un aiuto su w32.opaserv.worm

[nocturn]

file .ini non ne ho trovato neanche uno di quelli elencati finora
ma ho trovato la riga run: etc etc che fa avviare il virus!
e l'ho cancellata!
poi ogni tanto ma non sempre torvo le voci nel file di registro!
ma a volte neanche quelle dipende da pc a pc!
e poi trovo i file brazil.pif brazil.exe scvcr.exe alevir.exe marco.scr!
questo è quanto!
formattare non posso formattare!
ma la cosa strana è che su altri pc di miei amic l'ho tolto al volo!
qui torna sempre!
che balls se hai siggerimenti sono ben accetti!
ciao e grazie

[boboli]

...quanti PC hai in rete ???
dovresti verificare tutti i file *.ini (lo so.. two balls).....purtroppo in quelli si annida il comando che ti fa partire il file che ti fa ri-acquisire il virus......e se ce l'hai su un client ti infesti la rete.....inoltre dovresti cancellare tutti i files incriminati (brasil etc....) da tutti pc (lo so altre two balls...)...se qualcuno non te lo fa cancellare devi farlo da DOS.....
io ho dovuto cancellare i file conosciuti da DOS; rinominare alcuni .ini in .old per verificare che il sistema partisse comunque e poi eliminarli...modificare il win.ini manualmente, usare il tool della symantec......
a disposizione.....ciao Roby

[Burbero]

Anche io ho avuto il tuo problema.
L'ho risolto in questo modo:
Collegati al sito www.f-secure.com e scaricati il fix per opaworm, dopo averlo lanciato e fatto lavorare, trova il worm e lo cancella.
Dopo entra con il comando regedit in esegui (start ed esegui),vai in hkeylocalmachine,quindi in software,poi in microsoft,poi in windows,quindi in run e cancelli nel riquadro alla tua destra tutte le tracce che parlano di alevir.*,brasil.*,scrsvr.*,marco!.scr.
Chiudi e vai in runonce e cancella di nuovo il tutto.
Chiudi e vai in runservice e cancella di nuovo il tutto.
Fai attenzione alle varie cancellazioni perchè ti trovi nel file di registro di Windows!
Dopo fai ripartire il computer e munisciti del migliore antivirus in commercio (a mio parere) quale f-secure (costa circa 230 euro) e con quello sei tranquillo.
Buona fortuna.

[aletlinfo]

ueeeeeeeeeee..... meno male che esiste hwupgrade
credevo di impazzire, adesso che so che non sono solo sto meglio
due mezze giornate passate intorno ad una rete con sto c.. di opaserv, con variante G, E che ricompare ad ogni connessione internet. Tra l'altro mi è comparso anche il Funlove e lo spaces (rimossi senza problemi).
PS. Il cliente il virus se lo è beccato con il norton 2002 aggionatissimo su tutti i pc della rete.

Comunque in questa discussione ho lettto un po di cose interessanti e domani le proverò

Un'altra cosa. Sul computer dove appaiono i continui avvisi di file infetti (alevir, marco! brasil etc...etc...) se si prova a stampare compare uno strano messaggio di errore mentre le stampe inviate sulla stessa stampante ma da altri pc della rete funzionano!!! a qualcuno succede anche questo?

saluti a tutti

[aletlinfo]

ecco cos'ho inutilmente tentato
Ho spento l'hub e poi su ogni computer della rete ho disattivato la condivisione file/pr, riavviato in modalità provvisoria, passato il tool fixopasrv e quello di f-prot (che non hanno mai trovato niente!!), rimosso tutte le voci sospette dal registro e win.ini (alevir.*,brasil.*,scrsvr.*,marco!.scr) e ricercato i file mensionati che dovrebbero annidarsi nella root o nella windows.
Ma purtroppo l'opaserv continua a venir fuori. Non solo, su un pc il norton ha rilevato l'scrsrv.exe quando il pc era scollegato dalla rete e da internet.

Allora? qualcuno è riuscito ha capirci qualcosa?

[boboli]

prova a fare una ricerca su tutto l'HDisk dei file scr*.* opaserv*.* brasil.* e vedi cosa salta fuori.....
poi fai pure una ricerca dei file *.ini e vedi se ce ne sono di modificati recentemente o con delle date future (io ieri sera in un client al lavoro avevo un bel 13/11/2106.....) ed eventualmente verifica il loro contenuto...
in bocca al lupo!!!!!

[aletlinfo]

SPARITI TUTTI?
Ho l'impressione di essere rimasto il solo ad aver problemi con l'opaserv!!!
Per favore, qualcuno che si degni di darmi un'indicazione esiste?

[aletlinfo]

Grazie Boboli, però la vedo bruttina... un'altro mio cliente con 5 computer collegati in rete, ha chiamato proprio stamani per lo stesso virus. Anche li, ho provato tutte le varie procedure ma continuano a comparire i messaggi dei vari scrsvr.exe o brasil o marco! o alevir che il norton blocca.
Inoltre capita che sui computer dove il norton blocca questi file le stampanti smettono di funzionare; appena si lancia una stampa compare il messaggio "Impossibile impostare la stampante".
Per risolvere questo problema basta rimuovere e reinstallare le stampanti.

Ho anche provato ad installare winpatrol e zonealarm per tenere sotto controllo il virus ma rilevare niente di apparentemente strano.

A questo punto mi metto a spulciare i .ini come dici tu boboli, se non trovo niente proverò a togliere la condivisione del disco C condividendo solo alcune cartelle.
Una cosa: I tool non servono a niente!!!

grazie ancora, ma gli altri hanno risolto tutti?

[aletlinfo]

ALLORA.... in definitiva, non sono riuscito a individuare e rimuovere chi genera l'opaserv e secondo me NON SI RIMUOVE. Forse però la soluzione (se così vogliamo chiamarla) sta nel togliere la condivisione all'intero disco C: e metterla solo alle cartelle che interessano al cliente, togliendo la condivisione quindi alla root e alla cartella windows, come ho letto da qualche parte in questa discussione.. mi pare

In una rete di 5pl da stamani non hanno più avuto problemi dopo aver fatto come descritto sopra (forse un po presto per cantare vittoria) se non funziona poi

Riassumendo i vari passaggi raccolti in questa discussione:

...da eseguire su tutti i pc della rete.

1) Scollegare tutti i pc dalla rete

2) Riavviare in mod. provvisoria

3) trovare ed eliminare/rinominare tutti i seguenti file:
\put.ini
\tmp.ini
\institu.vat
\gustav.sap
\scrsin.dat
\scrsout.dat
\windows\crsvr.exe
\windows\scrsin*.*
\windows\opas*.*
\windows\brasil*.*
\windows\alevir*.*
\windows\marco*.*
\windows\instit.bat
e chi più ne ha più ne metta

4) nella chiave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
rimuovere qualsiasi voce che riguardi i file seguenti
run=c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr,c:\windows\scrsvr.exe,c:\windows\instit.bat

5) stessa cosa nel win.ini nella sezione [WINDOWS]

6) scaricare la patch microsoft per il bug di windows
http://www.microsoft.com/technet/tre...n/MS00-072.asp

7) TOGLIERE LA CONDIVISIONE ALL'INTERO DISCO e condividere solo quelle cartelle che interessano. L'importante è che rimangano non condivise la cartella windows e la root

8) Nel caso di problemi con le stampanti, rimuovere e reinstallare

9) Installare un Firewall. Io ho provato a mettere zonealarm (MI BLOCCA UN CASINO DI ACCESSI). Ho installato anche winpatrol per controlare le eventuali modifiche al registro.

10) Riavviare e provare. Se i messaggi del norton continuano .. .. ... ........................................................................................ installate windows 2000 o XP


i tool della symantec e f-prot non credo facciano più di questo e comunque a me non hanno mai individuato nessun file ma piuttosto hanno lasciato file come put.ini etc... nel pc.

Spero di essere stato utile a qualcuno
saluti a tutti

[red eye]

Ciao ragazzi,
anche io combatto nei ritagli di tempo con questo simpatico worm, e ho notato che oltre ai files di cui avete parlato fin'ora, c'è un richiamo ad un file batch nel win.ini con un nome molto banale (ora non lo ricordo) ma facilmente confondibile con un file di sistema, che richiamava un altro file batch, che richiamava un altro file batch (con una serie di ifexist..) che era finalmente il file che ho scoperto installava il worm...
:s

[ANAKIN_7x]

Ciao,
oltre a rimuovere tutto (chiavi registro, file ,etc.), penso che il virus si "propaghi" da solo sotto internet magari ha un range di IP (una miriade) nel quale tenta di entrare, e quelli che hanno la condivisione in lettura scrittura senza pw, se lo beccano tutti.
Io penso che la cosa migliore al momento sia rimuovere il virus e le chiavi "bacate", poi togliere dal tcp/ip dell'accesso remoto nella cartella Binding il flag su condivisione file e stampanti.
A meno che non dobbiate fare una rete su tcp/ip di accesso remoto.....così funziona!
Il fatto è.....chi è che manda sto' opaserv? da che server parte?


Comunque meglio di nulla...........

Commenti e suggerimenti sono ben accetti...


Ciauz!!!!!!!!!!

[aletlinfo]

E SE IL VIRUS NON FOSSE ANCORA CONOSCIUTO?
Mi pare che le modifiche al registro e al win.ini vengono fatte anche con l'antivirus attivo e bello aggiornato.
Quindi il worm, che è gia attivo in memoria fa quello che gli pare, non viene bloccato direttamente. Mentre i famosi file alevir, marco!, brasil etc... vengono tutti perfettamente riconosciuti ed eliminati o spostati in quarantena dall'antivirus.
Quindi non possono essere quelli che causano di modifiche o altri strani effetti.
Il baco che fa tutto questo deve essere un'altro, che se ne sta tranquillamente annidato sotto la windows e magari mascherato dentro un altra applicazione che al controllo del firewall passa tranquillamente perchè conosciuta.

........non sta in piedi?
forse è come dici te ANAKIN_7x... gli attacchi partono in modo random da internet (strano però che quando lo becchi una volta poi non ti molla più). Voglio provare anche ad eliminare dal binding del tcp/ip di accesso remoto la condivisione file (ma poi IExplorer, Outlook nonchè applicazioni filesharing chat etc... funzionerà tutto?)
Comunque grazie per il suggerimento

PS. il problema lo devono avere in molti; basta fare un giretto per i tanti forum hw simili per trovare discussioni tipo questa.

red eye... il file batch è per caso instit.bat?

[nocturn]

io ancora non ho risolto sono stati apposto per 24 oreora è tornato!
che balls non so + che fare se qualcuno sa qualcosalo mettesse online!
ciauz!

[monkey72]

anche nel mio posto di lavoro è successo di avere una decina di client win98 infettati dall'opaserve. Quello che abbiamo fatto io e i miei colleghi è stato di: staccare i cavi di rete, applicare i removal tool, eliminare la riga del win.ini, modificare il registro di configurazione ed eventualmente eliminare i file infetti come suggerito dalla norton e/o dalla mcaffe ma come rimettevamo i cavi di rete il virus ricompariva di nuovo, fino a quando ci siamo resi conto che c'era un pc che non avevamo preso in considerazione in questa fase di pulizia xchè pensavamo non fosse infetto, invece semplicemente non aveva l'av aggiornato => l'opaserve non veniva rilevato su quel pc che continuava a spargere il virus indisturbato agli altri pc in rete
devo dire però che una 10-na di giorni ci sono voluti x arrivare alla soluzione

[aletlinfo]

ATTENZIONE!!!
Come dicevo, l'opaserv è solo l'effetto non la causa
Nei computer infetti, deve essere installato un programma che l'opaserv usa per infiltrarsi, oppure il programma stesso, richiama e tenta si scaricare l'opaserv.
Il misterioso programma non deve essere un virus, altrimenti l'antivirus lo bloccherebbe.

Oggi pomeriggio, su una rete di 6 pc infestata dall'opaserv ho individuato, grazie allo zonealarm il file GMT.EXE e il CMESYS.EXE che tentavano l'accesso all'indirizzo 127.0.0.1 porta 1038.
Questi file sono stati installati dal cliente con un certo programma GAIN - CME II application che dovrebbe avere la funzione di velocizzare il collegamento internet e questo è il link che ho trovato nella cartella del programma http://www.gatoradvertisinginformationnetwork.com
Il programma viene installato nella C:\PROGRAMMI\FILE COMUNI\CMEII

Con mia sorpresa ho ritrovato il CMESYS.EXE nella guida di WINPATROL e viene classificato assieme ad altri come spyware pericoloso e viene consigliato proprio di rimuoverlo.

Ecco i file da tenere sottocchio:
BARGAINS.EXE
NEWDOTNRT.DLL
SAVENOW.EXE
DW.EXE
WNAD.EXE
AORNUM.EXE
CTBCLICK.EXE
SP.DLL/SP.REG
TSADBOT.EXE
GAIN_TICKLER*.EXE
GTM.EXE
CMESYS.EXE <------- sto figlio di p....
PTSNOOP.EXE
GATOR.EXE

fatevi subito una ricerca sia nella WINDOWS che nella cartella PROGRAMMI; se trovate uno di questi file probabilmente avete trovato chi richiama l'opaserv. uccidetelo!

[_HoLLyN119_]

anche io ho avuto lo stesso medesimo problema con opaserv che mi diceva tutta la menata di scresv.exe brasil e cosi via....o scaricato diverse fix e poi ritornava..morale ho dovuto formattare 3 partizoini su 3 poi siccome rimane ancora fare scansione online con avg e rimuoverlo,se uno formatta e schiaccia qualche eseguibile doo il virus ritorna..
ciao

[boboli]

AAAAAAAAAAHHHHHHHHHHH!!!!!!!!!!!!!!!!!!!!!!
beccato per la seconda volta al lavoro...e sta volta non riesco a debellarlo.....(lui crede...alla fine vincerò io...)

vi faccio sapere...
ciauz
Roberto

[aletlinfo]

ma allora forse non avete capito...
non dovete cercare di ripulire windows dall'OPASERV!!!
questo lo fa gia l'antivirus
dovete cercare l'appilicazione, installata sulla vostra macchina che si scarica tutte le volte l'opaserv!!!!!
fatevi una ricerca dei file come ho scritto 2 messaggi fa, e poi fatemi sapere.

L'OPASERV di per se è un virus che si rimuove facilmente da windows. Il fatto che ritorni sempre non è attribuibile a questo virus ma ad un programma che risiede indisturbato sul vostro pc e che l'antivirus non considera pericoloso.
leggete bene il messaggio che ho lasciato venerdi sera.. penso che la soluzione stia li.

[boboli]

ho installato OUTPOST ed ha fatto da schermo...ora aspetto al varco il programmino che vorrebbe riconnettersi al/ai siti incriminati......e poi ZACKKKKKKKKK.....

ciao
Roby

[red eye]

ragazzi, leggendo gli ultimi articoli mi sono reso conto che c'è un po' di ignoranza su come funzionano trojan, spyware, worm etc.. etc..
pur non essendo una persona preparatissima in materia, volevo sottolineare alcune cose:

opaserv non è un programma senziente
non si propaga, non si installa da solo e non fa nulla di particolare.
Ha solo un modo molto semplice di essere introdotto (da qualcuno, che con degli ip port scanner si diverte a trovare persone con hd condivisi).

Proteggere con la password il proprio hd e le cartelle condivise
non serve a nulla, e vi riporto di seguito il perchè: (tagliato dalla mailing list di pc-facile.com, una mailing list che, al di la' del nome, è molto interessante)

Paolo Attivissimo (http://www.attivissimo.net) mi invia:
Indagando su un virus, Opaserv
(http://www.trendmicro.com/vinfo/viru...WORM_OPASERV.E), uscito alcuni giorni fa ho scoperto che sfrutta una falla di Windows (versioni 95/98/ME) che ha dello stupefacente per diffondersi a tutte le macchine della rete locale. L'utente diligente che condivide file e stampanti adotta la precauzione di proteggere queste risorse con una password di condivisione, ma in realtà quella password è una cortina di fumo, perché è facilissimo indovinarla.

Infatti Windows (95/98/ME) ha un difetto colossale nel metodo di verifica della password: non ne controlla la lunghezza. Mettiamo che il computer A di Angelo voglia condividere una cartella del computer B di Beatrice. A dice a B: “la password è lunga un carattere ed è 'a'”. Sapete B come gli risponde? B si fida della lunghezza comunicata da A (sì, avete letto bene), guarda la password effettiva e ne legge soltanto il primo carattere (perché leggere oltre, visto che A gli ha detto che la password ha quella lunghezza?). Se il carattere non è quello indicato da A, gli risponde “no, non è la password giusta”; se A ha indovinato, B risponde “giusto, ma c'è qualcosa che non va lo stesso”.

Stando così le cose, basta procedere per tentativi: il computer A dice “la password è lunga 1 ed è 'a'”, “la password è lunga 1 ed è 'b'”... e così via, finché B gli risponde “giusto, ma c'è qualcosa che non va lo stesso”.
Ora A sa la prima lettera della password di B. Basta ripetere il procedimento per le lettere successive e in men che non si dica si ottiene la password completa, così Angelo può leggere e scrivere tutte le cartelle condivise che Beatrice crede di aver protetto con una password.

L'intero procedimento può essere automatizzato con un programmino come quello che ho appena provato:
http://online.securityfocus.com/data...sharehack2.zip
e che mi ha trovato la password in meno di mezzo minuto. Te la vedi indovinare sotto il naso, una lettera alla volta.
Microsoft ha rilasciato la correzione mesi fa, per cui consiglio vivamente a chi usa Windows 95/98/ME di installarla!

Altre informazioni sono disponibili presso:
http://www.securityfriday.com/Topics/share_passwd.html
http://www.nsfocus.com/english/homepage/sa_05.htm