un aiuto su w32.opaserv.worm

[valeriaccio]

Il mio antivirus ha rilevato il file scrsvr.exe infetto da virus w32.opaserv.worm e lo ho eliminato. Ho raccolto informazioni su questo virus sul sito della Symantec e ho corretto tutti gli errori provocati dal worm(modifiche nel file di registro di windows, in win.ini ecc.) sia manualmente sia con il removal tool di symantec. Il tool mi dice che ha eliminato con successo il worm e in effetti facendo una scansione completa del sistema non si rileva nulla.
Il problema è che mentre lavoro, ad intervalli di circa 15' il Norton AV mi avvisa di aver trovato il solito file che io puntualmente elimino e successivamente se riavvio il sistema mi ricompaiono i comandi di esecuzione del file infetto in win.ini.
Chi mi può aiutare?

[Bilancino]

Nel registro nel percorso:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
ScrSvr = %Windows%\ScrSVr.exe

c'è ancora (ricontrolla) questa voce relativa al file scrsvr.exe?

Logicamente in win.ini sezione [windows]hai tolto la voce:

“%Windows%\SCRSVR.EXE”

Al limite installa un programma che uccide i processi da utilizzare con il processo relativo a questo file (appena il processo si attiva magari cercalo nel registro con questo nome).

Ciao

[valeriaccio]

nel registro non c'è e nel win.ini lo elimino e mi ricompare al riavvio.
Mi dai ulteriori informazioni sul programma che uccide i processi?
>Ciao

[Bilancino]

Anche trend micro dice di fare le stesse mosse che hai fatto e niente più..........ma dice inoltre di fare una scansione on line.......prova, altro non saprei.....questo virus è un backdoor
Il file ScrSVr.exe è stato cancellato?

Ciao

[valeriaccio]

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

[valeriaccio]

IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

[Bilancino]

Quote:

Originariamente inviato da valeriaccio
[b] MA COME LO BECCO?

Forse l'unica soluzione e installare un programma che vede i processi attivi e quando riconosci un processo strano lo devi cercare nel registro...........

Ciao

[valeriaccio]

dove lo trovo un programma del genere? non ne conosco

[Bilancino]

http://digilander.libero.it/andreain...protection.htm

c'è winpatrol o sentinel.

Ciao

[amvinfe]

Quote:

Originariamente inviato da valeriaccio
[b]IL FILE SCRSVR.EXE LO ELIMINO OGNI VOLTA CHE L'ANTIVIRUS ME LO SEGNALA. HO PROVATO A FARE ANCHE SCANSIONI ON LINE SIA CON TRENDMICRO CHE CON SYMANTEC MA NON TROVA NIENTE ANCHE PERCHè SE ELIMINO IL FILE SCRSVR.EXE IL SISTEMA è PULITO. CI SARA' DA QUALCHE PARTE UN FILE CHE RIGENERA IL FILE E QUINDI IL VIRUS, MA COME LO BECCO?

Hai provato ad eliminare scrsvr.exe in WINDOWS e ScrSvrOld in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ e ScrSvr in HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ in modalità provvisoria?
Ciao Marco(amvinfe)

[valeriaccio]

ho ricontrollato ciò che diceva carlo ma non c'è nulla nel registro di configurazione di windows, nè nella posizione da lui indicata nè altrove.
Adesso ho installato il Winpatrol e il Northon personal firewall, gli avvisi dell'antivirus sono diminuiti ma ci sono sempre(file scrsvr.exe) e winpatrol mi avvisa sempre dei tentativi di modifica del win.ini.
Il problema seppur circoscritto non è risolto perchè non si riesce a capire cosa fa rigenerare il file scrsvr.exe.
Se qualcuno sa darmi altre dritte è il benvenuto.

ciao Valerio

[Muscle.it]

succede anche a me, ho pulti il win.ini e il file di registro regedit, cancellando il scrsvr.exe ma ogni tanto PcCillin mi segnala il virus e me lo mette in quarantena.
Per questo faccio uppare il tuo post!

[drivebull]

Ciao a Valeriaccio e a tutti quelli che condividono lo stesso mio problema con Opaserv. Cio' che e' veramente incredibile e' che nessuno dei siti antivirus ufficiali tratti di questo fenomeno! Ma, a quanto vedo, non solo solo.
Quanto posso dire per cercare di dare un contributo alla comunita' e' dire che ho osservato che, se non sono connesso ad internet, l'antivirus Norton non mi da' mai sagnalazione che e' in corso una nuova infezione... in altre parole, l'infezione avviene solo se sono connesso!!! - INOLTRE, ho notato che, pochi secondi prima che mi appaia la finestra di allarme, la icona del collegamento internet segnala piena attivita', e, guardando meglio in dettaglio, ho visto che e' in corso un download, anche se magari, in quel momento, non sto navigando. IL SOSPETTO E' che, anche se abbiamo ripulito il computer alla perfezione, il worm ritorni "da solo" attraverso la connessione internet (non chiedetemi come, considerato anche che il mio provider mi assegna un IP dinamico, quindi ogni volta diverso).
E poi.... nessuno ci ha mai spiegato come abbiamo contratto il virus la prima volta! Visto che non si propaga per posta elettronica, ma attraverso networks! E, nel mio caso, si tratta di un singolo PC!!!
Come dicevo, scusate l'ignoranza, questo e' tutto quello che posso dire!!! Ciao!

[amvinfe]

Non essendo io infetto da questo worm, non posso fare un test direttamente sulla mia macchina, ma rileggendo accuratamente ciò che viene scritto in nai.com la macchina infetta dovrebbe avere in C: i files C:\SCRSDAT.IN, C:\SCRSDAT.OUT (local infection)
C:\TMP.INI (when machine remotely infected) ed inoltre deve avere un collegamento diretto ad un sito, che ho letto da qualche parte ma non ricordo dove, che una volta connessi si collega e scarica in automatico l'.exe. Cerco di spremere le meningi e ricordare dove cavolo l'ho letto, nel caso sarà mia premura postare l' URL, per poi poterlo bloccare nei Pc con Firewall installato.
Marco(amvinfe)

[Bilancino]

http://www.sophos.com/virusinfo/anal...2opaservb.html

http://www.bitdefender.com/virusi/vi...p?virus_id=101

che virus maledetto.......

Ciao

[amvinfe]

This worm propagates via network shared C:\ drives by looking for machines in the same domain that has these drives with full access. It registers itself as a service process and repetitively scans for machines connected to the network. It uses SMB (Server Message Block Protocol) commands to access the shared drives.

It also appears that this worm sends information to the site http://www.op<blocked>soft.com, and that it has the capability to download updated copies of itself from this site. However, at the time of writing, this site is currently down and inaccessible.

Upon execution, this worm drops a copy of itself named SCRSVR.EXE in the Windows directory of both the local machine and all the remote machines with shared drives.

It then deletes the copy that was originally executed, provided that this copy is not located in the Windows directory.

It also drops the following files in the root directory of drive C.

SCRSIN.DAT
SCRSOUT.DAT
SCRLOG2
It uses these files during the information exchange with http://www.op<blocked>soft.com. The third file, SCRLOG2, is the new file dropped by this OPASOFT variant, and is not dropped by earlier versions of the worm.

da: trendmicro

è ovvio dunque la presenza di un trojan all'interno di una macchina infetta, ed esistono 3 varianti del virus!

[immobilelorenzo]

io oltre a tutto ciò ho provato anche a mettere di sola lettura il file win.ini e funziona!

[drivebull]

Ho installato un firewall (Agnitum Outpost Firewall 1.0), l'ho scelto nella versione FREE, e mi trovo benissimo, adesso non ho piu' il problema... Il firewall ha anche una finestra che visualizza tutti i tentativi di connessione "sospetta", che evidenzia una attivita' abbastanza frenetica (in media, un tentativo ogni 8 minuti).
Consiglio il firewall a tutti voi che avete questo problema... la navigazione diventa veramente molto piu' sicura!

[ANAKIN_7x]

raga, il virus lo richiappiamo tutte le volte che ci colleghiamoa una rete, dsl o dial-up che sia.
Questo non so bene perchè, perchè io ho una dial-up ma tutte le volte che mi collego mi ribecca.
Ho letto che c'e' un apatch per windows per la sicurezza dello sharing dei file e dei dischi, lìho installata e mi si è crashato il pc!!!
Ma disabilitando la condivisone del disco c o mettendola in sola lettura o protetta da password, non mi ritorna il virus.
Ma non capisco sta' storia della patch Ms che doveva risolvere.
P.s: a me il tools della symantec non ha trovato un bel niente.....

Fatemi sapere

Ciauz!!!!

[valeriaccio]

non so se è stato il nuovo removal tool di simantec o cosa, ma attualmente il norton non mi segnala + il file scrsvr.exe.
Il win patrol mi segnala ogni tanto la riga di comando che tenta di scrivere nel win.ini anche se disattivandolo non rilevo problemi.
Per sicurezza ho protetto il file win.ini da scrittura.