Hallo
Eins mal vorneweg, ich hab keine große Ahnung von Vieren und vom Netzerk schon gar nicht.
Wir haben hier 2 Rechner für die Familie die mit einem Netzwerk verbunden sind. Beide Win98SE und auch up-to-date (zumindest der Hauptrechner).
Als ich mal auf dem Hauptrechner für einen Tag den Virenscanner AntiVir deinstalliert hab, kamen auch gleich 4 Viren
OpaServ
FunLove
Dupator
Spaces
Welche ich erst auf dem anderen Rechner bemerkte, der noch einen Virenscanner drauf hatte (der AV Guard meldete sich dort). Da der Rechner nur durch diesen hier infiziert worden sein kann, hab ich AntiVir wieder installiert und gescannt. Der Dupator Virus verändert EXE Dateien indem er was dranhängt, ich glaub deswegen konnte der AV auch nicht zu Ende scannen. Brach irgendwann in der Mitte hab weil das Programm selbst auch befallen/verändert war.
Dann hab ich für jeden der 4 Viren ein Removaltool gezogen und ausgeführt. Jedes war erfolgreich und ich dachte es wär nun vorbei. Sicherheitshalber hab ich trotzdem alle Freigaben deaktiviert damit der andere Computer nicht noch mal angesteckt wird (der hatte auch die Viren drauf trotz dem AV Guard).
Im Autostart und in der Win.ini hatt ich auch die Ausführen-Befehle der Viren deaktiviert.
Solange keiner mit dem Rechner ins Internet ging war auch alles o.k. Aber wenn einer online ging meldete der AV Guard nach kurzer Zeit das Virus xyz auf Datei abc zugreifen will. Es handelte sich fast nur um OpaServ Zugriffe (OpaServE, G, H).
OpaServ
Der Wurm überprüft zahlreiche IP-Adressen des LAN, um Computer mit einer offenen C: Freigabe zu finden, bei denen NETBIOS über TCP/IP aktiviert ist. Wenn eine Freigabe gefunden wird, wird der Wurm in den Windows-Ordner auf dieser Freigabe kopiert und verändert die Datei win.ini so, dass der Wurm beim nächsten Start von Windows auf diesem Computer aktiviert wird. Sobald das LAN überprüft wurde, führt der Wurm dieselbe Suche im Internet aus, wobei er mit einer zufällig erzeugten IP-Adresse beginnt. Jeder, der mit dem Internet verbunden ist, bei dem File Sharing aktiviert ist und der NETBIOS über TCP/IP aktiviert hat, ist dann potentiell anfällig für diesen Wurm.
Weil ich selber selten an den Comps hier arbeite (ich hab einen eigenen:wink: hab ich meinen Leuten gesagt sie sollen U drücken (U = Umbenennen) wenn der AV Guard aufpoppt, damit ich seh was da kommt. Nach einem Tag waren da schon 66 umbenannte Dateien, wobei es eigentlich so 4 - 5 Dateien waren die immer wieder auftauchten. Auch hat irgendwas bewirkt das die deaktivierten Einträge in der Win.ini und im Autostart wieder aktiviert wurden. So das sich der Virus / die Viren nach einem Neustart zu starten versuchten, da aber die Removaltools die bösen Dateien gelöscht hatten konnten diese nicht gefunden werden (gab immer ein paar Fehlermeldungen nach einem Neustart).
Auch ein löschen der unerwünschten Befehlszeile aus der Win.ini Datei brachte keinen langen Erfolg. Zumindest bin ich den Eintrag aus dem Autostart losgeworden, der kommt nun nichtmehr.
Wie gesagt kommen die Meldungen nur wenn sich jemand eine Weile im Internet befindet. Deswegen hab ich mal ZoneAlarm aktiviert (das ist zwar schonimmer hier drauf aber eigentlich nie aktiv:wink: um zu sehen was dann passiert
Das blockt so ca. alle 1 - 3 Min Pakete die zu meinem Port 135 gesendet wurden. Die kommen aber alle von T-Online (aber unterschiedliche IPs), meinem Provider. Ich nehme an das ist normaler Verkehr den ZA einfach blockt. In größeren Abständen blockt er auch irgendwas mit NetBios.
Sonst kommt nix (hab den Rest erlaubt). Aber seitdem kommen auch nicht die Meldungen vom AV Guard und auch keine Einträge in der Win.ini, keine verdächtigen Dateien im Windows Ordner… alles ist so wie es sein sollte.
Gestern hab ich AntiVirus 2003 von Symantec installiert und AntiVir (der eh kaputt war) runtergeschmissen. Auch die Reg hab ich durchsucht und nichts auffälliges gefunden
_HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ccApp - „C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe“ (Norton AV)
ccRegVfy - „C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe“ (Norton AV)
CriticalUpdate - C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
LoadPowerProfile - Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SystemTray - SysTray.Exe
TaskMonitor - C:\WINDOWS\taskmon.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
ccEvtMgr - „C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe“ (Norton AV)
SchedulingAgent - mstask.exe
ScriptBlocking - „C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe“ -reg (Norton AV)
TrueVector - C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service (ZA Fw)_
AV2003 hab ich auch updaten lassen und dann gescannt. Es hat außer den von AntiVir umbenannten Virusdateien noch ein 2 andere befallene Dateien gefunden:
- Die Datei C:\put.ini ist mit dem Virus W32.Opaserv(win.ini) infiziert (repariert)
- Die komprimierte Datei win.ini innerhalb von C:\WINDOWS\SYSBCKUP\rb005.cab ist mit dem Virus W32.Opaserv(win.ini) infiziert (Löschung fehlgeschlagen)
Ich möchte ja bald wieder die Freigaben wieder aktivieren (damit der andere Comp ins Netz kann) und ZoneAlarm will ich auch nicht immer hier laufen haben.
Was kann ich tun? Wie kommt OpaServ hierauf? Wieso tragen sich sie Run-Befehle immer wieder selbst in die Win.ini ein wenn die Fw nicht aktiv ist?
Mailanhänge und irgendwelche Filesharingtools fallen weg.
Und was ist mit der rb005.cab wo noch OpaServ drin sein soll?
Mit freundlichen Grüßen
Lilly
