Virus Opaserv [era: Mistero della fede...]

[slm]

Ciao a tutti,
ho un problema con dei virus che mi stanno letteralmente innervosendo: quando è troppo è troppo!

Praticamente tempo dietro mi erano entrati nel sistema degli strani virus non rilevati dal Norton:
- brasil.pif
- marco!.src
- scrsvr.exe
Successivamente norton li ha rilevati ma oramai il sistema era bello che compromesso.

Bene, visto che non avevo dati importanti, decido di formattare tutto, e ricaricare i dati. Tutto va a buon fine, il sistema è come nuovo bello come mamma lo ha fatto. DOpo tutti gli aggiornamenti del caso mi connetto a Internet e cosa succede?!?!?!?!!?!

Appare una bella schermata di Norton che dice: rilevato il file marco!.src nel sistema, cosa fare cancellare? E a poco a poco ha rilevato anche gli altri virus. Chiaramente tutti gli infettati sono stati messi in quarantena o distutti.

Se il sistema non è connesso alla rete le protezioni di Norton non rilevano nulla di particolare. Una volta connesso sempre e solo quei tre file continuano a invadere il mio sistema. Fortunatamente il sistema di protezione pare bloccarli a dove.

Ho fatto un controllo, in USER.BAT esiste una stringa dove c'è scritto tra tanti caratteri strani anche "marco!" che cosa potrebbe essere?

Come posso fare per sventare questa minaccia? Qualcuno sa darmi una zampa?

ciao e grazie

ste

[Bilancino]

Se il tuo pc non è in una lan devi disabilitare la condivisione di files e stampanti e usare il tool per il virus opaserv (scegli la versione per il tuo virus o li provi tutti....). Se il tuo pc è in una lan anche se hai tolto il virus nel tuo pc il virus ti ritorna perchè la condivisione permette questo, quindi per rimuoverlo definitivamente devi staccare il cavo di rete togliere le condivisioni di file e stampanti e pulire con i tools tutti i pc in rete......alla fine rifai un controllo e se ok rimonti la lan.

http://www.trendmicro.com/vinfo/viru...WORM_OPASERV.G

Se il tuo pc è in lan e usate win98/Me aggiornate la sicurezza sulla password di condivisione.

Ciao

[slm]

Ciao,
posso a busare a buon rendere della tua saggezza? Ti vedo molto preparato in materia e difatti hai capito subito che il PC ha anche una Lan.

Infatti molto spesso lavora da solo, ma per esigenze di lavoro devo farlo dialogare con un portatile (il quale non presenta, toccando ferro, gli stesso problemi).

Quando i due pc sono connessi non c'è nessun messaggio di errore o di virus rilevato da nessuno dei due PC.

Ebbene seguendo i tuoi consigli elimino la LAN, proprio la distruggo fisicamente, la rimuovo, ogni tanto le cose drastiche ci vogliono. Ho già effettuato tutti gli win update del caso in termini di portezione di win98.
Poi prendo i tools per il virus, intendi quelli della simantec? Ok, vado a prenderli. Mi scrivi che la LAN la devo rimuovere ad entrambe i pc, ma anche a quello portatile che non ha nessun segno di errore?

Grazie Mille

ste

[slm]

sono andato a vedere il sito che mi hai proposto è davvero pieno di info utilissime. Grazie di cuore!

ste

[Bilancino]

Originariamente inviato da slm
ma anche a quello portatile che non ha nessun segno di errore?

Grazie Mille

ste

Anche se un pc non da segni di infezioni può essere proprio lui il portatore della infezione molti utenti hanno sottovalutato questo andando a ripulire solo il pc che aveva il virus e poi lui ritornava.......

Ciao

[slm]

Ciao! sto eseguendo le istruzioni che mi hai fornito, Ho già rimosso la rete, ma la vuoi sapere una cosa buffa? Nelle chiavi di registro di entrambi i PC non c'è Marco!.src

Infatti prima ho seguito le istruzioni per una rimozione manuale, poi ho detto per più sicurezza faccio anche quella automatica. Ebbene, ne l'una ne l'altra hanno rilvato marco!.src

Ma soprattutto chi è questo marco!

Ah eccolo li... lo trovato ma in una posizione differente:
HKEY_CURRENT_USER>Software>Microsoft>Windows>curre ntVersion>Explorer>Doc Find Spec MRU>

per adesso li ho trovati qui delle cattive stringe incomprensibili... io non son bono, che faccio rimuovo la cartella?

ciao
ste

[Bilancino]

Io questa cartella Doc Find Spec MRU non c'è l'ho nel registro, cancellarla non saprei, dovrei fare una copia del registro per ripristinarlo se non va bene. Comunque affidati ai tools di rimozione magari provali tutti visto che le versioni di questo virus sono diverse.......questo è un virus subdolo

Ciao

[slm]

Misterioso Bilancino allora ci sei on-line!

Grazie dei preziosi siggerimenti. Intanto l'altro PC quello portatile che non segnala problemi alcuni ha riscontrato al stessa cartella nello stesso punto, cioè non in LOCAL MACHINE, ma in CURRENT USER, il file srcsvr.exe (ma quanto meno non c'è traccia di Marco!)

In pratica le due cartelle dei due pc differiscono per alcune chiavi, in primis MARCO! presente nel pc maledetto e non nel portatile, ed in secondo luogo altri valori insignificanti (sono dei valori per il pdf nella versione super vecchia che uso io).

Ma tutti e due presentano srcsvr.exe nella medesima posizione.
Quello che è strano è che non è rilevato quel percorso nella scheda tecnica di Trend Micro system, che suggeriva la rimozione di LOCAL MACHINE

Dei tool che tu consigli, oltre a trend, anche tutti quelli della Simantec?

SPero che il PC non si incazzi sono connesso alla rete mentre eseguo le scannerizzazione e i tool... ma mi rompevo troppo le palle a sconnettermi e riconnettermi!



ciao
ste

[Bilancino]

Originariamente inviato da slm
Misterioso Bilancino allora ci sei on-line!

Grazie dei preziosi siggerimenti. Intanto l'altro PC quello portatile che non segnala problemi alcuni ha riscontrato al stessa cartella nello stesso punto, cioè non in LOCAL MACHINE, ma in




SPero che il PC non si incazzi sono connesso alla rete mentre eseguo le scannerizzazione e i tool... ma mi rompevo troppo le palle a sconnettermi e riconnettermi!



ciao
ste

Brazil, Marco!, ScrSvr, Alevir sono tutte varianti del opaserv inoltre l'uso dei tools deve essere fatto con internet staccato altrimenti non serve a niente e come ti già detto con il cavo di rete staccato........

Prova questo tools:

http://www.trendmicro.com/download/tsc.asp

Copia il tool con il pattern file in una stessa directory e poi lancia una scansione completa.

Ciao

[slm]

Benissimo, Marco!.src è stato rimosso dal pc, ora però resta scrsvr.exe questo non lo vuole proprio rimuovere nessuno!

grazie
ste