Hallo zusammen!

Ich habe ein paar seltsame Dateien gefunden und bin mir nun unsicher, ob mein
Rechner infiziert ist oder nicht.

Es handelt sich dabei um die Dateien "scrsvr.exe", "alevir.exe", "brasil.exe", "brasil.pif", "instit.bat", "marco!.scr", "srv32.exe".

Von G-Data AVK 2005, AntiVir und F-Prot wurden diese Dateien nicht beanstandet, allerdings die Datei "scrsvr.exe" von dem
Programm Spybot. Dort wurde die Datei als "OPASERV-Worm"
klassifiziert. Da der Wurm wohl speicherresident ist, ließ er sich von
dem o. g. Programm auch nicht enfernen. Weitere Removal-Tools, die auf
diesen Wurm spezialisiert sind, haben den Wurm seltsamerweise nicht
erkannt.

Ich konnte die Datei lediglich entfernen, wenn ich den Rechner im
abgesicherten Modus gestartet habe. Wenn ich den PC dann aber neu
starte, ist die Datei wieder da (mit dem Datum des Neustarts des
Systems).

Außerdem werden alle diese Dateien bei jemdem Systemneustart neu generiert.

In der Registry kann ich allerdings keinerlei Schlüssel finden, der
diese Datei wieder herstellt ...

Vor allem auf der BSI-Site (http://www.bsi.bund.de/av/vb/opaserv.htm)
heißt es, das der folgende Wert in die Registry geschrieben wird:


<Dem Registrierschlüssel "HKLM\Software\Microsoft\Windows\Current
Version\Run" wird folgender Wert zugewiesen: "ScrSvr">

Dies ist bei mir nicht der Fall.

Auch wenn ich die Systemwiederherstellung deaktiviere und dann das System neustarte, sind die Dateien nach dem Neustart wieder da ...

Wenn ich auf die Eigenschaften der Dateien klicke, wird die Größe mit
0 Byte angezeigt.


Kann es sein, dass ich mir eine neuartige Mutation des Wurms
eingehandelt habe?

Können 0-Byte-Dateien überhaupt einen Schaden anrichten?

Mit ratlosen Grüßen

Vielleicht habe ich gerade selbst die Lösung gefunden:

Ich hatte als eins der Removal-Tools auch das von Kaspersky (KlAntiFL.exe) gebutzt. Dieses hat wohl die vorhin genannten Dateien gelocked (Habe ich in der Registry gefunden).

Nachdem ich dann das Kaspersky-Tool deinstalliert habe, sind auch die Dateien weg.

Seltsam war nur, dass das Kaspersky-Tool beim damaligen Scan nichts gefunden hatte ...

Außerdem würde mich interessieren, wie ich an diesen Wurm dran gekommen sein soll. Soviel ich weiß, verbreitet der sich nur über frei gegebene Laufwerke oder Drucker. Aber ich habe nichts dergleichen ...

Weiß hier jemand etwas dazu?

ohoh.. du solltest besser windows neu installieren. und nun folgt der grund:

der opaserv-wurm ist afaik auch ein backdoor. jeder kann über diesen auf deinen pc zugreifen. viel schlimmer ist aber, die art wie er bei dir vermutlich ins system gelangt ist. dieser opaserv verteilt sich nicht wie rbot's durch rpc-ports. er benutzt stattdessen die datei-und druckerfreigabe. du hast dein system nicht richtig sicher konfiguriert und deshalb nun diese probleme. dein system ist deshalb nun kompromittiert; es ist nicht mehr vertrauenswürdig. beachte zudem noch diese Anleitung. Nebenbei ist es möglich, dass Dritte bereits deine systemdateien verändert haben durch die sicherheitslücke.

Zitat:

Zitat von Chris14

ohoh.. du solltest besser windows neu installieren. und nun folgt der grund:

der opaserv-wurm ist afaik auch ein backdoor. jeder kann über diesen auf deinen pc zugreifen. viel schlimmer ist aber, die art wie er bei dir vermutlich ins system gelangt ist. dieser opaserv verteilt sich nicht wie rbot's durch rpc-ports. er benutzt stattdessen die datei-und druckerfreigabe.

Das kann eigentlich nicht sein: wie ich in der letzte Nachricht geschrieben habe: Es gibt und gab bei mir keinerlei Freigaben (weder LW, noch Drucker)!

Zitat:

du hast dein system nicht richtig sicher konfiguriert und deshalb nun diese probleme. {wird noch ergänzt}

Bei mir sind eigentlich alle unsicheren Diensten geschlossen, nutze zwei Firewalls und versch.- Viren- und Adwarescanner ...

und da fängt dein problem an. du verwendest firewalls. diese sind allgemein bekannt als unsicher. es gibt zwei wege ja, wie ein solcher schädling aufs system kommt:
datei-und druckerfreigabe oder
e-mail
letzteres ist der warscheinlichste fall. also ist es unausweichlich neuzuinstallieren. und glaube auch nicht, dass dich ne firewall oder 2 oder 3 dich vor sowas bewahren. auch ein antiviren- oder adwarescanner weiß net alles.

Das Firewalls und Scanner kein absolutes Heilmittel sind ist mir auch klar. Ich verstehe nur nicht wie das Zeug bei mir drauf gekommen ist:

Über die Freigaben kann es nicht sein, da sie nicht existieren.
Über den E-Mail-Client kann ich nicht ausschließen, allerdings auch etwas sletsam. Ich nutze The Bat! mit alle Sicherheitsvorkehrungen (Z.B. werden HTML-Mails nicht automatisch angezeigt). Und Attachments werden von mir grundsätzlich nicht geöffnet, wenn sie von Unbekannten kommen und ansonsten gescannt ...

Ich frage mich, was also sonst noch getan werden soll (außer viell Linux zu verwenden, was bei mir aus verschiedenen Gründen ausgeschlossen ist).

Na ja. Jetzt werde ich erstmal das System wieder neu aufsetzen.

Danke für deine Kommentare!

Zitat:

Zitat von Chris14

und da fängt dein problem an. du verwendest firewalls. diese sind allgemein bekannt als unsicher. es gibt zwei wege ja, wie ein solcher schädling aufs system kommt:
datei-und druckerfreigabe oder
e-mail
letzteres ist der warscheinlichste fall. also ist es unausweichlich neuzuinstallieren. und glaube auch nicht, dass dich ne firewall oder 2 oder 3 dich vor sowas bewahren. auch ein antiviren- oder adwarescanner weiß net alles.