W32.Opaserv.Worm come opera?

[TanoDaMorire]

Mi sono beccato W32.Opaserv.Worm
Sono andato su antivirus.com e ho cercato notizie: consigliavano di rimuovere le righe aggiunte nel win.ini e i file di registro del worm.
Ora che qualcosa che contiua ad attivare le connessioni di accesso remoto... anche quando non ho aperto nessun applicativo che necessiti una connessione. E quando sono on line mi fa downlodare un nuovo file ScrSVr.exe...
Non è per caso che ho ancora residente in memoria il cavallo di troia che continua a chiamare quel maledetto ScrSVr.exe?

Il mio OS è win98

Emanuel

[amvinfe]

Hai rimosso anche l'.exe in WINDOWS?
SCRSVR.EXE è da rimuovere, in quanto al riavvio creerebbe nuovamente le chiavi nel regitro ed in WIN.INI.
Marco(amvinfe)

P.S.
Questo è il link per la rimozione automatica:
http://www.bitdefender.com/download/...ntiOpaserv.exe

[TanoDaMorire]

la cosa è strana... perchè il file nominato lo metto in quarantena e poi lo elimino, ma appena mi connetto al web c' è qualcosa che mi fa scaricare di nuovo il file e me lo ritrovo dinuovo tra i piedi...

Emanuel

[Al è qui]

Originariamente inviato da TanoDaMorire
la cosa è strana... perchè il file nominato lo metto in quarantena e poi lo elimino, ma appena mi connetto al web c' è qualcosa che mi fa scaricare di nuovo il file e me lo ritrovo dinuovo tra i piedi...

Emanuel

Devi guardare questa chiave.

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run con valore ScrSvr = %Windows%\ScrSVr.exe

Oltre a rimuovere tramite SYSEDIT nel WIN.INI la riga “%Windows%\SCRSVR.EXE in run.

[TanoDaMorire]

Originariamente inviato da TanoDaMorire

Sono andato su antivirus.com e ho cercato notizie: consigliavano di rimuovere le righe aggiunte nel win.ini e i file di registro del worm.

E' quello che ho fatto ma non ostante questo continua ad apparirmi ongni 15 minuti la maschera della connessione di accesso remoto, e quando sono on line il pc si va a procurare un nuovo file srcsvr.exe.

Chi è il reponsabile?

Emanuel

[amvinfe]

Ciao,
prova a vedere se hai questo file scrupd.exe
ovviamente hai cancellato anche ScrSvrOld in HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
ah, è una cosa ovvia ma comunque la scrivo lo stesso, cancella i files TEMP\Cookies\Temporary Internet Files
Marco(amvinfe)

[TanoDaMorire]

Il problema persiste, non ostante io abbia eliminato le righe nel win.ini e il file di registro aggiunti dal virus.
C' è qualche file che continua a farmi scaricare quel benedetto scrsver.exe.
Ho fatto una ricerca nei file del mio pc: chi ho chiuesto di trovare tutti i files *.exe + *.bat + *.tmp + *.scr creati il giorno che mi sono beccato W32.Opaserv.Worm
Il risultato mi ha rabbrividito e ve lo faccio vedere:



Io non ho istallato nuovi programmi in questi giorni...
E poi quando vado a cliccare il tasto destro del mouse dopo aver selezionato uno dei file incriminati per vedere le proprietà non mostra la versione e le altre informazioni come farebbe per un comune file Microsoft...

Qualche consiglio?

Emanuel

[amvinfe]

Hai provato ad eliminare il file scrsver.exe e le chiavi nei registri partendo dalla modalità provvisoria? Questo è almeno ciò che consiglia di fare lo Staff di Bitdefender.

Manual Removal:

Delete the registry entry/entries described in the "Symptomps" section above; also open the "win.ini" file in the Windows folder with a text editor (eg: Notepad) and delete the lines referring to the "scrsvr.exe" or "tmp.ini" files; restart the computer in Safe Mode if possible and delete the "scrsvr.exe" file (and the original copy of the virus, referred by the "ScrSvrOld" registry entry).


Marco(amvinfe)

[TanoDaMorire]

Ho fatto tutto questo e molto di più: un risultato l' ho ottenuto, quando sono off line non mi si aprono 200 finestre dell' accesso remoto, però quando sono on line la storia non è cambiata, mi trovo sempre un' altra copia di scrsvr.exe tra i piedi

[amvinfe]

Purtroppo finchè non lo si conosce affondo ed i fix non fanno tutto quello che dovrebbero si va a tentativi.
In un altro Forum è stato scritto che W32.Opaserv.Worm è stato tolto definitivamente, .exe annesso, partendo dall'eliminazione di tutte le chiavi modificate e solo per ultimo l'.exe.
Non so se hai provato anche così, però questo è quello che mi hanno risposto in un altro Forum.
Ciao Marco(amvinfe)