w32/opaserv.worm - Client software algemeen

zaterdag 19 oktober 2002 17:36

Acties:

0 Henk 'm!

48k was toen meer dan genoeg.

Topicstarter

Mijn laptop had een wormvirus. Na een algehele check met up-to-date scanners was die gewist en lijkt mijn hdd geheel vrij, ik had ook de regels uit de WIN.INI en de registry betreffende dit virus gewist.

Maar met regelmaat komt de scanner met de melding dat in SCRSVR.EXE een virus zit. Iets probeert deze file (het virus) telkens terug te zetten.

Meer over dit virus:
http://vil.nai.com/vil/content/v_99729.htm

Maar van wie/wat/waar komt die file dan telkens vandaan

Er zijn mensen die mij een GOD vinden

zaterdag 19 oktober 2002 18:23

Acties:

0 Henk 'm!

Verwijderd

http://securityresponse.symantec.com/avcenter/FixOpsrv.exe

zondag 20 oktober 2002 11:56

Acties:

0 Henk 'm!

Fairy

13kWp

Dat klopy, had ik op mijn werk ook, dan heet de share van de C: gewoon c en zit er geen password op. Telkens als je dan weer aanlogged dan infecteerd een andere pc die pc weer. Oplossing die je eerste moet doen is de share van c naar c-drive hernoemen bijv. en dan het virus verwijderen en alle pc's langsgaan met de nieuwste virusupdate want als het terugkomt zijn er meerdere pc's besmet.

Bij ons kwam het aan het licht toen de switches ineens heel zwaar belast werden met broadcasts.

zondag 20 oktober 2002 12:14

Acties:

0 Henk 'm!

memphis

48k was toen meer dan genoeg.

Topicstarter

Kan het dan zo zijn dat de andere PC in het netwerk een PC via het internet is ?

Ik zit alleen met dat ding op het internet en heb geen file/printer sharing op de TCPIP van de externe toegang staan...
Of is de andere share waar ie het vandaan krijgt de 2e partitie op dat ding (die had ik niet eens gechecked omdat het puur een data drive is)

Maar ik zal die fix even proberen, thanx tot zover....

Er zijn mensen die mij een GOD vinden

zondag 20 oktober 2002 17:09

Acties:

0 Henk 'm!

Verwijderd

Je kunt je Windows install ook even patchen tegen het lek waarvan deze worm gebruik maakt. (Shares benaderen al dan niet beveiligd met wachtwoord.) Krijg je die melding ook niet meer.

http://www.microsoft.com/...ity/bulletin/MS00-072.asp

zondag 20 oktober 2002 17:15

Acties:

0 Henk 'm!

jaKKer

liev ;x She's on Fire

Sinclair schreef op 19 oktober 2002 @ 17:36:

Maar met regelmaat komt de scanner met de melding dat in SCRSVR.EXE een virus zit. Iets probeert deze file (het virus) telkens terug te zetten.

ik moest bij een vriend ook dat virus eraf gooien dus Mooi fix gedown fix gedaan nou ff opnieuw opstarten enja hoor krijg ook weer die melding van norton anti viru heb hem er niet af gekregen heel irri

zondag 20 oktober 2002 17:48

Acties:

0 Henk 'm!

memphis

48k was toen meer dan genoeg.

Topicstarter

Kajtje schreef op 20 oktober 2002 @ 17:15:
[...]

ik moest bij een vriend ook dat virus eraf gooien dus Mooi fix gedown fix gedaan nou ff opnieuw opstarten enja hoor krijg ook weer die melding van norton anti viru heb hem er niet af gekregen heel irri

Dus ik ben niet de enige....
Ik vraag mij af waar de bron zit als het bestand door de scanner telkens opgevangen wordt. Bugbear mag misschien een aardige heftige virus zijn maar is daartegen vrij simpel uit te schakelen.

Soms vraag je je wel eens af als dergelijke programmeurs van virussen niets anders te doen hebben

Maar ik heb zelf nog niets gedaan, geen zin om uberhaupt iets te doen vandaag dan alleen een beetje voor de buis hangen. Vanavond misschien maar zeker morgen.

Er zijn mensen die mij een GOD vinden

maandag 21 oktober 2002 17:16

Acties:

0 Henk 'm!

memphis

48k was toen meer dan genoeg.

Topicstarter

Nou, ik vraag mij echt af wat er aan de hand is. Ik had die tool van Symantec gedraait en had niets gevonden

En dat terwijl de meldingen van Mcafee om mijn oren springen.

Op een geveven moment met dezelfde SCRSVR.EXE file het W95/Spaces.gen virus

Alle mogelijke regels in de win.ini en registry gewist en dan weer het volgende bestand C:\WINDOWS\GDBLVB.EXE met het W32/Hai.worm

Ook vreemd dat ie als stand alone toch een melding bij het afsluiten geeft dat er 1 of meerdere gebruikers verbonden zijn

Ik geloof dat mijn explorer goed verneukt is, op dit moment ook maar even een andere firewall aan het downen om te kijken als die wel wat registreert.

Ziekelijk die mensen die zich met deze praktijken bezig houdt

Er zijn mensen die mij een GOD vinden

maandag 21 oktober 2002 18:48

Acties:

0 Henk 'm!

jaKKer

liev ;x She's on Fire

Sinclair schreef op 21 oktober 2002 @ 17:16:
Ook vreemd dat ie als stand alone toch een melding bij het afsluiten geeft dat er 1 of meerdere gebruikers verbonden zijn

Ja hier had ik dus ook al last van vet stom

maandag 21 oktober 2002 20:32

Acties:

0 Henk 'm!

memphis

48k was toen meer dan genoeg.

Topicstarter

Ondertussen is de tip om je C drive niet als share C te noemen, daar maakt het virus gebruik van. En verders denk ik dat het virus via het internet via een ander gat binnen komt, ondanks de patch bleef het komen....

Ik heb vanmiddag 2 uurtjes goed virusvrij kunnen internetten.

Er zijn mensen die mij een GOD vinden

vrijdag 25 oktober 2002 21:11

Acties:

0 Henk 'm!

Fairy

13kWp

Sinclair schreef op 21 oktober 2002 @ 20:32:
Ondertussen is de tip om je C drive niet als share C te noemen, daar maakt het virus gebruik van. En verders denk ik dat het virus via het internet via een ander gat binnen komt, ondanks de patch bleef het komen....

Ik heb vanmiddag 2 uurtjes goed virusvrij kunnen internetten.

Grappige is juist, op mijn werk had ik van 40 pc's de share c naar cdrive genoemd, 1 week later heette de helft al weer c.

Ik dus ook vet pissed naar die afdeling gegaan maar daar weten ze er nix van.

zaterdag 2 november 2002 18:57

Acties:

0 Henk 'm!

AtlonXP1800

Ondertitel?

ik heb dit virus ook, en nog steeds niet weg. Intussen heeft het virus zich al 2x ge-update met "marco!" en "brazil.pif"