un aiuto su w32.opaserv.worm

valeriaccio · 03-10-2002, 10:22

Il mio antivirus ha rilevato il file scrsvr.exe infetto da virus w32.opaserv.worm e lo ho eliminato. Ho raccolto informazioni su questo virus sul sito della Symantec e ho corretto tutti gli errori provocati dal worm(modifiche nel file di registro di windows, in win.ini ecc.) sia manualmente sia con il removal tool di symantec. Il tool mi dice che ha eliminato con successo il worm e in effetti facendo una scansione completa del sistema non si rileva nulla.
Il problema è che mentre lavoro, ad intervalli di circa 15' il Norton AV mi avvisa di aver trovato il solito file che io puntualmente elimino e successivamente se riavvio il sistema mi ricompaiono i comandi di esecuzione del file infetto in win.ini.
Chi mi può aiutare?

Bilancino · 03-10-2002, 10:44

Nel registro nel percorso:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
ScrSvr = %Windows%\ScrSVr.exe

c'è ancora (ricontrolla) questa voce relativa al file scrsvr.exe?

Logicamente in win.ini sezione [windows]hai tolto la voce:

“%Windows%\SCRSVR.EXE”

Al limite installa un programma che uccide i processi da utilizzare con il processo relativo a questo file (appena il processo si attiva magari cercalo nel registro con questo nome).

Ciao

valeriaccio · 03-10-2002, 11:05

nel registro non c'è e nel win.ini lo elimino e mi ricompare al riavvio.
Mi dai ulteriori informazioni sul programma che uccide i processi?
>Ciao

Bilancino · 03-10-2002, 11:37

Anche trend micro dice di fare le stesse mosse che hai fatto e niente più..........ma dice inoltre di fare una scansione on line.......prova, altro non saprei.....questo virus è un backdoor
Il file ScrSVr.exe è stato cancellato?

Ciao

valeriaccio · 03-10-2002, 11:53

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

valeriaccio · 03-10-2002, 12:07

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

Bilancino · 03-10-2002, 14:34

Quote:

Originariamente inviato da valeriaccio
[b] MA COME LO BECCO?

Forse l'unica soluzione e installare un programma che vede i processi attivi e quando riconosci un processo strano lo devi cercare nel registro...........

Ciao

valeriaccio · 03-10-2002, 14:46

dove lo trovo un programma del genere? non ne conosco

Bilancino · 03-10-2002, 14:53

http://digilander.libero.it/andreain...protection.htm

c'è winpatrol o sentinel.

Ciao

amvinfe · 03-10-2002, 21:19

Quote:

Originariamente inviato da valeriaccio
[b]IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

Hai provato ad eliminare scrsvr.exe in WINDOWS e ScrSvrOld in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ e ScrSvr in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ in modalità provvisoria?
Ciao Marco(amvinfe)

valeriaccio · 04-10-2002, 16:13

ho ricontrollato ciò che diceva carlo ma non c'è nulla nel registro di configurazione di windows, nè nella posizione da lui indicata nè altrove.
Adesso ho installato il Winpatrol e il Northon personal firewall, gli avvisi dell'antivirus sono diminuiti ma ci sono sempre(file scrsvr.exe) e winpatrol mi avvisa sempre dei tentativi di modifica del win.ini.
Il problema seppur circoscritto non è risolto perchè non si riesce a capire cosa fa rigenerare il file scrsvr.exe.
Se qualcuno sa darmi altre dritte è il benvenuto.

ciao Valerio

Muscle.it · 06-10-2002, 10:29

succede anche a me, ho pulti il win.ini e il file di registro regedit, cancellando il scrsvr.exe ma ogni tanto PcCillin mi segnala il virus e me lo mette in quarantena.
Per questo faccio uppare il tuo post!

drivebull · 06-10-2002, 15:46

Ciao a Valeriaccio e a tutti quelli che condividono lo stesso mio problema con Opaserv. Cio' che e' veramente incredibile e' che nessuno dei siti antivirus ufficiali tratti di questo fenomeno! Ma, a quanto vedo, non solo solo.
Quanto posso dire per cercare di dare un contributo alla comunita' e' dire che ho osservato che, se non sono connesso ad internet, l'antivirus Norton non mi da' mai sagnalazione che e' in corso una nuova infezione... in altre parole, l'infezione avviene solo se sono connesso!!! - INOLTRE, ho notato che, pochi secondi prima che mi appaia la finestra di allarme, la icona del collegamento internet segnala piena attivita', e, guardando meglio in dettaglio, ho visto che e' in corso un download, anche se magari, in quel momento, non sto navigando. IL SOSPETTO E' che, anche se abbiamo ripulito il computer alla perfezione, il worm ritorni "da solo" attraverso la connessione internet (non chiedetemi come, considerato anche che il mio provider mi assegna un IP dinamico, quindi ogni volta diverso).
E poi.... nessuno ci ha mai spiegato come abbiamo contratto il virus la prima volta! Visto che non si propaga per posta elettronica, ma attraverso networks! E, nel mio caso, si tratta di un singolo PC!!!
Come dicevo, scusate l'ignoranza, questo e' tutto quello che posso dire!!! Ciao!

amvinfe · 06-10-2002, 16:02

Non essendo io infetto da questo worm, non posso fare un test direttamente sulla mia macchina, ma rileggendo accuratamente ciò che viene scritto in nai.com la macchina infetta dovrebbe avere in C: i files C:\SCRSDAT.IN, C:\SCRSDAT.OUT (local infection)
C:\TMP.INI (when machine remotely infected) ed inoltre deve avere un collegamento diretto ad un sito, che ho letto da qualche parte ma non ricordo dove, che una volta connessi si collega e scarica in automatico l'.exe. Cerco di spremere le meningi e ricordare dove cavolo l'ho letto, nel caso sarà mia premura postare l' URL, per poi poterlo bloccare nei Pc con Firewall installato.
Marco(amvinfe)

Bilancino · 06-10-2002, 16:15

http://www.sophos.com/virusinfo/anal...2opaservb.html

http://www.bitdefender.com/virusi/vi...p?virus_id=101

che virus maledetto.......

Ciao

amvinfe · 06-10-2002, 16:19

This worm propagates via network shared C:\ drives by looking for machines in the same domain that has these drives with full access. It registers itself as a service process and repetitively scans for machines connected to the network. It uses SMB (Server Message Block Protocol) commands to access the shared drives.

It also appears that this worm sends information to the site http://www.op<blocked>soft.com, and that it has the capability to download updated copies of itself from this site. However, at the time of writing, this site is currently down and inaccessible.

Upon execution, this worm drops a copy of itself named SCRSVR.EXE in the Windows directory of both the local machine and all the remote machines with shared drives.

It then deletes the copy that was originally executed, provided that this copy is not located in the Windows directory.

It also drops the following files in the root directory of drive C.

SCRSIN.DAT
SCRSOUT.DAT
SCRLOG2
It uses these files during the information exchange with http://www.op<blocked>soft.com. The third file, SCRLOG2, is the new file dropped by this OPASOFT variant, and is not dropped by earlier versions of the worm.

da: trendmicro

è ovvio dunque la presenza di un trojan all'interno di una macchina infetta, ed esistono 3 varianti del virus!

immobilelorenzo · 06-10-2002, 19:32

io oltre a tutto ciò ho provato anche a mettere di sola lettura il file win.ini e funziona!

drivebull · 09-10-2002, 16:55

Ho installato un firewall (Agnitum Outpost Firewall 1.0), l'ho scelto nella versione FREE, e mi trovo benissimo, adesso non ho piu' il problema... Il firewall ha anche una finestra che visualizza tutti i tentativi di connessione "sospetta", che evidenzia una attivita' abbastanza frenetica (in media, un tentativo ogni 8 minuti).
Consiglio il firewall a tutti voi che avete questo problema... la navigazione diventa veramente molto piu' sicura!

ANAKIN_7x · 11-10-2002, 08:36

raga, il virus lo richiappiamo tutte le volte che ci colleghiamoa una rete, dsl o dial-up che sia.
Questo non so bene perchè, perchè io ho una dial-up ma tutte le volte che mi collego mi ribecca.
Ho letto che c'e' un apatch per windows per la sicurezza dello sharing dei file e dei dischi, lìho installata e mi si è crashato il pc!!!

Ma disabilitando la condivisone del disco c o mettendola in sola lettura o protetta da password, non mi ritorna il virus.
Ma non capisco sta' storia della patch Ms che doveva risolvere.
P.s: a me il tools della symantec non ha trovato un bel niente.....

Fatemi sapere

Ciauz!!!!

valeriaccio · 11-10-2002, 08:46

non so se è stato il nuovo removal tool di simantec o cosa, ma attualmente il norton non mi segnala + il file scrsvr.exe.
Il win patrol mi segnala ogni tanto la riga di comando che tenta di scrivere nel win.ini anche se disattivandolo non rilevo problemi.
Per sicurezza ho protetto il file win.ini da scrittura.

03-10-2002, 10:22	#1
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	un aiuto su w32.opaserv.worm Il mio antivirus ha rilevato il file scrsvr.exe infetto da virus w32.opaserv.worm e lo ho eliminato. Ho raccolto informazioni su questo virus sul sito della Symantec e ho corretto tutti gli errori provocati dal worm(modifiche nel file di registro di windows, in win.ini ecc.) sia manualmente sia con il removal tool di symantec. Il tool mi dice che ha eliminato con successo il worm e in effetti facendo una scansione completa del sistema non si rileva nulla. Il problema è che mentre lavoro, ad intervalli di circa 15' il Norton AV mi avvisa di aver trovato il solito file che io puntualmente elimino e successivamente se riavvio il sistema mi ricompaiono i comandi di esecuzione del file infetto in win.ini. Chi mi può aiutare?

03-10-2002, 10:44	#2
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Nel registro nel percorso: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run In the right panel, locate and delete the entry or entries: ScrSvr = %Windows%\ScrSVr.exe c'è ancora (ricontrolla) questa voce relativa al file scrsvr.exe? Logicamente in win.ini sezione [windows]hai tolto la voce: “%Windows%\SCRSVR.EXE” Al limite installa un programma che uccide i processi da utilizzare con il processo relativo a questo file (appena il processo si attiva magari cercalo nel registro con questo nome). Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

03-10-2002, 11:05	#3
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	che programma nel registro non c'è e nel win.ini lo elimino e mi ricompare al riavvio. Mi dai ulteriori informazioni sul programma che uccide i processi? >Ciao

03-10-2002, 11:37	#4
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Anche trend micro dice di fare le stesse mosse che hai fatto e niente più..........ma dice inoltre di fare una scansione on line.......prova, altro non saprei.....questo virus è un backdoor Il file ScrSVr.exe è stato cancellato? Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

03-10-2002, 11:53	#5
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	SI CANCELLATO IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

03-10-2002, 12:07	#6
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	SI CANCELLATO IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

03-10-2002, 14:46	#8
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	dove lo trovo dove lo trovo un programma del genere? non ne conosco

03-10-2002, 14:53	#9
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	http://digilander.libero.it/andreain...protection.htm c'è winpatrol o sentinel. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

04-10-2002, 16:13	#11
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	niente da fare ho ricontrollato ciò che diceva carlo ma non c'è nulla nel registro di configurazione di windows, nè nella posizione da lui indicata nè altrove. Adesso ho installato il Winpatrol e il Northon personal firewall, gli avvisi dell'antivirus sono diminuiti ma ci sono sempre(file scrsvr.exe) e winpatrol mi avvisa sempre dei tentativi di modifica del win.ini. Il problema seppur circoscritto non è risolto perchè non si riesce a capire cosa fa rigenerare il file scrsvr.exe. Se qualcuno sa darmi altre dritte è il benvenuto. ciao Valerio

06-10-2002, 10:29	#12
Muscle.it Member Iscritto dal: Sep 2001 Messaggi: 37	succede anche a me, ho pulti il win.ini e il file di registro regedit, cancellando il scrsvr.exe ma ogni tanto PcCillin mi segnala il virus e me lo mette in quarantena. Per questo faccio uppare il tuo post! __________________ Buone cose...cumbà!

06-10-2002, 15:46	#13
drivebull Junior Member Iscritto dal: Oct 2002 Messaggi: 2	Scusate l'ignoranza Ciao a Valeriaccio e a tutti quelli che condividono lo stesso mio problema con Opaserv. Cio' che e' veramente incredibile e' che nessuno dei siti antivirus ufficiali tratti di questo fenomeno! Ma, a quanto vedo, non solo solo. Quanto posso dire per cercare di dare un contributo alla comunita' e' dire che ho osservato che, se non sono connesso ad internet, l'antivirus Norton non mi da' mai sagnalazione che e' in corso una nuova infezione... in altre parole, l'infezione avviene solo se sono connesso!!! - INOLTRE, ho notato che, pochi secondi prima che mi appaia la finestra di allarme, la icona del collegamento internet segnala piena attivita', e, guardando meglio in dettaglio, ho visto che e' in corso un download, anche se magari, in quel momento, non sto navigando. IL SOSPETTO E' che, anche se abbiamo ripulito il computer alla perfezione, il worm ritorni "da solo" attraverso la connessione internet (non chiedetemi come, considerato anche che il mio provider mi assegna un IP dinamico, quindi ogni volta diverso). E poi.... nessuno ci ha mai spiegato come abbiamo contratto il virus la prima volta! Visto che non si propaga per posta elettronica, ma attraverso networks! E, nel mio caso, si tratta di un singolo PC!!! Come dicevo, scusate l'ignoranza, questo e' tutto quello che posso dire!!! Ciao!

06-10-2002, 16:02	#14
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Non essendo io infetto da questo worm, non posso fare un test direttamente sulla mia macchina, ma rileggendo accuratamente ciò che viene scritto in nai.com la macchina infetta dovrebbe avere in C: i files C:\SCRSDAT.IN, C:\SCRSDAT.OUT (local infection) C:\TMP.INI (when machine remotely infected) ed inoltre deve avere un collegamento diretto ad un sito, che ho letto da qualche parte ma non ricordo dove, che una volta connessi si collega e scarica in automatico l'.exe. Cerco di spremere le meningi e ricordare dove cavolo l'ho letto, nel caso sarà mia premura postare l' URL, per poi poterlo bloccare nei Pc con Firewall installato. Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

06-10-2002, 16:15	#15
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	http://www.sophos.com/virusinfo/anal...2opaservb.html http://www.bitdefender.com/virusi/vi...p?virus_id=101 che virus maledetto....... Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

06-10-2002, 16:19	#16
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	This worm propagates via network shared C:\ drives by looking for machines in the same domain that has these drives with full access. It registers itself as a service process and repetitively scans for machines connected to the network. It uses SMB (Server Message Block Protocol) commands to access the shared drives. It also appears that this worm sends information to the site http://www.op<blocked>soft.com, and that it has the capability to download updated copies of itself from this site. However, at the time of writing, this site is currently down and inaccessible. Upon execution, this worm drops a copy of itself named SCRSVR.EXE in the Windows directory of both the local machine and all the remote machines with shared drives. It then deletes the copy that was originally executed, provided that this copy is not located in the Windows directory. It also drops the following files in the root directory of drive C. SCRSIN.DAT SCRSOUT.DAT SCRLOG2 It uses these files during the information exchange with http://www.op<blocked>soft.com. The third file, SCRLOG2, is the new file dropped by this OPASOFT variant, and is not dropped by earlier versions of the worm. da: trendmicro è ovvio dunque la presenza di un trojan all'interno di una macchina infetta, ed esistono 3 varianti del virus! __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

06-10-2002, 19:32	#17
immobilelorenzo Member Iscritto dal: Aug 2002 Messaggi: 19	io oltre a tutto ciò ho provato anche a mettere di sola lettura il file win.ini e funziona!

09-10-2002, 16:55	#18
drivebull Junior Member Iscritto dal: Oct 2002 Messaggi: 2	Firewall Ho installato un firewall (Agnitum Outpost Firewall 1.0), l'ho scelto nella versione FREE, e mi trovo benissimo, adesso non ho piu' il problema... Il firewall ha anche una finestra che visualizza tutti i tentativi di connessione "sospetta", che evidenzia una attivita' abbastanza frenetica (in media, un tentativo ogni 8 minuti). Consiglio il firewall a tutti voi che avete questo problema... la navigazione diventa veramente molto piu' sicura!

11-10-2002, 08:36	#19
ANAKIN_7x Member Iscritto dal: Oct 2001 Messaggi: 111	Vhe bestiaccia... raga, il virus lo richiappiamo tutte le volte che ci colleghiamoa una rete, dsl o dial-up che sia. Questo non so bene perchè, perchè io ho una dial-up ma tutte le volte che mi collego mi ribecca. Ho letto che c'e' un apatch per windows per la sicurezza dello sharing dei file e dei dischi, lìho installata e mi si è crashato il pc!!! Ma disabilitando la condivisone del disco c o mettendola in sola lettura o protetta da password, non mi ritorna il virus. Ma non capisco sta' storia della patch Ms che doveva risolvere. P.s: a me il tools della symantec non ha trovato un bel niente..... Fatemi sapere Ciauz!!!!

11-10-2002, 08:46	#20
valeriaccio Junior Member Iscritto dal: Mar 2002 Messaggi: 25	ho risolto in parte non so se è stato il nuovo removal tool di simantec o cosa, ma attualmente il norton non mi segnala + il file scrsvr.exe. Il win patrol mi segnala ogni tanto la riga di comando che tenta di scrivere nel win.ini anche se disattivandolo non rilevo problemi. Per sicurezza ho protetto il file win.ini da scrittura.

Strumenti
Mostra una versione stampabile Invia questa pagina per email