Opaserv?

[mverlaan]

Hoy.

Ik heb met spyboth aan het scannen geweest en die ontdekte het virus Opaserv.
Moest in het bestand zitten C:\Windows\scrsvr.exe
Ik heb dit niet laten verwijderen maar het bestand laten staan. Met NortinAntiViruus 2003 gescand, die vind geen
virus. Met het progje Fixopaserv.exe er overheen gegaan vind ook geen virus.

Met de online Houscall er overheen en die vind ook geen virus terwijl het bestandje scrsvr.exe nog steeds op de computer staat.

Ziet Spyboth dit ten onrechte als een virus. wie moet ik nu geloven?

 

[de jean]

hoi,

met spybot scan je toch niet op virussen, dacht ik........

 

[Wim1960]

Spybot is geen virusscanner, maar zoekt spyware op. Eventueel kan je nog een keer scannen met adaware. Kijken wat die aan spyware vindt.

 

[gast0225]

Opaserv is een netwerk-worm die zich verspreidt binnen gedeelde netwerken. Indien een verbinding is beveiligd met een wachtwoord stopt de verspreiding.

Het tracht connectie te maken met de website www.opasoft.com (welke inmiddels offline is). Het kan zich als component van een mass-mailer verspreiden maar ook als los bestand, bijv. via diskettes.

Inmiddels zijn er 3 varianten van het virus bekend.

Herkenning van besmetting:

Bestanden

Aanwezigheid van het bestand "ScrSvr.exe" in de standaard Windows-directorie. (Meestal C:\Windows)

Aanwezigheid van de bestanden "scrsin.dat" en "scrsout.dat" in de rootdirectorie (C:\ ) van een systeem.

Aanwezigheid van het bestand "tmp.ini" in de rootdirectorie (C:\ ) van een systeem. (Indien dit bestand aanwezig is betekent het dat dit syteem via een remote-host is besmet.)

Registry

In het hostsysteem
Wordt een registry-verwijzing opgenomen naar het bestand "ScrSvr.exe".
Deze sleutel luidt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"ScrSvr" = [locatie Windows-directorie]\ScrSvr.exe


In het targetsysteem
In het targetsysteem van de remote-host wordt een verwijzing naar het bestand "tmp.ini" (zie hierboven) gemaakt in de registry:

Deze sleutel luidt:
HKLM\Software\Microsoft\Windows\Current Version\Run

De waarde hiervan bevat OF: "ScrSvr" OF: "ScrSvrOld" (en verwijst naar "tmp.ini"

Verwijder instructies:
Verwijder het virus met de gratis online scanners van Symantec, zie link hieronder. (link niet geplaatst door Pasja) (Voer deze online scan uit op ieder syteem aanwezig in het netwerk)

OF:
Verwijder het virus met behulp van deze gratis verwijderingstool.
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe

- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.

 

[mverlaan]

Hoy,

Ik dacht ook dat het dat alleen maar op spyware gecontroleerd werd.

Alles gecontroleerd uit het bericht van Pasja verder geen vermelding of verwijzing gevonden.
Kan ik zonderverdere problemen het bestand scrsvr.exe bestand verwijderen?

 

[Bennie]

Er staat toch duidelijk bij dat het om een waarschuwing gaat? Waar lees jij dat het om een daadwerkelijke infectie gaat?:8-0:

Groetjes,
Bennie

 

[Kleinkramer]

Geplaatst door mverlaan
Met de online Houscall er overheen en die vind ook geen virus terwijl het bestandje scrsvr.exe nog steeds op de computer staat.

Ziet Spyboth dit ten onrechte als een virus. wie moet ik nu geloven?

Scrsvr.exe is geen Windows bestand, maar 100% Opaserv. Wegpletteren dus!

Grtz,

 

[mverlaan]

Hoy.

Mensen weer bedankt, we zijn er weer uit.

 

[saldos]

mverlaan,

Even voor alle duidelijkheid:
Normaal gesproken is scrsvr.exe een virus.
Maar in jouw geval denk ik niet dat dit het geval is.
Reden dat ik dat denk is omdat ik denk dat het een map is die scrsvr.exe heet en geen echte exe bestand. Kan dat kloppen?

Reden dat ik dat zeg is hierom:
Een tijdje geleden draaide ik de opaserv verwijder tool van Nod32 om hem even te testen.
Ik kreeg toen een map die scrsvr.exe heet in C:\Windows. Die map heette dus scrsvr.exe. Het was een lege map. Wat de reden is dat de verwijder tool van Nod32 dat doet is mij onduidelijk.
Maar het rare ervan is dat Spybot mij daarna ook aangaf dat ik besmet was met de opaserv terwijl ik helemaal niet besmet was. Reden: spybot kijk alleen naar de naam van het bestand en niet naar de code van het bestand zoals een gewone virus scanner.
En dit kun je zelf testen:
Maak een nieuwe map aan en noem hem scrsvr.exe en laat daarna spybot scannen. Je zult dan zien dat spybot gelijk denkt dat dit een virus is terwijl dat helemaal niet het geval is.

 

[mverlaan]

Hoy,

Saldos, het bestandje wat ik had was scrsvr.exe, een bestandje dus en geen map. Ik heb de indruk zoals u dat zegt, dat spybot alleen maar op namen reageert.

Ik heb dit progje sinds Vrijda-avond en ben er onmiddelijk mee gaan scannen. Daar ik weet dat Opaserv een virus is, snapte ik eerst al niet dat dit bij mij op de computer kon staan. Ik heb altijd automatisch control aan staan, van mijn Norton 2003 virus scanner en deze haalt ook altijd automatisch de update op. Ik heb het bestandje nu weg gepletterd zoals Kleinkramer zo mooi zei.

 

[saldos]

Kan het misschien een screensaver zijn geweest mverlaan ?

 

[mverlaan]

Hoy,

Het is mogelijk, maar dan was het geen goeie meer. Omdat ik er achterkwam dat het geen virus was, heb ik hem eerst in de prullenbak gezet, en verschillende van de mij bekende screensavers geprobeerd, maar alles werkte goed. Daarna heb ik hem voorgoed verwijderd omdat ik wist dat het geen virus was, er op dubbelklikte om te openen, en de mededeling kreeg dit programma heeft een ongeldige bewerking gedaan enz.

Hierna heb ik uiteraard weer met Norton en Houscal mijn systeem weer gescand, om de laatste twijfels weg te halen, ook al weet ik zeker dat de autoprotect van
Norton perfect werkt.

Als ik in spybot, de lijst van bestanden nakijk die hij moet controleren, staat er inderdaad ook Opaserv bij.

 

[saldos]

Ok, het belangrijkste is dat je niet besmet was.

Succes