opaserv

Dieses Thema im Forum "Sicherheit" wurde erstellt von schwanzfried, 7. November 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. schwanzfried

    schwanzfried ROM

    Registriert seit:
    7. November 2002
    Beiträge:
    1
    Hi, ich habe folgendes Problem mit dem "Opaserv Virus vers. A-H".
    Nachdem der Virus laut Anleitung mehrerer führender AntiVirus Software Hersteller vom System entfernt wurde, lädt er sich bei jedem anschließenden Verbinden ins Internet wieder auf die System Platte. Also haben wir anscheinend etwas vergessen, nur was? Die Viren Dateien auf C:\ sind gelöscht und die Registry gereinigt.Wir haben auch alle Virus Remove Tools ausprobiert z.B. AntiOpaServ und FixOpaServ. Anschließend haben wir den Microsoft Security Update und einen Update vom Internet Explorer gemacht um die Ports 137 - 139 zu schließen. Laut netStat -an sind die ports belegt und trotzdem haben wir nach einem erneuten Versuch im Internet den Virus wieder auf dem PC.
    Ich seh den Wald vor lauter Bäumen nicht mehr!!!

    Ich Währe für jeden Tipp Dankbar

    Schwanzfried
     
  2. Gast

    Gast Guest

    <I>Laut netStat -an sind die ports belegt und trotzdem haben wir nach einem erneuten Versuch im Internet den Virus wieder auf dem PC.</I>
    Nicht TROTZDEM, sondern DESWEGEN...
    Die Ports sind zu, wenn in den Eigenschaften von TCP/IP-&gt;DFÜ-Adapter (oder womit du sonst online gehst) der Dienst Datei-u. Druckerfreigabe nicht mehr an dieses Protokoll gebunden ist.
     
  3. Gast

    Gast Guest

    Hallo!

    Warum postest Du in mehreren Foren die gleiche Frage?
    Muss ja nicht sein, oder?

    Grüße, Markus
     
  4. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das sagst du so einfach. Versuche mal auf einem XP-Home Edition-Rechner mit FAT32 für Deine Freigabe ein Passwort zu vergeben.

    franzkat
     
  5. Gast

    Gast Guest

    Na dass man eine Freigabe so oder so mit einem Passwortschutz versieht, ist doch selbstverständlich. Muss man sowas heute extra erwähnen? OMG!
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Um sich gegen Opaserv zu schützen, würde es sogar schon reichen, wenn er die Datei-Freigabe so konfigurieren würde, dass kein Schreibzugriff erfolgen könnte. Lese-Rechte zu vergeben, ist für Leute mit exibitionistischen Neigungen ja manchmal gar nicht nachteilig.

    franzkat
     
  7. Gast

    Gast Guest

    <I>Das mit der Datei und Druckerfreigabe habe ich zwar noch nicht gemacht, jedoch würde es mich doch schon interessieren, wieso der Opaserv mich immer wieder findet, sobald ich ins Internet gehe!</I>

    Genau deswegen. Opaserv scannt auf infizierten Rechnern willkürlich nach Dateifreigaben anderer Rechner im Web. Solange deine Dateifreigabe installiert ist und dabei <B>fälschlicherweise</B> auch an das TCP/IP-Protokoll deines DFÜ-Adapters gebunden ist, ist dein Rechner offen wie ein Scheunentor.
    Der von dir erwähnte Registry-Eintrag hat nichts mit Opasoft zu tun.
    Zu deinem anderen Problem solltest du vielleicht mal die Adresshistory löschen und wenns dann immernoch existiert, mal AdAware und Spybot drüberjagen.
     
  8. Tuborg

    Tuborg Byte

    Registriert seit:
    17. Dezember 2002
    Beiträge:
    55
    Hallo, ich habe das selbe Problem. Das mit der Datei und Druckerfreigabe habe ich zwar noch nicht gemacht, jedoch würde es mich doch schon interessieren, wieso der Opaserv mich immer wieder findet, sobald ich ins Internet gehe! Laut meinen Virenprogrammen NAV und AV sind die Dateien nämlich jedesmal gelöscht! Allerdings habe ich in der Registrierung folgenden Eintrag gefunden: SchedulingAgent "mstask.exe" der Eintrag steht unter HKLM/Software/Microsoft/Windows/RunServices hat dieser Eintrag etwas mit Opaserv zu tun? Und soll ich ihn löschen?

    Gruß
    Tuborg

    Ich glaub ich habe jetzt ein noch größeres Problem: Mein Herzgebobbeltes saust gerne auf der Seite WWW. Baur.de herum und macht Bestellungen und so. Wenn ich diese Seite jetzt aufrufe, erscheint hinter der URL folgendes: \is-bin\INTERSHOP\.... . Von da an erscheint dieser Müll hinter jeder X-beliebigen URL. Natürlich heist es dann Seite nicht gefunden. Ich habe schon mit TraXe alle Spuren getilgt, das Ergebnis bleibt das gleiche!

    Hat jemand dafür eine Lösung?
    [Diese Nachricht wurde von Tuborg am 16.05.2003 | 16:14 geändert.]
    [Diese Nachricht wurde von Tuborg am 16.05.2003 | 16:37 geändert.]
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen