Krijg W32.opaserv niet uit win.ini

[jamba]

Ik heb de instructies gevolgd om opaserv van mijn computer af te krijgen: ik heb de opaserv fixtool gebruikt en later nog de registry schoongemaakt volgens onderstaande instructies. Ook heb ik run= uit win.ini gehaald. Toch blijft norton aangeven dat mijn win.ini besmet is met w32.opaserv en dat hij het niet kan verwijderen. Wat kan ik verder nog doen?


1) start op in de veilige modus.

2) run eerst de opaserv verwijder tool in de veilige modus

3) ga naar start-uitvoeren-win.ini en verwijder alles wat achter de run= staat en sla het op.

4) ga naar start-zoeken-bestanden of mappen en zoek deze bestanden of een combinatie ervan en verwijder ze:

scrsvr
brasil
alevir
cronos
Marco!
gay

5) Ga naar de registry editor naar:

hkeylocal machine-software-Microsoft-windows-current version-run en kijk in de rechter venster en verwijder files met deze woorden of een combinatie ervan:

scrsvr
brasil
alevir
cronos
Marco!
gay

Start daarna op in normale modus. Probleem opgelost.

 

[horjus]

ongeveer hetzelfde probleem

Ik heb ongeveer hetzelfde. Bij mij geeft Norton aan dat het bericht saat in c:\undo\backup.cab of c\windows\sysbackup\rb001.cab. Die directories bestaan bij mij helemaal niet.
Ook in win.ini komt geen run commando voor en in het register op de aangegeven plaast staan die woorden niet.
Vreemd hè.
Ik krijg het idee dat de virussen op een onschuldige, geisoleerde plaats staan. Moet ik daar nog wat aan doen?

 

[Bennie]

Re: ongeveer hetzelfde probleem

Geplaatst door horjus
Ik heb ongeveer hetzelfde. Bij mij geeft Norton aan dat het bericht saat in c:\undo\backup.cab of c\windows\sysbackup\rb001.cab. Die directories bestaan bij mij helemaal niet.
Ook in win.ini komt geen run commando voor en in het register op de aangegeven plaast staan die woorden niet.
Vreemd hè.
Ik krijg het idee dat de virussen op een onschuldige, geisoleerde plaats staan. Moet ik daar nog wat aan doen?

Dat kunnen verborgen (systeem)bestanden zijn. Maak ze zichtbaar via mapopties. Kan Norton het virus niet verwijderen?

Groetjes,
Bennie

 

[horjus]

Bedankt Bennie, maar dat is niet het geval. Bij mij is de instelling dat alle verborgen bestanden en documenten weergegeven worden.

Bob Horjus

 

[Bennie]

Kijk hier wat rond.

Groetjes,
Bennie

 

[jamba]

Alleen in win.ini

Bij mij vindt Norton alleen een virus in win.ini. Norton kan het virus niet verwijderen.

 

[Kleinkramer]

Kun je het volgende eens doen?

Ga naar http://www.tomcoyote.org/hjt/ , en download daar 'Hijack This'.

Uitpakken, en vervolgens dubbelklikken op HijackThis.exe.

Klik nu op "Config" > "Miscellaneous Tools", en dan "Generate Startuplist Log"

Je krijgt dan een tekstbestand dat een uitgebreid overzicht geeft van alles wat er zich op jouw computer afspeelt.

Ga naar Bewerken > Alles selecteren, kopiëer het, en laat de hele inhoud daarvan zien.

 

[horjus]

Hallo Ton,

Dit is het resultaat na uitvoering van jouw instructies:

StartupList report, 31-5-2003, 19:46:12
StartupList version: 1.52
Started from : C:\Documents and Settings\horjus\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\kazaa\kazaa.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\PROGRA~1\COMMON~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\horjus\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

KAZAA = C:\Program Files\kazaa\kazaa.exe /SYSTRAY
NAV Agent = C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
AdaptecDirectCD = "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
CreateCD50 = C:\PROGRA~1\COMMON~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MsnMsgr = "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\GOUDEN~1.SCR
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\crs32.dll - {5843A29E-1246-11D4-BA8C-0050DA707ACD}
NAV Helper - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job
Norton SystemWorks One Button Checkup.job
Norton AntiVirus - Mijn computer scannen.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\SYSTEM32\MACROMED\Director\SwDir.dll
CODEBASE = http://active.macromedia.com/director/cabs/sw.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.957 bytes
Report generated in 0,471 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Bedankt voor het meedenken.

Bob Horjus

 

[Kleinkramer]

Maar er start helemaal niets op vanuit je win.ini.

Noch vanuit je "gewone" win.ini, noch vanuit het Win XP equivalent daarvan ( "run"=" en load"= waarden in HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows )

Je hebt wél een spyware browser plugin: C:\WINDOWS\System32\crs32.dll: <a href="http://217.115.153.73/parasite/Gratisware.html" target="_blank">Gratisware </a>


Ik begrijp dus die melding van Norton niet...

 

[horjus]

Betse Ton,

Ik heb inmiddels de Opaserv scanner en opruimer van Bitdefender gedraaid en die vond geen virussen op mijn computer. Vraag niet hoe het kan, maar profiteer er van, zou ik zeggen. Ik neem maar aan dat het probleem verholpen is. Dat spywareprogramma kan ik gewoon verwijderen neem ik aan.
Nogmaals bedankt voor de moeite.

Bob Horjus

 

[Kleinkramer]

Jam, je kunt SpyBot S&D of Ad-Aware draaien , en die zouden hem moeten kunnen vinden en verwijderen.

Overigens heb je in SpyBot S&D ook nog een Tools > BHOs afdeling, waar je elke willekeurige Browser plugin (in dit geval dus crs32.dll) eenvoudig kunt "uitschakelen"

 

[saldos]

Geplaatst door jamba
Ik heb de instructies gevolgd om opaserv van mijn computer af te krijgen: ik heb de opaserv fixtool gebruikt en later nog de registry schoongemaakt volgens onderstaande instructies. Ook heb ik run= uit win.ini gehaald. Toch blijft norton aangeven dat mijn win.ini besmet is met w32.opaserv en dat hij het niet kan verwijderen. Wat kan ik verder nog doen?


1) start op in de veilige modus.

2) run eerst de opaserv verwijder tool in de veilige modus

3) ga naar start-uitvoeren-win.ini en verwijder alles wat achter de run= staat en sla het op.

4) ga naar start-zoeken-bestanden of mappen en zoek deze bestanden of een combinatie ervan en verwijder ze:

scrsvr
brasil
alevir
cronos
Marco!
gay

5) Ga naar de registry editor naar:

hkeylocal machine-software-Microsoft-windows-current version-run en kijk in de rechter venster en verwijder files met deze woorden of een combinatie ervan:

scrsvr
brasil
alevir
cronos
Marco!
gay

Start daarna op in normale modus. Probleem opgelost.

Dat waren inderdaad mijn instructies van hier:

http://www.helpmij.nl/forum/showthread.php?s=&threadid=91423&highlight=opaserv

jamba,
Behalve deze instructies moet je wel even voor een paar andere dingen zorgen, want anders is het dweilen met de kraan open:
Installeer deze patch vanaf hier:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp

En zorg ervoor dat je niet je gehele C schijf aan het sharen bent (en zeker niet jou gehele windows directory).
Je moet alleen sharen wat nodig is om te sharen.

Zorg er ook voor dat je in configuratiescherm-network-tcp/ip-bindings de file and printersharing uitzet-toepassen-ok en restart de pc.

Zo voorkom je in iedere gaval de opaserv voor in de toekomst.