Supportnet / Forum / Windows98

Tag Leute, Gleich zu Beginn bitte ich um Rückmeldungen, falls jemand mit dem Folgenden ebenfalls die Lösung eines Befalls mit einem Wurm oder Trojaner erreicht. Ich bitte auch um Rückmeldung, falls jemand andere Lösungswege kennt, die DAUERHAFT sind. (Es folgt ein langer Beitrag für Menschen, die es wirklich interessiert.) Es ging in meinem Fall um den Wurm Opaserv. auf einem fremden Rechner. Das Ergebnis in Kurzform: Intensives Surfen brachte nach langen Vorarbeiten die Information, dass dieses üble Teil durch offene Ports immer wieder in den Rechner eindringt und sich immer wieder NEU z.B. in die win.ini einschreibt. Die Vermutung, dass das Teil immer wieder neu aus dem Internet kommt war also die ganze Zeit richtig. Wenn man keinen Anknüpfungspunkt für ihn mehr auf dem eigenen Rechner hat und alle Ports gegen unerwünschtes Eindringen abgesichert sind, hat der Wurm hat keine Chance mehr! Der Aufwand, den ich vor dem Schliessen des offenen Ports betrieben hatte, war insofern nicht umsonst, da dadurch absolut gewährleistet ist, dass keine alten Reste vom Wurm mehr auf der Festplatte sind. Nun Konkret: Das Problem war: der Wurm W32.Opaserv - den es mit verschiedenen Erweiterungen von Opaserv.A bis Opaserv.K gibt, und der auch unter dem Namen Brasil! Unterwegs ist - schrieb sich in meinem Fall immer wieder in die zweite Zeile der win.ini ein, mit einer endlos langen Befehlsfolge. (in cm ausgedrückt über 40 cm, kein Witz!). Der exe-Dateiname von ihm ist scrsvr.exe (sieht als Tarnung nach einer Abkürzung von screensaver aus, finde ich). Er tauchte immer nur auf, wenn man online war. Die meisten Namen der Befehle waren spanische Schimpfwörter wie puta!! Z cava! (Kuh) podre!! (Eiter) und Ähnliches. Aber auch Namen wie instit.bat kamen vor. Die Dateiendungen sind .scr, .pif, .bat, .com, .exe . Da jeder Teilbefehl erfolgreich von Norton Antivirus abgefangen wurde, entstand kein WIRKLICH großer Schaden auf dem Rechner (Drucker-Treiber-Probleme, Probleme beim Importieren und Exportieren von e-mails, -Konten und Adressbuchdateien von und nach outlook-express und einige Kleinigkeiten mehr, wie Verzögern des Seitenaufbaus und gelegentliche Abstürze, sowie fehlerhaftes Herunterfahren), aber die ständig auflaufenden Fenster mit den Abfang-Meldungen von Norton störten das Arbeiten am Rechner gewaltig! Teilweise liefen die im DOS-Format auf, so dass der ganze Bildschirm voll war. Die Recherchen ergaben, dass das Teil echt großen Schaden anrichten kann, wenn es nicht durch ein Virenschutzprogramm abgefangen wird. Was Alles scheinbar zunächst nicht half, sich im Endeffekt – zusammen mit dem Schließen der Ports - aber doch als notwendig herausstellte: 1. Löschen aller Dateien die Norton als schädlich identifiziert hatte auf Windows-Ebene. 2. Löschen der unerwünschten Einträge per editor in DOS aus der win.ini. 3. Suchen und Löschen ganzer unerwünschter Dateien auf DOS-Ebene. 4. Entfernen aller Einträge dazu aus dem Autostart-Bereich. 5. Entfernen aller Einträge dazu manuell aus der Registrierung. 6. Komplettes Deinstallieren und Neuinstallieren aller Internet-Zugangssoftware. 7. Verändern der Netzwerkeinstellungen bezüglich Freigabe, um sicher zu sein, dass die Quelle nicht vielleicht im Netzwerk woanders war. 8. Updaten der Antivirtensoftware. 9. Online-Prüfung auf Würmer und Trojaner: brachte nichts, obwohl die alle angeblich das Beste bieten, weil die nur bis zur Version Opaserv.F prüften, hier aber Opaserv.H bis K zugange war! 10. Selbst die Norton-Werkzeuge mit den neuesten Virusdefinitionen fanden ihn bei der Systemprüfung nicht, denn: Immer wenn er aktiv war, fingen sie ihn ab und isolierten seine Teile. DA erkannten sie ihn schon. Anschließend war er ja in Quarantäne, da fanden sie deshalb im System nichts. Immer, wenn man wieder online war, war sein Trick: Er schrieb immer erstmal den Befehl „run=“ in die zweite Zeile der win.ini und wartete ab. Dieser Eintrag allein wurde nicht als Bedrohung erkannt. Später dann fügte er die Befehlsfolge dazu, die dann aktiv wurde und von Norton erkannt und bekämpft wurde. 11. So konnte man eine schöne Zeit damit verbringen, die unerwünschten Teile immer wieder zu löschen. Sogar mit dem Tool „bcwipe“, das die gelöschten Bereiche gleich überschreibt, so dass eine Reaktivierung der ehemaligen Inhalte definitiv ausgeschlossen ist, war keine Abhilfe zu erreichen. Der Wurm kam immer wieder............und wieder............und wieder........... 12. Die Prüfung der Boot-Sektoren ergab gottseidank keinen Befall dort. (In diesem und in Fällen wo der Wurm geößeren Schaden hinterlassen hat, würde nur das komplette Neu-Aufziehen der Festplatte helfen PLUS das, was jetzt kommt, berichteten andere Betroffene) Nun denn: Endlich- eines schönen Tages – fand ich einen Link zu einer website auf der beschrieben war, wie das Teil vom Internet auf den Rechner kommt. (Die allererste Ursache bleibt unklar, möglicherweise wirklich böswilliges Einhacken in Rechner anderer Leute). Ab da war es nur noch eine Frage von ein paar Stunden bis zur Lösung! WAS zu tun war, war nun klar. WIE das war bald auch klar. Das Ganze gemacht – wobei man die Anleitung schon mit eigener Logik und eigenem Wissen auf die Verhältnisse auf dem Rechner, um den es geht, umdeuten muss – und siehe da: Der Wurm muss draußen bleiben!!! Er schlängelt sich jetzt vor meinen ports und ist sauer, weil er draußen in der Kälte bleiben muss! Yes! Gewonnen! Und jetzt die Seiten dazu, über die ich die Lösung hinbekam ( da die Internet-Protokoll-Einstellungen von Rechner zu Rechner sehr verschieden sein können, benenne ich keine weiteren Details aus „meiner“ Situation, man muss die Sachen von dort schon auf die eigene Lage anpassen.): 1. http://www.pctip.ch/helpdesk/kummerkasten/archiv/ viren/23566.asp Kommentar: Macht das, was da steht, macht Alles was ich oben beschrieben habe und schließt eure ports, dann habt ihr die wirklich verläßliche Lösung! 2. http://www.pro-support.de/ps1.pl?read=423 Kommentar: zeigt euch, wie’s Andern damit ging und wie sie Erfolg hatten. 3. http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.opaserv.worm.html Kommentar: ladet auf jeden Fall auch das Patch von Microsoft herunter und installiert es. Wenn Symantec es so dringend empfiehlt, wird es wohl wirklich nötig sein. 4. http://www.port-scan.de Kommentar: Laßt euch hierdurch das Tor auf eurem Rechner zeigen, durch das der Wurm geschlängelt kommt. 5. http://www.hacker-archiv.de/page/security/ports_137_139.html Kommentar: Endlich mal eine klare Anleitung mit Bildern! – Achtung hier ist dennoch das eigene Wissen und die eigene Logik gefragt, denn die meisten vorhandenen Protokolleinträge auf Rechnern sehen anders aus. SUCHT SOLANGE DAS RICHTIGE TEIL, BZW. DIE RICHTIGEN TEILE UNTER NETBIOS -ODER TCP/IP-PROTOKOLLEN (es sind häufig mehrere, nicht nur eines wie in der Anleitung), BIS IHR DIESELBE REGISTERKARTE ÖFFNEN KÖNNT, WIE SIE IN DEN LETZTEN SCHRITTEN DER ANLEITUNG ZU SEHEN IST. ÄNDERT NICHTS ANDERES, WENN IHR NICHT GENAU WIßT, WAS IHR TUT! In meinem Fall hat das die Lösung gebracht. Laßt anschließend eure Ports nochmals von Nr. 4 scannen. Die auf dem Rechner, um den es ging, waren anschließend SO zu, dass die Anbieter der Seite sich fast schon beschwert haben (kleiner Scherz am Rande), weil die nämlich ganz gerne Geld damit verdienen würden, wenn man das Port-Schließen von ihnen machen läßt, wenn man es selber nicht kann. Anschließend habe ich das ganze gleich noch bei mir zu Hause als Vorsorge gemacht, mit gleich gutem Erfolg. Alles was funktionieren muss, funktioniert. Gruß, maikel

in Kurzform, aktive Firewall verhindert das Eindringen und man erspart sich jede Menge Arbeit ;-)
Trotzdem, Kompliment für die akribische Darstellung,für die Betroffenen bestimmt sehr hilfreich.

Stimmt,Oldie!

ich war bisher, genauso wie offenbar viele Andere, einer von denen, der dachte, es ginge auch ohne. Ich will dem Menschen, bei dem ich mit den geschilderten Mitteln den Wurm "besiegt" habe, auch empfehlen, eine firewall einzurichten.

Ich bin auch für Hinweise dankbar, die aussagen, was man beim Einrichten einer Firewall beachten sollte, damit dieselbe nicht auch erwünschte Inhalte abblockt.

Gruß, maikel

• Freenet-DSL mit Win98SE. Netzwerkkarte?
• wiederherstellung von win98se
• Win98SE
• Winaspi Treiber für win98SE