virus kommt immer wieder!

hi all

Hab da ein problem!Wiß aber net ob ich hier richtig bin! Hab win me und Norton Systemworks 2003 drauf.
Hab auch die aktuellen updates dafür.
irgendwann bekamm ich dan die meldung datei .... mit Virus w32.opaserv infiziert! also lies ich meine fetplatte prüfen und dann alle datein die infiziert waren isolieren oder loschen!danach hab ich meine festplatte wieder dursuchen lassen aber nix gefunden also ging ich davon aus das jetzt alles wieder ok ist
Zu früh gefreut :'(denn ich habe zwei möglichkeiten um ins internet zu gehen einmal über eine tk anlage (eumex 704 pc lan) da ist ja auch alles ok aber wenn ich über die t-onlinesoftware reingehe dauert es keine 2 min und ich bekomme die wieder eine haufen meldungen über infizierte datein und das system stützt ab! Wie kann das sein und was kann man da machen??

thx

und was kann man da machen??

Zum Vergrößern anklicken....

Format C:

Das dürfte das einzige sein, was wirklich hilft! Was für einen Virus haste denn? Also vom Namen her?

Oh, habs eben gelesen, sorry, eigene Dummheit

Hau die T-online Software runter.
Oder stell in Deinem Virenscanner ein, daß er ausnahmslos alle Dateien scannt, also auch Archive und nicht ausführbare Dateien.

Dirk

Hi,
die T-Online Software bekommst du sowieso nicht mehr runter, also ist es am Besten du formatierst. Im Übrigen ist dann ganz sicher das der Virus auch wirklich weg ist, insofern bei dir nicht T-Online selbst der Virus ist.

hi all
eigentlich wollte ich ja den befehl format c: nicht ausführen und hab deshalb hier geposted.

besonders merkwürdig ist das ich in der protokoll datei nachlesen kann wo die infizierten datein sind so z.b. C:\Recycled\NPROTECT\00007456.CAB ist mit dem Virus W32.Opaserv(win.ini) infiziert.
aber ich find auf c:\ keinen ordner der so heist glaube ja es ist der papierkorb aber ich finde den ordner nichthabe die systemwiederhestellung geaktiviert und direkts löschen eingestellt (ohne erst alles in den papierkorb zu verschieben)

gibts noch ne andere idee ausser FORMAT C:????

Versuch macht klug:

http://www.kaspersky.com/de/news.html?id=948025


oder hierlesen.


Gruß
Charlyone

So,wie es aussieht,hast Du die Norton Utilities drauf und den Papierkorb damit schützen lassen (NProtect). Klicke den also mal mit Rechtsklick an und gehe auf Dateien aus der NortonProtektion löschen.

Hallo,
lese jetzt erst diesen thread. Weiss ja nicht ob das noch nötig ist, ich hatte das gleiche Problem und hab's so gelöst:

Ich hatte mehrere E-Mail-Würmer mit der W32-signatur, Klez usw. hatten Virenscanner und Firewall ausgehebelt.
Wichtig: Bei ME muss die Systemwiederherstelleung deaktiviert sein, am Besten den _restore-Ordner löschen. Dann ist eine Herstellung zwar nicht mehr möglich, die meisten W32-Würmer nisten sich aber genau da ein!
Dann am Besten mit einem DOS-Scanner, z. B. F-Prot-dos das System scannen, evtl. in der DOS-Box den Virus von Hand löschen.
Scan und defrag schadet auch nix. Danach neu booten, zur Sicherheit nochmals mit einem aktuellen Virenscanner scannen, wer will kann Systemwiederherstellung wieder aktivieren und dann müssten die Biester weg sein.

Vielleicht hilfts ja, dass ich ziemlich lange gefummelt hab um das raus zu kriegen.

Hm, ich bin immer noch der Meinung das der schnellere und sicherere Weg format C: heisst...

Sei mal ehrlich, wie lange hast Du gebraucht um alle Dateien mehrfach zu scannen und per Hand zu löschen? Ich für meinen Teil brauche zwischen 1 und 2 Stunden um bei mir ein 98 / Me System inkl. Treiber etc. (ohne ein Image zu verwenden) wieder neu zu installieren und da kann ich sicher sein das ich den Virus weg habe...

@ bob the builder,

stimmt schon, es hat lang gedauert. aber nur, weil ich so blöd war und nicht gleich erkannt hab, dass ich zum Radieren einen Dos-Scanner brauche und die Sache mit dem Restore-Ordner. Als das klar war, ging's eigentlich fix, zumindest schneller, als alle Progs und Treiber wieder neu zu installieren. Aber jeder muss selbst entscheiden, welche Methode für ihn die Richtige ist.

Hallo Leute, bin nach langer Zeit mal wieder hier.

Der Virus OPA@SERV nistet sich im BIOS ein !
Da hilft kein Format C:
Es muß zusätzlich ein neues Biosfile rauf.

mfg

http://www.de.bitdefender.com/html/free_tools.php
Vielleicht auch nochmal hiermit versuchen?
http://www.trojaner-info.de/programme.shtml
Infos auch hier:
http://www.uni-karlsruhe.de/Uni/RZ/Netze/Sicherheit/V_Opaserv.html
http://www.bsi.de/av/vb/opaserv.htm
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.opaserv.worm.html

http://www.sophos.com/virusinfo/analyses/w32opaservi.html

Hier sind ein paar Infos über den Virus bzw. Worm, unter anderem auch wie man ihn loswird, im Bios nistet er sich allerdings nicht ein, er verbreitet sich lediglich im Netzwerk übers Netbios.

Für alle Ungläubigen.

Es gibt eine Variante die sich im Bios einnistet.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.M

mfg

Lies mal:

Win32.Worm.Opaserv.A


Name: Win32.Worm.Opaserv.A
Aliases: -
Typ: Executable Network Wurm
Grösse: 28672 Bytes
Bemerkt: 30. September 2002
Entdeckt: 30 September 2002 17:00 (GMT+2)
Verbreitung: Hoch
Schaden: Gering
In The Wild: Ja


Symptome:

- Datei scrsvr.exe in Windows Verzeichnis;
- Ein oder beide folgenden Registry Schlüssel:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvrOld.

Technische Beschreibung:

Wenn zum ersten Mal aktiviert, kopiert sich der Wurm mit dem Namen scrsvr.exe und verfasst die Einträge ScrSvr und ScrSvrOld in dem Registry Schlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Auf diese Weise,werden die neuen Kopien des Virus beim Windows Startup aktiviert; die neue Kopie wird dann neu ausgeführt und den ursprünglichen Prozess beendet.

Als die neue Viruskopie (aus Windows Folder) aktiviert wird, findet sie den ScrSvrOld Registry Schlüssel und löscht sie ihn (dieser Eintrag wurde verfasst, nur zur Sicherstellung, dass die alte Kopie aktiviert wird, falls die neue Kopie fehlt). Die ursprüngliche Datei, die den Virus enthält, wird gelöscht. Ein mutex Objekt, ScrSvr31415 (3.1415... sind die ersten Ziffer von pi) wird geschafft.
Wenn es schon vorhanden ist, endet sich den Prozess. Dies verhindert, mehrere Viruskopien gleichzeitig aktiviert zu werden.

Der Virus registriert sich als einen Service Prozess und vermindert seine Priorität, um die CPU Zeit nicht zu verbrauchen, außer wenn das System frei ist. Er schafft einige Pfade, zur Verbreitung und zum Updating des Wurms.

Der Wurm verbreitet sich, indem er das Netzwerk nach Full-Access C Laufwerke scannt und sich da kopiert; win.ini Datei in Windows Folder wird modifiziert, um eine Wurmkopie beim nächsten Startup auszuführen; Datei c:\tmp.ini wird genutzt zur temporären Speicherung des Inhalts der win.ini Datei. Der Wurm nutzt SMB Protokoll (Server Message Block), um die gemeinsamen Resourcen des Netzwerks zu verwenden.

(Die C: Partitionen sind normalerweise nicht durch die netzverbundenen Rechner geteilt. Sie können aber infiziert werden, wenn der eingeloggte Benutzer, Administrator Rechte über anderen Rechnern hat; das geschieht üblicherweise mit den Domain Administratoren).

Der Wurm versucht auch sich von www.opasoft.com upzudaten und speichert die heruntergeladene Version in scrupd.exe; Zwei temporären Dateien werden genutzt, während der Kommunikation mit dem Update Server.

Manuelle Entfernung:

Löschen Sie die in Symptome Sektion beschriebenen Einträge; öffnen Sie auch die win.ini Datei aus Windows Folder mit einem Text Editor (z.B: Notepad) und löschen Sie die Zeile betreffend scrsvr.exe oder tmp.ini Dateien; starten Sie Ihren Rechner in Safe Mode (wenn möglich) neu wieder und löschen Sie die Datei scrsvr.exe (und die originale Kopie des Virus, ScrSvrOld Registry Eintrag).

Um sich der Virus nicht von infizierten Rechnern auf reinen Rechnern zu replizieren, sollten Sie es versuchen, alle Netzcomputer bevor Rebooting zu deinfizieren, oder die Netzwerkkabel zu entfernen.

Automatische Entfernung:

Lassen Sie BitDefender die infizierten Dateien löschen.

http://www.bitdefender.de/download/download.php?file=AntiOpaserv.exe

gb249 schrieb:

Für alle Ungläubigen.

Es gibt eine Variante die sich im Bios einnistet.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASERV.M

mfg

Zum Vergrößern anklicken....

Schalte doch (solange Du sicher bist das Dein System noch nicht befallen ist) einfach im Bios den Virenschutz ein... dann allerdings vor Bios-Update etc. nicht vergessen Ihn wieder auszuschalten...

Zitat aus einer Email-Werbung:

Probieren Sie das neue Windows 7
jetzt gleich sicher und gefahrenlos aus!

Sie erhalten die Windows 7 Vorabedition auf DVD
und finden auf dieser alle notwendigen Informationen, um:

Windows 7 RC in einer separaten Partition zu installieren
Ihr bestehendes Betriebssystem mit allen Daten und Programmen nicht zu gefährden
Windows 7 RC wieder sauber zu deinstallieren
Windows 7 RC optimal zu konfigurieren und einzurichten



Windows 7 ist bereits auf der DVD enthalten! Wählen Sie zwischen der 32- oder 64-bit DVD-Version aus und testen Sie jetzt das zu Vista stark verbesserte Betriebssystem der Zukunft für nur 9,95 Euro (zzgl. Versandkosten)!

:mrgreen: :mrgreen: :mrgreen:

Hat da jemand von denen gekokst???

Das ist ja dumm, den RC gab´s KOSTENLOS, die Infos

SeewolfPK schrieb:

Ihr bestehendes Betriebssystem mit allen Daten und Programmen nicht zu gefährden
Windows 7 RC wieder sauber zu deinstallieren
Windows 7 RC optimal zu konfigurieren und einzurichten

Zum Vergrößern anklicken....

gibts ALLE KOSTENLOS im Internet und in Foren..... :evil:


M$ ist einfach doof und geldgierig.....


Gruß msfan