c'è poco di leggendario in opasoft...
più che altro definirei amorevolmente "cazzoni" quelli della microsoft...
chi ha scritto il codice della fase di autenticazione del netbios doveva veramente avere problemi con la droga :D

Reddai

Originariamente inviato da red eye
[B]Secondo me c'è poco di leggendario in opasoft...
più che altro definirei amorevolmente "cazzoni" quelli della microsoft...
chi ha scritto il codice della fase di autenticazione del netbios doveva veramente avere problemi con la droga :D

Reddai

Sappiamo tutti chi e' stato!!!

Dopo quella schifezza di ms-dos (ms sta per merd-dos), Bill ormai aveva gia' buttato giu' il codice del Netbios, siccome non poteva fare troppe brutte figure, decise di insabbiare tutto; e quindi, oggi ne paghiamo le conseguenze :D :D :D :D :D !!!!! :(

[Alcool ON]

Dobbiamo fare un refendum per approvare la pena di morte, solo dopo gli americani faranno espatriare Bill Gates, qui in Italia, cosicche' noi si possa liquidarlo per sempre.

[Alcool OFF, o quasi]

:D :p

byezzz

Da qui in avanti:

[EUDORA RULEZ]


byezzz

Pare che togliendo la condivisione completa al disco "C:", si debelli l'Opaserv. Se dovete per forza condividere delle cartelle, condividete solo quelle necessarie, lasciando da parte la root del "C:" o la cartella intera dov'e' installato il vostro sistema operativo ("c:\windows").


Byezzz

esatto, è idispensabile togliere la condivisione sul c: dopo aver fatto tutti i passaggi per la rimozione del virus.

Se il problema persiste consiglio di disinstallare da windows applicazioni freeware o shareware di dubbia fama. Sicuramente tra quelle c'e nè una che si scarica sempre il worm ad ogni connessione internet.

Anche stamani ho ripulito due pc collegati in rete... i tecnici che seguivano il cliente gli avevano detto che si doveva rassegnare e tenersi i messaggini alevir, marco!, brasil. etc etc.. perchè l'opaserv non si può levare :D :D :D :D :D :eek:

In piu' consiglio di installare un buon Firewall (tipo Zone Alarm free), che impedisca a questi worm-trojan di reinfiltrarsi nel sistema operativo.


byezzz

Originariamente inviato da ayeye
[B]avete provato cosi':

avviate in modalita' provvisoria
eseguite questo:
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
eseguite questo
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
riavviate ....

l' ho fatto e anche connettendomi a internet non c'era piu' traccia del virus
ho provato anche io tutti i metodi e riesco a eliminare il virus fin quando non ne arriva una nuova versione...debellato il worm opasoft.b ecco che mi becca l'h e così via, come se il mio pc fosse indifeso contro questo virus in quanto è dall'interno che vengono richiamate le nuove versioni.
Un lapsus, come faccio ad andare in modalità provvisoria con win98? F7?
:D

Premi F8 su avvio di windows 98 per la mod provvisoria

comunque se vuoi levarti l'opaserv coma gia detto e ridetto dopo che hai passato le fix, togli la condivisione dal disco C: (clicca con il tasto destro sul disco fisso e trovi 'condivisione') e poi se continui a ricevere messaggi sull'opaserv comincia col disinstallare ad una ad una tutte quelle applicazioni freeware sicuramente presenti nel tuo pc. 99 su 100 una di queste è la responsabile del continuo riproporsi del worm.

Fatte le operazioni come sopra i clienti da me 'disinfestati' non hanno più avuto problemi.

saluti a tutti

Originariamente inviato da videal
[B]una kosa nn mi è molta kiara, ma perkè ci sono varie versioni di questo Worm? Opasoft-A , Opasoft-B, Opasoft-D, Opasoft-F...
sono diversi?

ok, sembra ke disabilitando la condivisione dell'intero Hdd in una rete, il tutto si risolva, ma significa ke gli altri pc in rete nn saranno + in rete?

Ci sono varie versioni perchè se l'antivirus non è aggiornato non riconosce una nuova versione.........inoltre è vero che se disabiliti la condivisione il virus si blocca perche con la condivisione i virus può entrare tranquillamente quindi per provare sarebbe il caso di condividere una sola cartella in cui si mettono i documenti che servono agli altri pc.

Ciao

riassumendo
nessuno ha trovato il modo di toglierlo del tutto
e' inutile dire che siete riusciti a pulire il pc
se con togliere la condivisione da c significa pulire dal virus
ma
cmq sono stato su altri forum e nessuno ha trovato la soluzione tranne degli inglesi che hanno trovato delle chiavi di registro strane e sembra che togliendole ci si liberi dell opa del tutto
oggi ho fatto una prova in un azienda con tutti i pc infetti
domani sapro? l esito
e cmq per adesso l opa ha ancora la partita vinta

Noi in ufficio abbiamo 8 pc in rete con win98, e per non uscire pazzi con i continui messaggi di alevir, brasil e compagnia siamo stati costretti a togliere la condivisione.....il che però è una scomodità notevole......possibile che non si riesca a trovare una soluzione vera?

scusate ragazzi , mi fate capire come fa un virus a scaricare da un sito una sua copia? evidentemente cè un'applicazione ke è parte all'avvio ke fa queste operazioni, anke eprkè solo con poke righe di codice messo nel registro di configurazione si fa ben poco....

Fabio

Togliere la condivisione al disco è sempre consigliabile anche per chi non si è mai beccato l'opaserv.
Vai a condividere soltanto quelle cartelle che effettivamente ti servono (es.la cartella documenti).

Dato per certo ormai che l'opaserv viene richiamato da un'applicazione installata sul computer fate una scansione del vostro disco e del registro con ad-aware e rimuovete tuto quello che viene considerato sospetto.

AD-Aware è completamente freeware e puoi scaricarlo da qui http://www.lavasoft.de/downloads.html

PS.Gli antivirus sono perfettamente in grado di bloccare l'opaserv. Il problema non è questo worm in se stesso ma l'applicazione che gira sul vostro computer e che se lo scarica tutte le volte.

Opaserv è in grado di bucare anche il firewall?

Poco fa ero collegato in internet con il firewall (Outpost v. 1.0.1817) aperto e settato in modalità “Block most mode”.
Improvvisamente Norton 2002 mi avverte di avere intercettato il files “instit.bat”(variante H del virus), faccio anche una ricerca in C e mi ritrovo nuovamente il “scrsvr.exe” nella cartella di Windows.

Premetto che sia il computer che si connette in internet e sia tutti gli altri connessi in rete sono stati ripuliti da opaserv una ventina di giorni fa, e da allora il virus non era più comparso.

Inoltre Outpost è settato in modo (Trusted application) da far accedere ad internet solo IExplorer, DAP, Outlook6, e Norton 2002 e niente altro.

Ma con che razza di virus abbiamo a che fare?

Avendo i pc in rete è normale che capita.........se si hanno le condivisioni succede questo...........è un brutto virus..........forse usa dei servizi di windows che hanno il permesso del firewall.

Ciao

Ciao!

Rete di 10 pc (dislocati in 2 unità immobiliari con taaante stanze :cry: ).
Un server sempre acceso con NT (oddio!e come si usa???) . Due postazioni con modem analogico (taglierò un paio di dita a qualcuno :mad: ) .

Scopro che gli antivirus non sono aggiornati sui 2 pc con accesso ad internet....brasil,scrsvr,marco!,alevir...tutta la famiglia dalla A alla F .

Installo Avir sui 2 pc con accesso ad internet. Utilizzo il fix Symantec su tutti gli altri assieme a WinPatrol.

Il virus torna sempre. Anche senza collegarmi ad internet. :muro:
Anzi,su uno dei due non riesco a "liberarmi" della finestra di connessione,che salta su in continuazione......

Sono alla frutta.E non posso upgradare a XP :(

Calmo.. leggiti con calma i messaggi di questa discussione che la soluzione per l'Opaserv c'è.
Certo che con 10 pc distanti tra loro... non ti invidio :D

dai un'occhiata qui http://matrix.leadernet.it/tlinformatica/software/opaserv.htm

Ciao!
Grazie x i consigli.
Sui pc "gira" un programma proprietario . Il disco del server è stato "mappato" sui client,ma non so se ci siano altre cartelle che è necessario condividere.

Saluti!
Antonio

Scusate se, data l'ora tarda, scrivo qualche str
anezza.

io l'ho eliminato così.
se avviando in modalità ms-dos (con un floppy di w98 per chi ha millennium) cancellate tutti i file di cui sopra (alcuni potrebbero essere nascosti e/o di sistema, usate attrib -h -s -r ) e create (o rinominate) dei file vuoti con lo stesso nome dei fire del virus, poi, sempre con attrib, fateli diventare read only (+r).
Io ho fatto così e non si è più ripresentato.

Una domanda, si può prendere anche senza avere condiviso nulla, nè avere eseguito files sconosciuti?

Ciao, e spero che ciò che ho scritto sia comprensbile e possa tornare utile a qualcuno di voi, o frequentato ri di codesto foro virtuale.

una precisazione per chi se lo stesse chiedendo:
no, non mi drogo.

Ciao,Gimmi.

Se devi scrivere una str...anezza , scrivila in modo esauriente per chi (come me) non era ancora nato ai tempi dell'MS DOS (oppure oggi è abbastanza vecchio da essere rimbambito e non ricordarsene :P :P :P)

Avvio il pc con dischetto MS-DOS.

COSA scrivo esattamente nella riga di comando per visualizzare i files nascosti?

attrib -h -s -r (??)

per cancellare i files mi basta scrivere del xzy.xxx :P

Poi creo un nuovo file , magari con l'edit e lo salvo con lo stesso nome e la stessa estensione di quello cancellato .

Come faccio a renderlo read only??

Grazie e ciao!
Antonio

ora ti scrivo cosa ho fatto esattamente io.
avvio in modalita ms dos.
per visualizzare files (quelli del virus) se nascosti è necessario utilizzare il comando attrib.
se sai già il nome o parte del nome, ad esempio sai che il file inizia per bra (per brasil.pif) scrivi [attrib bra*.*]
se viene visualizza to il file, ed ha attributi 's' 'h' 'oppure 'r' (system hidden read only) devi togliere questi attributi per cancellarlo.
poi e' necessario creare un file che abbia lo stesso nome del file (io ho utilizzato il '>' -maggiore di- dopo il comando dir; serve a creare un file di testo che contiene l'output del comando dir > a.txt crea un file di testo a.txt che contiene la lista dei file della directory corrente.)
poi è necessario dare al file creato l'attributo di sola lettura.

prendendo l'esempio del file brasil.pif:
attrib -s -h - r brasil.pif
del brasil.pif
dir *.z > brasil.pif
attrib +r brasil.pif

se lo fate per ogni file che sapete appartenere ad opaserv, dovrebbe funzionare.

alcune precisazioni. ho usato 'dir *.z > brasil.pif' per creare un file di testo qualsiasi, potete usare qualsiasi comando, purcè creiate un file con nome 'brasil' ed estensione 'pif'(ovviamente nel caso di 'brasil.pif').

non dovrebbe essere necessario dare al wini.ini l'attributo di sola lettura.

spero di essere stato un briciolo più chiaro.
Ciao ciao e scusate per ieri...
ero un po'....come dire....ub
icato nella mia abitazione, ma era tardi....
bho...
domani a lavorare!! buona notte

una cosa ancora...pls, don't call me Gimmi
al limite Beppe, (anche se non lo amo)

ok Beppe... semplice come metodo però potrebbe funzionare.
io non ho ancora potuto provare. qualcun'altro l'ha fatto?
Ho un'angolino http://matrix.leadernet.it/tlinformatica/software/opaserv.htm
dove annoto tutti i vari passaggi per togliere l'opaserv e ho aggiunto anche il tuo.

Saluti a tutti

io ho provato più volte (su più macchine) e sembra funzionare, non so se perchè non riesce a sovrascrivere il file di sola lettura o perchè controlla la presenza del file...
cmq, se può essere utile mi fa piacere.
Ciao,
Gius...ehm...
Beppe ;)

scusate ci sono altre versioni dei fix o altri siti dove scaricarli?
nel mio computer non infetto tutti i tool funzionano bene, in quello di un amico infetto da opaserv il fix della symantec una volta avviato mi dice che mi manca un pattern che dovrei scaricare, mentre il tool di trend micro si avvia fino ad un certo punto e poi si interrompe con il classico messaggio: questo programma ha eseguito una operazione non valida e sarà terminato.....errore in sysclean.exe all'indirizzo....etc..etc....PERCHE'?

ho fatto girare tutti i tools possibili e non mi hanno trovato nulla, invece il norton 2003 aggiornato mi ha rilevato due worm opaserv rispettivamente nei file compressi win.ini di

C:\windows\sysbackup\rb000.cab e
C:\windows\sysbackup\rb005.cab


Li posso eliminare? Il norton non li può ne riparare ne mettere in quarantena

Originally posted by "katodb"

ho fatto girare tutti i tools possibili e non mi hanno trovato nulla, invece il norton 2003 aggiornato mi ha rilevato due worm opaserv rispettivamente nei file compressi win.ini di

C:\windows\sysbackup\rb000.cab e
C:\windows\sysbackup\rb005.cab


Li posso eliminare? Il norton non li può ne riparare ne mettere in quarantena

per favore qualcuno sa dirmi qualcosa?

Originally posted by "katodb"



per favore qualcuno sa dirmi qualcosa?

lo faccio uppare nella speranza.....di una risposta

io ho bekkato tramite ad-ware i seguenti rompi-biiiiiip--:

Bargains.exe
NEWDOTNET.DLL
CnBabe.DLL

allora ho fatto una scansione tramite antivirus ma nn ho trovato il worm opaserv nulla nemmeno nel registro., questo in entrambi i pc in rete.
ora ho tolto la condivisione di cartelle critike , infatti nel pc dietro il gateway pare nn tornare + pero nel server ogni tanto si ripresenta il NEWDOTNET.dll ma come azzo è possibile?


-poi ho notato ke cancellandolo mi corrompe le connessioni di qualunque natura esse siano se lo tolgo dal pc dietro attaccato al server si corrompe qualkosa e nn posso accedere in nessun modo alle condivisioni o ai pc del dominio.
ovvero si disabilitano vari servizi amministrativi di rete e se provo ad attivarli mi da un messagio di errore:---(1068) Error starting "browser" on local machine- Avvio del gruppo o del servizio di dipendenza non riuscito.

-se lo tolgo da server mi sbrokka la connessione a internet.
in pratica mi disabilita nei servizi amministrativi il Servizio IPSEC:
Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP.

ma si puo sapere ke kavolo ho è opaserv o un parente o qualkosaltrp?
perke il SCRSVR.EXE nn è mai comparso..

HELPPPP!! HELPPP!!

AH IO HO XP per cui avrei meno vulnerabilita pero bohh...datemi na mano ;)

Acc.!!!!! l'ho appena beccato anch'io nel pc in ufficio maledetto virus.
Mi sono appena letto tutta la storia dal 2002 in poi. Dopo aver fatto un pò di prove senza successo, qualcuno bravo può fare il punto della situazione e indicare a quale livello siamo arrivati per debellare WORM?
Grazie :muro:

se puoi prva da dos f-prot per dos aggiornato (scarica dal sito i due files zippati e scoppattali della stessa directory dell'antivirus) oppure prova trendmicro cleaner che va usato in modalità provvisoria........I links e i passi per rimuovere il virus sono del homepage del mio sito.

Ciao

Ok Bilancino domani provo,ma scusa da quelo che ho letto non si tratta di togliere i virus (quelli mi vanno in quarantena con il Norton e poi io li cancello)ma di uccidere la madre che chiama quando navigo e si annida nel mio PC, o sbaglio.Comunque rigrazie ti saprò dire. ;)

Originally posted by "viemme52"

Ok Bilancino domani provo,ma scusa da quelo che ho letto non si tratta di togliere i virus (quelli mi vanno in quarantena con il Norton e poi io li cancello)ma di uccidere la madre che chiama quando navigo e si annida nel mio PC, o sbaglio.Comunque rigrazie ti saprò dire. ;)

Bisogna staccare il cavo di rete e ripulire ogni pc senza essere collegati su internet............

Ciao

Originally posted by "viemme52"

Ok Bilancino domani provo,ma scusa da quelo che ho letto non si tratta di togliere i virus (quelli mi vanno in quarantena con il Norton e poi io li cancello)ma di uccidere la madre che chiama quando navigo e si annida nel mio PC, o sbaglio.Comunque rigrazie ti saprò dire. ;)

Bisogna staccare il cavo di rete e ripulire ogni pc senza essere collegati su internet............

Ciao

Stavo proprio per chiedere ulteriori chiarimenti.Ero nel tuo sito.Ora scusa porta pazienza, cosa intendi esattamente per tools, posso intuire ma indirizzami con più precisione, anche sulla patch dammi il www..... ti chiedo scusa ma sono un autodidatta molto appasionato e purtroppo ho molte lacune, mi farò anche aiutare da mio figlio esperto in inglese.il mio ufficio è composto da un server con programma operativo windows nt,e due pc collegati con win 98se, hem tutto collegato in rete naturalmente.Devo controllare con la sequenza che ho scaricato dal tuo sito anche il server??? mille grazie ancora ;) non pensare che io sia pigro e che ho paura di sbagliare, si tratta di pc carichi di dati e non posso resettare :cry: ciao

Originally posted by "viemme52"

Stavo proprio per chiedere ulteriori chiarimenti.Ero nel tuo sito.Ora scusa porta pazienza, cosa intendi esattamente per tools, posso intuire ma indirizzami con più precisione, anche sulla patch dammi il www..... ti chiedo scusa ma sono un autodidatta molto appasionato e purtroppo ho molte lacune, mi farò anche aiutare da mio figlio esperto in inglese.il mio ufficio è composto da un server con programma operativo windows nt,e due pc collegati con win 98se, hem tutto collegato in rete naturalmente.Devo controllare con la sequenza che ho scaricato dal tuo sito anche il server??? mille grazie ancora ;) non pensare che io sia pigro e che ho paura di sbagliare, si tratta di pc carichi di dati e non posso resettare :cry: ciao

Per prima cosa è bene fare sempre copie così in caso di errori o infestazioni di virus è possibile ripristinare il tutto. Il virus opaserv si propaga nelle lan e utilizza una vulnerabilità della password presente in windows 98/me. Per rimuovere il virus bisogna usare un tools di rimozione messo a disposizione dalle più famose case produttrici di antivirus. Questo antivirus ha molte varianti identificate con le lettere dell'alfabeto A B C ecc. Per rimuovere il virus bisogna staccare il cavo dire e usare il tool in OGNI pc (nel tuo caso non il server poichè ha win nt) come se fossero pc singoli non collegati in una lan, inoltre bisogna installare la patch per la password di windows 98/me. Il tool conviene usarlo in modalità provvisoria perchè il processo del virus potrebbe inibire il tool.

Tool da provare :

http://www.bitdefender.com/download/download.php?file=AntiOpaserv.exe


oppure trend micro cleaner:

http://www.trendmicro.com/ftp/products/tsc/sysclean.com

mentre queste sono le firme per il trendmicrocleaner:

http://www.trendmicro.com/download/pattern.asp

Per usare il trendmicrocleaner mettere sia sysclean.com che le firme (pattern file) in una stessa directory.


Visto che gli altri due pc hanno win98/me devi installare la patch:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp


Ciao

Sei grande ti ringrazio, appena posso mi metto a lavorare e ti terrò informato questo per tua cortesia e per gli amici del forum.Ciao ;)

Io ho win98 SE e dopo aver fatto tutto cio ( disabilitare la condivisione, staccare il cavo rete, riavviare in provvisoria, tool symantec con esito ok, patch della Ms riavvio tool di nuovo) riabilito la condivisione mi connetto ad internet e dopo poco puff ecco che il norton 2003 mi rileva opaserv di nuovo. L'unico modo per tenerlo un po lontano per me è quello di installare un firewall prima di ricondividere l'hd.-
Se qualcuno ne sa qualcosa di + ben venga ;)

Meglio arrampicarsi :mc: che beccare l'opaserv.
P.s. : qualche volta si intrufola dentro i file .cab dentro sysbckup di win98 ma nessun tool o antivirus lo toglie bisogna cancellarlo con le manine.
:muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro:

I tools funzionano egregiamente rimuovendo l'effetto... ma non la causa.

dopo aver ripulito tutto il disco o la rete :eek: provate a disisnstallare il programma (La Causa) che di volta in volta va a richiamare l'opaserv (L'effetto).
Purtroppo La Causa non è sempre la stessa :D
ci sono svariate applicazione che convogliano l'opaserv agendo senza essere disturbate dagli antivirus.

provate a seguire i consigli riportati qui: http://matrix.cld.it/tlinformatica/software/opaserv.htm

Niente da fare ho fatto tutto sui due pc con win98 venerdi.Questa mattina ho riacceso e ricollegato tutto ma alla prima connessione rieccolo. allora ho cancellato da win.ini una riga con scritto run=:windows\brasil.exe.e poi " pannello di controllo -rete-tpc/ip accesso remoto binding-deselezionare condivisione file e stampanti " naturalmente l'ho letto in post precedenti, pare che si sia calmato.staremo a vedere.

ma hai provato anche questo ?

Annotare il nome del file che viene indicato come infetto. Ad esempio BRASIL.PIF
Avviate il pc in modalità dos premendo F8 all'avvio di windows, oppure se avete Windows ME createvi un dischetto di avvio e nel caso di windows 2000 XP avviate, sempre con il tasto F8 all'avvio, in modalità provvisoria eutilizzate poi il prompt dei comandi.
A questo punto spostatevi nella cartella dove è il file infetto. ad esempio per la Windows scrivete:
CD \WINDOWS
Per cancellare il file è necessario togliere qualsiasi attributo di protezione al file stesso:
ATTRIB -H -S -R BRASIL.PIF
e poi cancellarlo:
DEL BRASIL.PIF
Ricreare un file"falso" con lo stesso nome, ad esempio in questo modo:
DIR *.BMP >BRASIL.PIF
e riassegnate gli attributi che aveva il file:
ATTRIB +H +R +S BRASIL.PIF

Il file che viene attacato ora è solo il c:\windows\win.ini che regolarmente il norton ripara.Praticamente non ci sono più segnali di quarantena.
(ma hai provato anche questo ? ).Caro aletlinfo, non sono tanto pratico figurati mettere le mani in Dos, ma vedremo se trovo chi mi aiuta o mi segue passo passo. Grazie comunque, ciao

Ho trovato questo sito che spiega passo passo in modo semplice,(l'ho fatto pure io) quello che in effetti mi suggerivano nei post precedenti. Bene è più di un'ora che navigo e non ho più avuto attacchi. Spero bene, consiglio vivamente.!!!!.Ciao :)

http://www.mips2000.com/Procedura%20rimozione%20virus%20alevir.pdf