Windows Forum

Gast · Verfasst am: 16.10.2002, 18:49

ich habe mir jetzt mal wieder eine Firewall eingericht diesmal unter winME!

wenn ich auf die Statusanzeige blicke fällt mir auf, dass die datei "SCRSVR.EXE" sehr oft beblockt wird!
was ist das für eine datei?
die liegt übrigens im Windowsverzeichniss!

Mir kommt es so vor, als wollte sie Datein ins I-Net schicken!
ein trojaner???

danke im vorraus

____________________________________

_________________

Gast · Verfasst am: 16.10.2002, 19:50

scheint nen wurm zu sein: h**p://www.pctip.ch/helpdesk/virenticker/archiv/22182.asp

einfach mal google fragen

Gast · Verfasst am: 16.10.2002, 20:34

hi mo,

ja das sieht nach einem wurm aus, hab auch was gefunden:

Hallo Hagen,
habe obengenannten Worm. Wird durch Virenscanner erkannt und gelöscht. Überall, in Reg. tmp.ini und in win.ini sowie in C:\Windows. Alles klar, wenn ich jedoch eine Dfü-Verbindung habe, auch ohne Internet-Explorer oder Outlook, ist der Virus nach 2-3 Min. wieder da. Kann ich zwar wieder beseitigen, aber ist sofort wieder da. Wie gesagt, wenn ich Dfü-Verbindung habe.
Was kann ich noch tun?

h**p://www.pro-support.de/ps1.pl?read=237

W32/Opasoft (Opaserv)
vom 01.10.2002

Dieser Wurm ist bei Symantec als W32.Opaserv.Worm

bekannt, Kaspersky nennt ihn

Worm.Win32.Opasoft und bei McAfee hat man ihm die Bezeichnung W95/Scrup.worm

verpasst. Wie bei McAfee und F-Secure

zu lesen ist, seien PCs mit Windows 95/98 oder Windows ME aufgrund verminderter Netzwerk-Sicherheit besonders anfällig.

Der Opasoft-Wurm kopiert sich mit dem Dateinamen SCRSVR.EXE in den Autostart- oder Windows-Ordner einer im Netzwerk freigegebenen Festplatte und versucht von der Webseite www.opasoft.com weitere Dateien (z.B. scrupd.exe) herunterzuladen. Die Webseite wurde inzwischen entfernt.

Wird die Wurm-Datei ausgeführt, legt der Wurm in diesem Registry-Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
diese zwei Einträge an:
ScrSvr C:\Windows\ScrSvr.exe
ScrSvrOld (Original-Name der Wurmdatei)

Nun durchsucht der Wurm das lokale Netzwerk nach freigegebenen Systemlaufwerken und kopiert sich mit dem Namen ScrSvr.exe in deren Windows- bzw. Autostart-Ordner. Der Schädling fügt (je nach Windows-Version) der Datei WIN.INI in der Zeile «run=» den Eintrag c:\tmp.ini hinzu und legt unter c:\ eine Datei tmp.ini ab, die diesen Befehl enthält:
run= c:\windows\scrsvr.exe

Um eine Ansteckung zu verhindern, geben Sie in Ihrem Netzwerk kein Systemlaufwerk frei, halten Sie Ihre Virendefinitionen auf dem neuesten Stand und führen Sie keine Dateien aus, die wie aus heiterem Himmel auf Ihrem PC auftauchen.

Den Wurm entfernen Sie wie folgt, falls Ihr PC bereits angesteckt ist:

Entfernen Sie alle Netzwerk-Freigaben oder setzen Sie ein mindestens drei Zeichen langes Kennwort.

Aktualisieren Sie Ihren Virenscanner mit den neuensten Virendefinitionen, scannen Sie alle Laufwerke und löschen Sie alle Dateien, die Ihr Virenscanner als Opasoft identifiziert. Starten Sie den Registry-Editor und gehen Sie zu diesem Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Löschen Sie darin diese Einträge, falls vorhanden:
ScrSvr C:\Windows\ScrSvr.exe
ScrSvrOld (Original-Name der Wurmdatei)

Öffnen Sie die die Datei C:\Windows\WIN.INI und entfernen Sie den Eintrag «c:\tmp.ini» aus der Zeile, die mit «run=» beginnt. Nun löschen Sie auch noch die Datei tmp.ini und die Dateien scrsin.dat und scrsout.dat, die der Wurm direkt in C:\ ablegt.

Quelle: h**p://www.pctip.ch/helpdesk/virenticker/archiv/22182.asp

und schick mir bitte vorläufig keine mails

cu

____________________________________

Macht keinen Unsinn hier, Ihr schadet Euch nur selbst!

_________________

Gast · Verfasst am: 17.10.2002, 12:33

ok, danke!
ich habe ihn erfolgreich entfernt!
danke für eure hilfe

____________________________________