PDA

Visualizza versione completa : il virus w32.opaserv.worm non va via!!


bonobs2002
23-10-2002, 22.35.25
ho un pc con win 98 seconda edizione con il norton 2002 sempre aggiornato e sono infettato da virus w32.opaserv.worm!!!

ad ogni avvio mi cerca di caricare il file scrsvr.exe :
ho gia rimosso dal win.ini e da msconfig (esecuzione automatica)
la riga di comando che lo fa avviare... ma dopo poche ore mi si ripresenta lo stesso messaggio di infezione!!
ho provato anche ha rimuovere il file scrsvr.exe da dos ma nulla da fare!!!
Che posso fare... sono disperato, e non posso formattare!!!

HELP PLS!!!!

guido.bonomelli@tin.it(W) (W)

The Saint
24-10-2002, 00.51.20
Hai provato ad usare il tool di rimozione specifico x questo virus?

http://www.symantec.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html

Roby77
24-10-2002, 10.35.28
Ciao a tutti.

Anche io ho degli "amici" che hanno lo stesso problema!!!
E non si risolve.... la fix e le istruzioni di Symantec non servono
a niente! Noi abbiamo già provato di tutto dalle patch Microsoft
per Windows 9x o ME, alle fix (non solo Symantec), ad altri antivirus gratuiti e non, ecc.... ecc.....
Tutto inutile ! Siamo alla ricerca di una soluzione....
Qualcuno ci può aiutare ???

Grazie. CIAO! Roby77


:( :( :( :S :S :S

web
24-10-2002, 14.22.09
Anch'io ho avuto lo stesso problema; ho scaricato il prg della symantech ma non lo ha trovato.
Il problema è (non so se lo avete anche voi) che non mi stampa più da nessuna parte.
Le stampanti sono presenti nella cartella "STAMPANTI" ma ogni volta che lancio una stampa si presenta il messaggio che deve essere installato il relativo driver.
Sarà tutto collegato a questo virus?
saluti
web

bonobs2002
24-10-2002, 14.39.52
ho provato di tutto e di +!!!!
Non Va via sto cazz. di opaserv!!!

l'unica e immediata soluzione è stata quella di formattare il disco fisso e installare ad alcuni clienti win 2k...

ma da qualche parte ci sarà una soluzione... Dai Ricerchiamo ancora che ce la dobbiamo fare.-..
anche perchè tra i clienti che hanno questo virus ce ne stà uno che assolutamente non vuole formattare!!!Help!!!!!

Roby77
24-10-2002, 17.28.39
Sto provando di tutto.....
Anche io avrò almeno 12 PC da formattare.... merda!

x WEB -> le stampanti non vanno perchè il virus "simpaticone"
ti "mangia" il win.ini
Prova ad aprilo e vedrai che hai solo 2 righe !!! e lì c'è "solo"
la configurazione di buona parte di Windows.....

Cmq credo che il bastardo sfrutti un buco di Windows 9x e ME....
ho già scaricato e provato la patch Microsoft ma niente....

Sto provando anche adesso a pulire un PC....

Teniamoci in contatto !!!

Ciao. Roby77
(W) (W) (W) (W)

Roby77
24-10-2002, 18.46.45
Ciao,
forse ho scoperto la soluzione, o meglio, la parziale soluzione:
pulire il PC staccando la rete LAN e installare ZoneAlarm !
Infatti, adesso, appena mi collego ad Internet ZoneAlarm rileva un sacco di "attacchi"
sulla porta 137 e 139 del NetBios !
Rimane ancora sconosciuto, però, il file o lo script che esegue l'operazione.....
Se lo scopo vi faccio sapere....

CIAO! Alibaba

:S :S :D :D

web
24-10-2002, 20.09.23
X ROBY77
In effetti mangia le prime righe del win.ini dove chiama le stampanti.
Per ora non ho la soluzione.Il problema che il mio è un computer di rete e sta rimanendo isolato perchè non può stampare.
Speriamo di trovare una soluzione !
Non voglio formattare
web

P.S. Ho zone allarm ed ho ricevuto molti attachi!Ho visto che sono presenti molti files o prg con estensione .tmp

web
25-10-2002, 20.45.51
Qualcuno ha qualche soluzione?Sono nei casini?Non riesco a stampare.
saluti
web

bonobs2002
26-10-2002, 14.09.20
c'è un tizio che mi ha scritto una mail dicendo di avere la soluzione...
la sto aspettando..appena me la manda e dopo aver verificato il funzionamento la pubblicherò!!!!

A presto!!!!!:S kill opaserv!!!!!!!!!(Y)

Maurice_B
26-10-2002, 22.49.07
La mia esperienza è stata questa, se può servire a trovare una soluzione.
Ho portato a casa il PC del figlio per fare un formattone. Prima di procedere mi sono accorto che era infetto da w32.opaserv.
Ho riformattato e sono rimasto collegato in rete molte ore senza problemi, quindi il virus non c'era più. Alla fine del lavoro ho attivato MS Outlook e ripristinato tutte le cartelle di posta. Poi abbimo scaricato la nuova posta in arrivo. Poco dopo il virus si è ripresentato.
Abbiamo scaricato il Norton Professional 2003 trialware, ma senza risultato, come leggo anche dai post precedenti.
Il programma per pulire il virus ora non lo rileva più. Ogni 5 minuti Notron mi avvisa di aver fermato il virus, ma le righe "run=C:\WINDOWS\SCRSVR.EXEc:\windows\scrsvr.exe" oppure norun=C:\WINDOWS\ALEVIR.EXEc:\windows\ALEVIR.exe continuano a riapparire

Scusate se ho detto delle C*****E, non sono esperto di informatica.
Attendo speranzoso la soluzione dell'amico di bonobs2002!!

albe76
27-10-2002, 10.02.09
ciao, allora innanzitutto il virus sfrutta un buco microsoft (ma va?!) relativo alle condivisioni senza password su sistemi win95/98/me.

Per rimuoverlo provate così:

1- Scaricare la patch microsoft relativa all'indirizzo http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp
2- Scollegate tutti i pc dalla rete (internet e lan) o impostate come diritti di accesso quelli di sola lettura
3- lanciate uno degli infiniti tool di rimozione virus per l'opaserv
4- installate la patch microsoft
5- riavviate il pc
6- fate questo lavoro su tutti i pc
7- ricollegate i pc in rete ricreando le condivisioni

Buona pulizia a tutti e ricordate di aggiornare il S.O. Poi se volete impostare delle password nelle condivisioni, vedete un po' voi, un po' di sicurezza in + non fa mai male ;)

Ciao a tutti

Maurice_B
27-10-2002, 10.45.04
Ciao albe76,
avevo già provato a installare la patch seguendo le istruzioni che hai riportato anche tu, tuttavia succedeva che al riavvio del PC infetto tutto andava bene e una ulteriore verifica coo il tool di rimozione e Norton AV non rilevava più il virus, ma poco dopo essermi collegato in rete il virus si ripresentava, Norton faceva uscire il msg di blocco del virus, però il virus andava ancora a scrivere in win.ini.
Per non sapere né leggere né scrivere sono ripartito da capo e ho inoltre installato l'ultima versione free di ZoneAlarm.
Collegatomi in Internet il virus non è più comparso: vuol dire che il firewall sta facendo il suo dovere?
Saluti e in bocca al lupo a tutti

Giorgius
27-10-2002, 15.49.20
Lasciate perdere Il Norton. ;)

Esistono delle varianti del Virus che non vengono intercettate dall'utility della Symantec.

http://www.trendmicro.com/ftp/products/tsc/tsc.zip
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.B

L'utility "Stinger" della McAfee sembra essere molto efficace nel rimuoverlo (pur non avendolo in catalogo).
http://download.nai.com/products/mcafee-avert/stingersetup.exe
http://antivirus.about.com/gi/dynamic/offsite.htm?site=http://vil.nai.com/vil/stinger/


Byez!

Giorgius
27-10-2002, 15.56.26
Comunque, come Antivirus, usate il Free della www.grisoft.com (AVG Antivirus). ;)

bonobs2002
28-10-2002, 00.06.35
non ho ancora provato, ma domani mi catapulto in ufficio e vediamo che fine farà l'OPA!!!

mi hanno consigliato questa soluzione ...
fatemi sapere come finisce nel vostro caso!!!


il procedimento per l'eliminazione completa è:

1) Con "blocco note" apri il "win.ini" ed elimina la 2 o riga dove è
scritto
"run=c:\windows\scrsvr.exe"
poi salva il "win.ini"

2)Da START apri ESEGUI e digita "regedit" si apre il vero registo, seleziona
"Risorse del computer" e da modifica apri cerca, digita "scrsvr" e premi
invio.
Dipende quanto ha lavorato il virus in quanti posti si trova. Più ha
lavorato più posizioni ha occupato, ma quasi sicuramente il primo posto che
ti da ha il seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
e al primo posto della colonna nome trovi: scrsvr
mentre nella colonna dati in corrispondenza trovi: "c:\windows\scrsvr.exe"
Seleziona la riga e cancellala.

3) Premi "F3" per continuare la ricerca ed elimina ogni punto che riporta
tra i dati "scrsvr".
Continua fino a quando non ti appare la finestra che ti dice che è stata
portata a termine la ricerca nel Registro di configurazione

4) Riavvia il computer
Entra nella directory "windows" ed elimina il file "scrsvr.exe" (Attento se
clicchi 2 volte si riinstalla e devi ripartire da capo)

5) Per rendere perfetto il lavoro apri risorse del computer e cerca in
risorse del computer "scrsvr.exe" se ha lavorato puoi trovare alcune tracce
senza grosso valore, ma cancellale per eliminare ogni traccia.

Con le varianti si procede nella stesse maniera, ma si cerca il nome della
variante anzichè "scrsvr" ("brasil.pif è molto noioso, nel registro
esistono molte linee con il nome "BRASIL" per le le lingue e l'orologio e
ovviamente queste non vanno eliminate, bisogna stare molto attenti.

Ho proceduto cosi diverse volte su diversi computers e tutto è stato
risolto.



Ciao (S) (S) (Y)

web
28-10-2002, 14.06.27
x bonobs2002
Ho fatto a grandi linee quello che hai scritto; purtroppo il problema che non mi stampa sussiste sempre.
Allora:
Ho trovato dei riferimenti nel registro (che ti allego se c'entra) tra la seguente voce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\Doc Find Spec MRU.
Ho provveduto a rinominare l'scrsvr e brasil.
Poi ho provveduto a cambiare l'attributo di sola lettura per il file win.ini e ad ogni accensione non viene toccato:
le prime righe del mio file win.ini sono:


[windows]
load=
run=
NullPort=None
device=HP LaserJet 2200 Series PCL 5e,HPBF3210,DOT4_001
Comunque non riesco a trovare il bandolo della matassa.
Ho paura che se anche riformatto il problema sussisterebbe lo stesso, o no?
Saluti
web

Maurice_B
29-10-2002, 00.27.31
Comunque non riesco a trovare il bandolo della matassa.
Ho paura che se anche riformatto il problema sussisterebbe lo stesso, o no?


Purtroppo è così.

Ho riformattato un PC, ho caricato Win98 SE originale usato diverse volte, ho installato l'antrivirus suggerito da Giorgius (mi sembra più efficace e snello dl Norton, in più è gratis). Fin qui tutto bene.

Sono andato in rete per scaricare gli aggiornamenti di Windows e dopo pochi minuti, ad un altro controllo con l'AV, l'Opaserv era ritornato nel computer.

Allora sono andato su un altro computer con Win98 aggiornato e con ZoneAlarm attivo. Il worm non è ancora arrivato.

Qualcuno più bravo di me sa spiegarmi cosa vuol dire?

Carlo Casadio
29-10-2002, 04.01.09
Sono il tizio di Bonobs,finalmente ho la possibilità concessa dallo Staff di intervenire.
Mia regola prima(visto la molteplicità di programmi e aggionamenti installati) è RIPARARE e finora ci sono riuscito, NON HO MAI FORMATTATO, per reinstallare.

Ho preso il virus prima della sua comparsa ufficiale e continuo a prenderlo con costanza ogni tot di giorni allego cronistoria con soluzione completa come inviata a Bonobs:

"Io ho trovato la mattina del 29 settembre il file "scrsvr.exe" datato
7/2/2106 e con la stessa data modificato il "win.ini" nonostante le Norton
Antivirus sempre attive. Prima l'ho studiato, scannerizza le mie connessioni
alla velocità indicativa di 6 al secondo, finite queste ne scanerizza altre
a caso, in apparenza solo per replicarsi.
Ma purtroppo a volte da delle brutte sorprese, cancella parte del "win.ini"
per cui stampanti e scanner e altri programmi che necessitano di istruzioni
non funzionano più,
io sono riuscito avendo 2 macchine settate in maniera quasi identica con
pazienza e lavoro a riscriverlo (me ne mancava quasi il 70%) non ho
reinstallato niente.e per sicurezza ho fatto copie di riserva del "win.ini",
sai non si sa mai la prossima volta.
Ho già preso alcune varianti che hanno le stesse caratteristiche,
"brasil.pif" e "alevir.exe"
che ho rimosso nella stessa mariera dato che l'antivirus prima le lascia
entrare. poi se lo usi come scanner le trova ma dice che non le può
rimuovere perchè in uso e la pach apposita delle norton "FixOpsrv" neanche
le trova.
Il mio sitema è ME e i processori AMD 1200 con Norton Antivirus 2001,
connessione normale linea telefonica.

Comunque il procedimento per l'eliminazione completa è:

1) Con "blocco note" apri il "win.ini" ed elimina la 2 o riga dove è
scritto
"run=c:\windows\scrsvr.exe"
poi salva il "win.ini"

2)Da START apri ESEGUI e digita "regedit" si apre il vero registo, seleziona
"Risorse del computer" e da modifica apri cerca, digita "scrsvr" e premi
invio.
Dipende quanto ha lavorato il virus in quanti posti si trova. Più ha
lavorato più posizioni ha occupato, ma quasi sicuramente il primo posto che
ti da ha il seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
e al primo posto della colonna nome trovi: scrsvr
mentre nella colonna dati in corrispondenza trovi: "c:\windows\scrsvr.exe"
Seleziona la riga e cancellala.

3) Premi "F3" per continuare la ricerca ed elimina ogni punto che riporta
tra i dati "scrsvr".
Continua fino a quando non ti appare la finestra che ti dice che è stata
portata a termine la ricerca nel Registro di configurazione

4) Riavvia il computer
Entra nella directory "windows" ed elimina il file "scrsvr.exe" (Attento se
clicchi 2 volte si riinstalla e devi ripartire da capo)

5) Per rendere perfetto il lavoro apri risorse del computer e cerca in
risorse del computer "scrsvr.exe" se ha lavorato puoi trovare alcune tracce
senza grosso valore, ma cancellale per eliminare ogni traccia.

Con le varianti si procede nella stesse maniera, ma si cerca il nome della
variante anzichè "scrsvr" ("brasil.pif è molto noioso, nel registro
esistono molte linee con il nome "BRASIL" per le le lingue e l'orologio e
ovviamente queste non vanno eliminate, bisogna stare molto attenti.

Ho proceduto cosi diverse volte su diversi computers e tutto è stato risolto."

Ho trovato una altra variante "dc11.exe" ma si risolve nella stessa maniera.

X WEB

Secondo quello che capisco si è cancellato parte del "win.ini" che come ti ho già scritto può succedere.
Bisogna manualmente inserire nel "win.ini la stampante in:
[Devices]
e in:
[PrinterPorts]
oppure reinstallarla, ma non necessita formattare tutto.

Spero di essere stato di aiuto.

Saluti
:cool: :cool: :cool:

web
29-10-2002, 15.40.00
Non riesco a levarci le gambe.
Non ho più traccia di questo virus pur sottoposto anche oggi a martellamenti di virus scrsvr e company.
Ho provveduto a mettere in sola lettura il mio win.ini, a fare una scansione con ultro antivirus consigliatomi da questo 3nd.
Allego il mio win.ini
Poi quando stampo da word ecccc...compare il messaggio:
Impossibile stampare a causa di un problema con l'attuale impostazione della stampante. Provare a stampare una pagina di prova da Windows, assicurarsi che la stampante sia accesa ed in linea oppure reinstallare il driver della stampante.
Saluti
WEB

Carlo Casadio
30-10-2002, 04.19.08
X Web

Evidentemente non hai leyyo il mio precedente intervento, io ho letto il tuo win.ini ne manca, per la stampante ne mancano 3 sezioni, però non sembra ci sia il famigerato W32 Opaserv.worm.
Per la stampante se non riesci manualmente guarda se qualche programma recente (tipo Winfax) ha fatto un "OLD" del win.ini, (perchè chiederti di averne una copia è troppo) aktrumenti prova a rimuovere la Stilus color dalla cartella stampanti e poi a rinstallarlasempre dalla cartella stampanti.
Come si suol dire "AUGURI"

Fammi sapere.

Carlo

Lionsquid
04-11-2002, 11.47.23
il nuovo fix della norton adesso funziona bene!!

provato con successo!!

bye

wishmaster77
04-11-2002, 12.14.42
ola gente, ho un piccolo problema un W32.Opensvr.G.Worm
allegato ad un file marco!.

come diavolo lo elimino? visto che il norton non lo mette in quarantena non lo elimina ma lo riconosce solamente?


se potewte darmi un cosiglio per eliminarlo manualmente.




graziee graziee

Lionsquid
04-11-2002, 14.16.48
vai su www.sarc.com

scaricati il removal tool su w32.opaserv...

la nuova release funziona correttamente...

aggiorna l'AV e svuota la posta infetta

bye

wishmaster77
04-11-2002, 14.33.47
grazie grazie

Carlo Casadio
07-11-2002, 03.38.08
Scusatemi, ma non è sempre vero!
Esistono varie varianti oltre al famoso "scrsvr.exe", tra queste sicuramente "brasil.pif" è raramente individuato dall'antivirus(NORTON) e sicuramente oltre a non rilevarlo neanche la pach (Symantec W32 Opaserv.worm Fix Tool 1.0.2) non lo elimina bisogna procedere manualmente.

:wall: :crying:

RNicoletto
11-11-2002, 19.37.48
Per propagarsi nelle reti questo (W) formidabile worm sfrutta la falla di Windows qui (http://www.zeusnews.com/index.php3?ar=stampa&cod=1666&numero=999) riportata.



SALUDOS Y BESOS !!!

Gheroppa
13-11-2002, 13.41.58
Adesso mettetevi a ridere ma io il mio primo caso di Opasoft (Variante Brasil) ho risolto cosi:
Ho creato in c:\windows i file che lui si "tira" giù da internet rinominando un innocuo .txt protetto in scrittura, i file per tale variante sono:
brasil.exe
brasil.pif
marco!.scr
alevir.exe
alevir.pif
instit.bat
scrsvr.exe
Il modo di diffondersi era chiarissimo dopo la scansione dei range partiva una chiamata dalla 137 e poi arrivava un pacchetto regalo dalla rete sulla 139 col nome di scrsvr.exe da qui partiva la "infezione" modifica del file win.ine creazione in c:\ di vari .ini fra cui: puta.ini tmp.ini eccecc, pare assurdo per un virus piuttosto scaltro come questo ma cosi facendo dopo una bella pulizia dei file con AVP (Che fra l'altro lo aveva immediatamente visto nonostante non era aggiornato da mesi) scaltro si ma non intelligente infatti non è in grado di sovvrascrivere i file cosi creati coi suoi infetti, risistemato il problema stampanti e messo pure il win.ini in sola scrittura ho messo un antitrojan lasciato il tutto li a incrociato le dita in attesa di eventi futuri....