[bennyhund95]

Hallo Leute,
ich habe ien Bild Ordner immer wenn ich diesen öffne stürzt der Desktop ab. Ich denke es handelt sich um den neuen WMF Virus!?

Kann mir jemand sagen wie ich den wieder rausbekomme aus dem PC?

Norton und Antivir erkennen den nicht!!!

Bitte um Hilfe.

[noname666]

hast du mal ein Windowsupdate durchgeführt ?
Kannst ja mal versuchen über die Eingabeaufforderung in den Order zu kommen um dann zu schauen, was da drin ist.

[aNtiCHrist]

Das ist gut möglich, dass du so eine Datei in dem Verzeichnis liegen hast. Wenn die Scanner aber auch mit den tagesaktuellen(!) Definitionen da nicht anschlagen (und die Dateiendung nicht gerade auf einer Whitelist steht), kann es auch irgendein anderer Defekt sein.

Gib mal mit Adminrechten unter Start->Ausführen folgendes ein: regsvr32 -u %windir%\system32\shimgvw.dll. Danach ist zumindest der WMF-Exploit erstmal nicht mehr funktionsfähig. Wenn es einen korrekt funktionierenden Patch gibt, kannst du den Schritt dann wieder rückgängig machen: regsvr32 %windir%\system32\shimgvw.dll. Zumindest solltest du aber den Teilpatch unter http://www.microsoft.com/technet/sec.../ms06-001.mspx einspielen. Der Schützt zwar nicht vor den Abstürzen, aber immerhin verhindert er bisher die Codeausführung, die vorher möglich war.

[bennyhund95]

Ja Danke, das hat funktuniert. Vielen Dank

Ich hasse Viren *bääääh*

[aNtiCHrist]

Du solltest trotzdem deinen Rechner mal gründlich durchchecken, zumindest wenn der am Netz hängt. Über das Bild wird dann nämlich nur der eigentliche Schadcode nachgeladen und der treibt dann möglicherweise (auch jetzt noch) sein Unwesen, ohne dass die Virenscanner da smitbekommen, weil der Schadcode schneller aktualisiert wird als die Virenscanner ihre Updates erhalten. Klemm den Rechner am besten für ein paar Tage ab, aktualisiere dann dein Antivir ohne Netzverbindung(!) indem du die Definitionsdatei mit einem anderen Rechner runterlädtst und dann auf CD/Flashspeicher/Diskette kopierst - http://www.free-av.de/down/vdf/vdf_h.zip - und scanne dann das System erneut. So sollte sich eine etwaige Infektion halbwegs zuverlässig feststellen lassen.

Auch wenn danach alles gut aussieht, solltest du genau darauf achten, ob der Rechner von sich aus ungewöhnlich viel Daten sendet, obwohl du selber keine Programme gestartet hast, die sowas machen könnten. Das könnte dann ein Hinweis sein, dass dein Rechner zum Spamversand und Angriffen auf andere Rechner missbraucht wird.

[Hinterwäldler]

Zitat:

Zitat von bennyhund95 

Kann mir jemand sagen wie ich den wieder rausbekomme aus dem PC?
Norton und Antivir erkennen den nicht!!!

Code:

Del lw:\Pfad\zu\Verzeichnis\*.WMF /f

und ein Systemneustart dürfte auch beim letzten PC funktionieren. Danach selbst angelegte Dateien auf Disk oder CD sichern und PC nach dieser FAQ behandeln.

Da WMF-Bilder auch als JPG oder BMP gespeichert werden können, Windows dann aber beim in den Header schauen doch den WMF-Viewer anwirft, scheint simples löschen der *.WMF nicht der richtige Weg.

[Hinterwäldler]

Hallo Eisenblut

Kein Mensch verwendet heute noch einen Grafikcontainer, welcher 15 Jahre alt ist und damals speziell für den Transport von Scripten programmiert wurde. Genau dieser Zweck: "Zusätzliche Transportmöglichkeit für Scripte in einer Bilddatei!". Wenn dieses Format heute auftaucht, dann eben nur für den oben beschriebenen Zweck!

Und was willst du damit machen, aufheben für schlechere Zeiten? Sind ein paar Dateien aus einem Massendownload wirklich so wertvoll? Zum konvertieren müßte der Laie sich ins Verzeichnis begeben und da passiert siehe oben! Dabei ist noch immer nicht geklärt, wie sich der Script während dieses Vorganges verhält.

Entsprechend meinen Informationen ist die Gefahr einer akuten Infektion nicht gegeben! Nach dem Löschen dieser Dateien dürfte das Problem gelöst sein. Es gibt größere Gefahren als diese.

@all: Sachliche Informationen sind wertvoller als Panikmache oder Verniedlichung.

Nur hilft deine Löschaktion nicht, wenn die Dateien als JPG oder ein anderes Bildformat abgelegt wurden. Es geht nicht darum, ob heutzutage noch jemand Files in WMF braucht, sondern nur, dass man WMF-Dateien nicht so einfach an der Endung erkennen kann. Man müsste schon mit einem HEX-Viewer selber in die Datei sehen.

[bennyhund95]

Jetzt geht meine Bild und Faxanzeige nicht mehr?! wie bekomm ich diesen müll virus nur weg? HILFE!!!

[aNtiCHrist]

Zitat:

Entsprechend meinen Informationen ist die Gefahr einer akuten Infektion nicht gegeben!

Dann informier dich mal besser oder probier es selber aus, wenn du irgendwo ein Windows-XP-System nutzen kannst. Es reicht zur Codeausführung in der Standardkonfiguration aus, wenn man ein Verzeichnis im Explorer öffnet, wo sich so eine Datei drin befindet. Die Endung ist dabei unerheblich, solange die Endung von der integrierten Bild- und Faxanzeige unterstützt wird. Mir fällt grad nichts ein, was gefährlicher sein könnte.

Zitat:

Jetzt geht meine Bild und Faxanzeige nicht mehr?!

Ja, das ist eine Nebenwirkung von dem Befehl, den ich dir genannt hatte. Sofern du den Patch eingespielt hast, kannst du das wieder rückgängig machen, wenn du die unbedingt brauchst. Mit dem Patch gibt es (bisher) AFAIK keine Möglichkeit zur erneuten Codeausführung, das Crashen funktioniert aber immer noch und das wolltest du ja abstellen. Du könntest aber anstelle der integrierten Anzeige auch einen Bildbetrachter wie XnView nutzen.

Zitat:

Zitat von aNtiCHrist 

...
Gib mal mit Adminrechten unter Start->Ausführen folgendes ein: regsvr32 -u %windir%\system32\shimgvw.dll. Danach ist zumindest der WMF-Exploit erstmal nicht mehr funktionsfähig.

Wenn du das gemacht hast, ist der Faxviewer deregistriert und dementsprechend nicht mehr funktionsfähig.

Zitat:

Wenn es einen korrekt funktionierenden Patch gibt, kannst du den Schritt dann wieder rückgängig machen: regsvr32 %windir%\system32\shimgvw.dll.

Damit läuft er dann wieder.