Virenproblem fixiert - Wer erklärts

Anonym · 13. März 2003 um 16:46

Nachdem ich mich (und euch) drei Monate mit einem Virenproblem genervt habe, konnte ich endlich den Fehler einkreisen.

Die dubiosen Dateien „mario!.scr“, „brain.scr“ und „scrsvr.exe“ sind die Übeltäter und der Virus ist immer noch der „W32.Opaserve“, aber wie kommen die auf meinen Rechner?

Nachdem ich über 1 Dutzend mal meinen Rechner neu formatiert und installiert habe (jedesmal mit ausschalten, neu booten und und und), und schon nach den Windows und Symantec Updates die Viren hatte, hatte ich schon den Verdacht ich fange mir die Viren bei den Updates ein.

Jetzt habe ich zuletzt ein komplette Installation ohne Updates gemacht und habe dann die Updates mit aktivierter Firewall durchgeführt (obwohl das einen Virus eigentlich nicht stören dürfte).
Mit aktivierter Firewall habe ich meinen Rechner jetzt 4 Tage ohne Viren nutzen können.
Die Übeltäter-Dateien waren eindeutig nicht auf meinem Rechner.
Bei jeder Virensuche suche ich mittlerweile auch nach diesen Dateien und zufällig hatte ich gestern noch einmal nach Viren und diesen Dateien gesucht.

Heute war ich in Ebay und mußte wegen fehlerhaften Bildaufbau die Firewall ausschalten (wie schon vorher meine Frau mal bei Amazon.de und ich bei den Windows und Symantec Updates) und innerhalb weniger Sekunden bekam ich von Norton Antivirus die Meldung, das sich auf einmal die vorher nicht vorhandene Datei „scrsvr.exe“ auf meinem Rechner befindet und diese den altbekannten Virus hat und wenige Sekunden danach war die Win.ini befallen, wie ich das schon von vorher kenne.

Gestern war garantiert diese Datei nicht auf meinem Rechner und ich habe nichts auf meinen Rechner nach ausschalten der Firewall runtergeladen. Und in Ebay bin ich sicher genauso sicher wie in Amazon.de, der Microsoft oder Symantec Homepage.

Also, wie kommen bei ausgeschalteter Firewall (Zufall??) Dateien auf meinen Rechner, die vorher nicht da waren und mit Viren infiziert sind, wenn ich selbst keinen Download ausführe und/oder gerade eine Seite lade und keine Mails runtergeladen habe und nix machte, außer eine Seite lesen ?

Winni

Jan_e212b9 · 13. März 2003 um 17:05

Virenproblem fixiert
Hi Winni,

das was Du beschreibst kann ich mir nahezu garnicht vorstellen. Da ich die damalige Erläuterung des Problems nicht mitbekommen habe, wäre wichtig welches BS Du verwendest und evtl. auch welches ServicePack. Was für ein Norton, was für ne Firewall wird verwendet.

Kann es sein das Du alte Daten wie z.B. Outlook, T-Online oder was auch immer importierst?

Wenn Du den Rechner „platt“ machst, machst Du alle Partitionen platt oder nur Deine Systemplatte?

Ich denke es ist nur wichtig die richtigen Fragen zu stellen, evtl. kommt dann die Antwort automatisch!

Bis dann Jan

Jan_e212b9 · 13. März 2003 um 17:12

Evtl. die Lösung ???
Hi Winni,

ich habe grade noch ein wenig geforscht! Eine Symantec Seite unter http://securityresponse.symantec.com/avcenter/venc/d… ist recht intressant!

Hast Du Netzwerk Shares auf Deinem Rechner? Solltest Du Win95/98/ME haben sind diese auch über das Internet erreichbar. So könnte ein Rechner Deinen - in dem Moment wo Du die Firewall abschaltest - infizieren.

Mehr von Symantec:

W32.Opaserv.K.Worm is a network-aware worm that spreads across open network shares. This worm copies itself to the remote computer as a file named Mqbkup.exe. It is compressed with a PECompact packer.

Before you follow the steps in this document, if you are running Windows 95/98/Me, download and install the Microsoft patch from: http://www.microsoft.com/technet/security/bulletin/M….

NOTE: Some of W32.Opaserv.K.Worm functionality is specific to the Windows 95/98/Me systems, while some of it is only functional on Windows NT/2000/XP.

If you are on a network or have a full-time connection to the Internet, such as a DSL or cable modem, disconnect the computer from the network and the Internet before attempting to remove this worm. If you have shared the files or folders, disable them. When you have finished the removal procedure, if you decide to re-enable file sharing, Symantec suggests that you do not share the root of drive C. Instead, share the specific folders. These shared folders must be password-protected with a secure password. Do not use a blank password.

Gruß Jan

Anonym_028940377b35 · 13. März 2003 um 17:29

Hallo Winfried

…der Virus ist immer noch
der „W32.Opaserve“, aber wie kommen die auf meinen Rechner?

Zitat von http://www.trojaner-info.de//archiv/w32_opasoft.html:

**Alias-Namen: Backdoor.Opasoft, W32.Opaserv.Worm, WORM_OPASOFT.A, W32/Opaserv-A, W95/Scrup.worm, Scrup, BackDoor-ALB

Virentyp: EXE-Wurm

Verbreitung: via Netzwerkfreigaben (auch Druckerfreigaben !), scannt ständig nach neuen Netzwerkrechnern, nutzt u.a. auch eine alte und längst bekannte Sicherheitslücke.

Erkennbare Anzeichen einer Infektion: Existenz der Datei „SCRSVR.EXE“ auf Laufwerk C
Bekannte Schäden: Könnte schädliche Dateien von der Domain „opasoft.com“ herunterladen. Diese Domain ist jedoch zum jetzigen Zeitpunkt gesperrt. Der Wurm verschickt alle gefundenen Rechneradressen (Computernamen und Netzwerkdomains). Damit der Wurm bei jedem erneuten Systemstart ebenfalls ausgeführt wird, erfolgt ein Eintrag in die Registry unter:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun, ScrSvr = „%Windows%SCRSVR.EXE“**

Wie Du hier lesen kannst, verbreitet sich dieser Virus via Netzwerkfreigaben, auch unter Ausnutzung einer Lücke, die unter
http://support.microsoft.com/default.aspx?scid=kb;de…
beschrieben ist.

Es stellt sich zunächst die Frage, ob Dein Rechner standalone ist oder ob er via LAN mit anderen Rechnern vernetzt ist. Wenn er standalone ist, dann empfehle ich Dir, die ‚Datei- und Druckerfreigabe für Microsoft-Netzwerke‘ ganz zu deinstallieren. Denn die brauchst Du in diesem Fall nicht. Damit wäre automatisch der NetBIOS-Port, über den sich Opaserv verbreitet, dicht.

Mit aktivierter Firewall habe ich meinen Rechner jetzt 4 Tage
ohne Viren nutzen können.
[…]
Heute war ich in Ebay und mußte wegen fehlerhaften Bildaufbau
die Firewall ausschalten (wie schon vorher meine Frau mal bei
Amazon.de und ich bei den Windows und Symantec Updates) und
innerhalb weniger Sekunden bekam ich von Norton Antivirus die
Meldung, das sich auf einmal die vorher nicht vorhandene Datei
„scrsvr.exe“ auf meinem Rechner befindet und diese den
altbekannten Virus hat und wenige Sekunden danach war die
Win.ini befallen, wie ich das schon von vorher kenne.

Die Firewall hat offensichtlich u.a. den Port, über den Opaserv sich verbreitet, dicht gemacht. Das ist allerdings nur eine Symptombehandlung. Besser ist, Du findest heraus, wie Du die Infektion mit Opaserv ursächlich vermeiden kannst. Ein Beispiel: Ich habe ADSL und verwende einen ADSL-Router. Auf dem habe ich eingestellt, dass NetBIOS und einige andere Dinge, die von aussen kommen, generell gar nicht reingelassen werden. Damit beisst sich Opaserv in meinem Fall die Zähne aus, er hat keine Möglichkeit, auf meinen PC zu gelangen.

Also, wie kommen bei ausgeschalteter Firewall (Zufall??)
Dateien auf meinen Rechner, die vorher nicht da waren und mit
Viren infiziert sind, wenn ich selbst keinen Download ausführe
und/oder gerade eine Seite lade und keine Mails runtergeladen
habe und nix machte, außer eine Seite lesen ?

Wie erwähnt: Datei- und Druckerfreigabe. Ein leidiges Thema, speziell bei Win9x-Systemen.

CU
Peter

Anonym · 14. März 2003 um 07:40

Meine technische Daten
Wie schon erzählt, qäult mich das Problem schon seit Monaten und war nicht zu fixen, aus folgenden Gründen :

Ich habe Win98SE und ein Netzwerk.
Anfangs habe ich zur Sicherung meiner privaten Daten immer Sicherungsdateien von einem Rechner zum anderen geschoben und dachte, ich schiebe den Virus mit.

Dann habe ich mir Norton Internet Security 2003 gekauft, was aber unter WIN98SE seine Probleme hat, so das ich das gegen die Version 2001 getauscht bekam.
Das erkennt den Virus aber erst nach einem Update und … erkannte den Virus schon, wenn ich NUR Windows, das Windows-Update (wegen dem IE-Sicherheitsloch das W32.Opaserve nutzt), NIS2001 und das NIS-Update draufhatte.
Da dachte ich schon (Sorry) vielleicht bekomme ich von Symantec den Virus rein.

Von Symantec und FProt gibt es ja extra Tools zum entfernen nur von diesem einen Virus. Die habe ich erfolglos genutzt. Der Virus ist definitiv nicht auf meinem Rechner bzw ist erst auf meinem Rechner (wie ich später merkte) wenn ich einmal (!!!) ungesichert im Internet war.

Zuletzt habe ich meinen Rechner vom Netzwerk getrennt, formatiert (mit Master Boot Block), Windows installiert, Programme installiert und jedesmal dazwischen den Rechner runtergefahren, ausgeschaltet und danach erst nach den Virus-Dateien gesucht und dann erst weiter.

Den ersten Kontakt zu einem Netzwerk war dann nicht zu meinem eigenen, sondern erst ins Internet für das Symantec-Update, und das (aus Versehen) mit eingeschalteter Firewall. Passiert ist diesmal (erstaunlich) nix.

Ich konnte dann erstaunlicherweise (mir ganz neu) 4 ganz Tage arbeiten und surfen, ohne das der Virus oder die Virus-Datei auf meinem Rechner auftauchte und ich suchte jeden Tag danach, weil ich es kaum glauben konnte.

Erst am 5ten Tag (immer noch ohne Kontakt zu meinem eigenen Netzwerk) mußte ich Online mal kurz meine Firewall ausschalten, wegen Bildaufbauproblemen in Ebay und … hatte sofort die betroffene Datei mit dem betreffenden Virus, genauso wie vorher Amazon, Symantec oder Microsoft. Der Virus kann aber nicht von diesen Seiten kommen.

Also, woher kommt der ???

Übrigens, nach entfernen des Virus und aktivieren der Firewall ist sofort der Virus-Spuk beendet, bis ich das nächste mal meine Firewall ausschalten werde …

So blöd sich das anhört, aber ich dachte schon, die Datei wird mir vielleicht … gesendet oder so ähnlich, vielleicht direkt an meine IP-Adreße oder so, jedenfalls nicht als Mail, und kommt vielleicht so auf meinen Rechner.
Es betrifft aber auch immer nur denselben von zwei Rechnern, die absolut identisch installiert sind und beide per eigener ISDN-Karte ins Internet können. Den anderen trifft das nie.
Und es ist immer der gleiche Virus.
Egal ob ich IE6 nutze oder Netscape 7.
Egal ob Mails abrufe oder nicht.
Und der Virus taucht auch auf, während ich bei verschiedenen Anbietern bin, auch wenn ich nur lese ohne was runterzuladen.
Das ist mir unerklärlich.

Winni

Ijon_Tichy_2303a7 · 15. März 2003 um 04:09

Ich habe Win98SE und ein Netzwerk.
Anfangs habe ich zur Sicherung meiner privaten Daten immer
Sicherungsdateien von einem Rechner zum anderen geschoben und
dachte, ich schiebe den Virus mit.

So blöd sich das anhört, aber ich dachte schon, die Datei wird
mir vielleicht … gesendet oder so ähnlich, vielleicht direkt
an meine IP-Adreße oder so, jedenfalls nicht als Mail, und
kommt vielleicht so auf meinen Rechner.
Es betrifft aber auch immer nur denselben von zwei Rechnern,
die absolut identisch installiert sind und beide per eigener
ISDN-Karte ins Internet können. Den anderen trifft das nie.

Wahrscheinlich ist die Installation doch nicht 100% identisch, nur auf dem befallenen Rechner ist eine Freigabe vorhanden, von der Du dann kopierst?
Abhilfe: auf beiden(!!) Rechnern NetBEUI von der ISDN-Karte entfernen: Systemsteuerung - Netzwerk - NetBEUI->ISDN deinstallieren. Generell haben die Windows-Shares nichts im Internet verloren.

Und es ist immer der gleiche Virus.
Egal ob ich IE6 nutze oder Netscape 7.
Egal ob Mails abrufe oder nicht.
Und der Virus taucht auch auf, während ich bei verschiedenen
Anbietern bin, auch wenn ich nur lese ohne was runterzuladen.
Das ist mir unerklärlich.

Beim Verbreitungsprinzip nicht verwunderlich: der Virus kopiert sich selbständig über die Netzwerkumgebung.

hth
Ijon_Tichy

Anonym_028940377b35 · 15. März 2003 um 20:57

Hallo

Abhilfe: auf beiden(!!) Rechnern NetBEUI von der ISDN-Karte
entfernen: Systemsteuerung - Netzwerk - NetBEUI->ISDN
deinstallieren. Generell haben die Windows-Shares nichts im
Internet verloren.

Dass die Shares im Internet nichts verloren haben, ist richtig. Aber mit NetBEUI hat das herzlich wenig zu tun. NetBEUI ist ein reines LAN-Protokoll und wird im Internet nicht geroutet. Die Freigaben sind andererseits aber auch via TCP/IP zugänglich.

Beim Verbreitungsprinzip nicht verwunderlich: der Virus
kopiert sich selbständig über die Netzwerkumgebung.

Das stimmt. Dazu benutzt er aber NetBIOS. Und das ist etwas anderes als NetBEUI… NetBIOS kann auch über TCP/IP genutzt werden, darum gibts auch den NetBIOS-Port bei ca. 139 rum.

CU
Peter

Anonym · 16. März 2003 um 05:42

Danke für den Hinweis, aber ich kann kein Englisch und so bleiben diese Infos von Symantec mit geheim.

Aber ich weiß das die auch ´ne deutsche Info haben, aber noch schwerer zu finden wie der Symantec-Support, der mich entnervt hierher vertrieben hat, nachdem ich innerhalb mehrerer Tage nicht in der Lage das Frage-und-Antwort-Spiel von Symantec bis zum Ende durchzuführen.

Winni

Anonym · 16. März 2003 um 05:46

Netbeui, DNS und feste Ip-Adreße sind ausgeschalte
Habe gerade nochmal nachgesehen.
Im großen und ganzen sind das alles bömische Dörfer für mich.
Ich habe Windows installiert. Das Netzwerk und DFÜ hat sich von alleine installiert. WAS dabei WIE installiert wurde weiß ich nicht und verstehe ich auch nicht. Aber ich habe jetzt mal nachgesehen und die von euch genannten Dinger sind alle deaktiviert.

Winni

Ijon_Tichy_2303a7 · 16. März 2003 um 23:54

Hallo,

Dass die Shares im Internet nichts verloren haben, ist
richtig. Aber mit NetBEUI hat das herzlich wenig zu tun.
NetBEUI ist ein reines LAN-Protokoll und wird im Internet
nicht geroutet. Die Freigaben sind andererseits aber auch via
TCP/IP zugänglich.

sorry, Asche auf mein Haupt, hab natürlich NetBEUI und NetBIOS verwechselt.

mfG
Mark

Ijon_Tichy_2303a7 · 17. März 2003 um 00:00

Habe gerade nochmal nachgesehen.
Im großen und ganzen sind das alles bömische Dörfer für mich.
Ich habe Windows installiert. Das Netzwerk und DFÜ hat sich
von alleine installiert. WAS dabei WIE installiert wurde weiß
ich nicht und verstehe ich auch nicht. Aber ich habe jetzt mal
nachgesehen und die von euch genannten Dinger sind alle
deaktiviert.

Dann sollte diese spezielle Viren-Problematik erschlagen sein.
Trotzdem, kannst Du mal posten, was genau in den Netzwerkeigenschaften steht (für beide Rechner). Nicht die TCP/IP-Details etc, sondern in dem Fenster, wo

die Clients (z.b. Microsoft Networking
die Netzwerkkarten
dir Protokolle
drinstehen - und zwar genau so, wies da steht.

mfG
Ijon_Tichy

Anonym_028940377b35 · 17. März 2003 um 14:15

Im großen und ganzen sind das alles bömische Dörfer für mich.

Also, Du hast Win98. Dann mach mal folgendes: Klick das Icon ‚Netzwerkumgebung‘ mit der rechten Maustaste an und wähle ‚Eigenschaften‘. Es erscheint ein Dialogfenster, welches die installierten Komponenten auflistet. Kurze Angaben zu den einzelnen Dingen:

Client für Microsoft-Netzwerke. Benötigst Du, wenn Du Deinen PC mit einem anderen PC vernetzt hast. Und er dient dazu, dass Du das Kennwort der DFÜ-Verbindung speichern kannst.
Mircosoft Family-Logon. Ist etwas ähnliches wie der o.g. Client. Ich würde ihn jedoch entfernen. Zumindest macht es keinen Sinn, beide installiert zu haben, ggf. also einen von beiden entfernen.
DFÜ-Adapter. Das ist im Prinzip Dein Modem. Benötigst Du für den Internet-Zugang.
Netzwerkkarte. Brauchst Du, wenn Dein PC mit einem anderen vernetzt ist.
TCP/IP -> DFÜ-Adapter. Das ist das TCP/IP-Protokoll für die Internet-Verbindung. Das brauchst Du und daran solltest Du nur etwas ändern: Klicke diesen Eintrag an und klick dann auf den Button ‚Eigenschaften‘. Wechsle dann ins Register ‚Bindungen‘ und entferne das Häkchen bei ‚Datei- und Druckerfreigabe für Microsoft-Netzwerke‘. Damit sind Deine Freigaben nicht mehr im Internet zu sehen und dann sollte auch dieser Virus nicht mehr auftreten.
TCP/IP -> Netzwerkkarte. Das ist für Dein lokales Netzwerk. Hier kannst Du eine IP-Adresse konfigurieren.
IPX/SPX: Du benötigst weder fürs Internet noch für das LAN dieses Protokoll. Darum würde ich diese Einträge, sofern sie vorhanden sind, deinstallieren.
NetBEUI: Auch das würde ich deinstallieren.
Client für Microsoft-Netzwerke. Den benötigst Du, damit Du auf Deinem PC ein Laufwerk oder ein Verzeichnis freigeben kannst, auf das dann der andere PC im Netzwerk zugreifen kann.

Das müsste soweit alles sein. Als nächstes gehst Du in den Ordner ‚DFÜ-Netzwerk‘, klickst die DFÜ-Verbindung mit der rechten Maustaste an und wählst wiederum ‚Eigenschaften‘. Im Register ‚Allgemein‘ musst Du das Häkchen bei ‚Am Netzwerk anmelden‘ entfernen. Die Häkchen bei den Protokollen ‚IPX/SPX‘ und ‚NetBEUI‘ solltest Du auch entfernen, da sie für die Internetverbindung nicht benötigt werden.

Ich hoffe, diese Angaben helfen Dir weiter. Wenn nicht, dann bitte frag nach.

CU
Peter

Balin_768098 · 17. März 2003 um 20:35

Hallo,
den Virus kenne ich nur zu gut. Mit Norton konnte ich ihn auch
nicht entfernen.
Der Virus verbreitet sich über das interne Netzwerk.
Ich habe ihn wie folgt beseitigt.
Auf der Seite von Bitdefender(http://www.bitdefender.com/html/free_tools.php) kannst du dir
umsonst ein Tool zum entfernen des Virus (w32.Opaserv) runterladen.
Dann alle Rechner vom Netz nehmen. Das Tool laufen lassen.
Auf allen Computern, versteht sich natürlich von selbst:smile:.
Der Virus hängt sich an die Win.ini. Deshalb muß
man noch im Windows-Verzeichnis das Unterverzeichnis sysbackup
suchen und dort die .CAB - Dateien löschen.
So sind wir den Virus losgeworden. Zusätzlich haben
wir noch das Virenprogramm von AVG laufen lassen.
Die Kombination hat es gebracht. Seitdem ist Ruhe!
Gruß Balin

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]