WMF FAQ Deutsch von Remover Einstellungen

[christian4u2]

@remover: und bei Gelegenheit

[Monti]

Hallo,
ich bin neu hier und nicht besonders versiert in der PC-Sprache Deshalb eine Frage:
ich habe das Patch 1.4 von der SANS Seite heruntergeladen u. installiert. Das ging so schnell und es wurde nichts wieter angezeigt. Habe ich nun das Patch oder ist dies nur ein Zusatz für das Patch 1.3 ?

fragende Grüße
Monti

[Remover]

@Monti
Der Patch V1.4 ist voellig eigenstaendig.
Die Installation geht recht flott, aber musst du musst danach unbedingt dein System neu starten.
Du kannst das ganze dann mit den WMF Checker Tool testen, ob du wirklich
geschuetzt bist.

Unter Start - Programm - Systemsteuerung - Software erscheint der installierte
Patch uebrigens auch als Windows WMF Metafile Vulnerability Hotfix Version
Da siehst du dann auch das er installiert wurde.

Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 15:31

[Monti]

@Remover
danke für die schnelle Antwort. Habe Neustart durchgeführt, mit checker getestet und der zeigt Fehler an, system sei vulnerable.
Heißt das nun, dass das Patch bei mir nicht funktioniert ???

Gruss Monti

[Remover]

@Monti

Sicher das es nicht INvulnerable heisst?
Sonst waerst du in der Tat noch angreifbar....in dem Fall versuche nochmal
den aktuellen Patch zu downloaden und zu installieren.

Am besten von hier:
http://www.grc.com/miscfiles/wmffix_hexblog14.exe


@ALL

Den Patch bitte nur von den "offiziellen" aufgefuehrten Seiten downloaden.
Nur so weiss man was man wirklich auf den PC bekommt.
Es gibt bestimmt schnell Malware, die sich als Patch ausgibt!!!

Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 16:37

[Monti]

@ Remover

habe ich jetzt gemacht; also erst das alte deinstalliert, über deinen Link neu installiert(ist auch unter software vorhanden), dann mit dem checker geprüft und wieder das selbe Ergenis: das System ist immer noch vulnerable.



was läuft da falsch ???

Gruß Monti

Der Beitrag wurde von Monti bearbeitet: 04.01.2006, 17:33

[jhs]

Hallo,

habe leider mehr Probleme geschaffen als vorher...
Ich habe genau wie oben beschrieben den Patch v1.4 (http://www.hexblog.com/2006/01/silent_wmf_...aller.html#more)
installiert und die DLL unregistriert mit

"regsvr32 -u %windir%\system32\shimgvw.dll"

Leider hat dies zur Folge gehabt, dass das System jetzt keine Bilder (z.B. jpgs) mehr anzeigt; nicht im Windows Explorer (Miniaturansicht) und nicht mit dem Standard-Tool der "Windows Bild- und Fax-Anzeige". Lediglich noch umständlich mit großen Grafiktools.

Eine Deinstallation des Patches hat nichts geändert.

Wie kann ich den DLL wieder zurück-registrieren?
Gibt es dafür auch einen Befehl??

Vielen Dank und Grüße!


#### NEU **** NEU #####
OK,
habe es gerade mit

regsvr32 %windir%\system32\shimgvw.dll

selber geschafft und das System läuft wieder anständig.
Trotzdem bin ich jetzt halt nicht mehr geschützt...
Ist der Befehl denn nach diesen Erfahrungen wirklich der Beste?
Gibt es andere Möglichkeiten?
#### NEU **** NEU #####

Der Beitrag wurde von jhs bearbeitet: 04.01.2006, 17:45

[Monti]

@JHS

ich habe zwar nicht viel Ahnung, dennoch glaube ich verstanden zu haben, dass das z.Z. dann so sein soll, dass das, was du beschreibst nicht mehr funktioniert bis Microsoft einen entsprechenden Patch hat. Dann geht das wahrscheinlich alles wieder.

Um die DLL wieder zu registrieren müsstest du an der Eingabeaufforderung (Ausführen) folgendes eingeben:

"regsvr32 %windir%\system32\shimgvw.dll" (ohne Anführungszeichen)

dann auf OK.

Vielleicht wartest du aber lieber, bis einer der Ahnung davon hat, dies alles bestätigt.

Gruß Monti

[Gast_zipfelklatscher_*]

Nebenbei gesagt, MS hat sein Advisory aktualisiert und rät vor einer Installation des inoffiziellen Patches ab.

siehe auch: http://www.pcwelt.de/news/sicherheit/128739/index.html

Der Beitrag wurde von zipfelklatscher bearbeitet: 04.01.2006, 17:48

[jhs]

@Monti

DANKE! Läuft wieder alles, so wie Du gesagt hast.

Habe dann mal nur den Patch rübergezogen, und läuft auch noch.
Werde das jetzt mal so lassen bis MS was Offizielles bringt!

Danke und schönen Abend!

Grüße!

[anton]

hallo,

hatte gestern nach der installattion des patch und dem unregistrieren probleme, bilddateien zu öffnen (d.h. "vorschau" und diashow funktionieren nicht mehr).
hab deshalb den patch deinstalliert, wie kann ich die dll wieder registrieren? oder denkt ihr, das alles liegt an etwas ganz anderem?

ok, hat sich erledigt, habs einfach wie oben beschrieben gemacht, hätte fertig lesen sollen....

Der Beitrag wurde von anton bearbeitet: 04.01.2006, 18:07

[Remover]

Also es ist so, das der Patch selber nicht diese Auswirkungen hat aber das
unregistrieren fuehrt dazu, das keine Vorschaubilder mehr gehen.

Wenn ihr das wirklich so dringend braucht und euch eure Sicherheit nicht
so wichtig ist, koennt ihr auch nur den Patch aufspielen bzw. die DLL wieder
registrieren, indem ihr einfach das -u bei der eingabe weglasst.
Mein persoenlicher Rat ist aber beides zu machen und auf den
10.01.06 zu warten und solange auf Bildervorschau usw. zu verzichten.


@Monti
Sorry, da bin ich zur Zeit ratlos...was bei dir verkehrt laeuft.

@Zipfelklatscher

Quelle Silicon
Die Ankündigung, dass Microsoft die WMF-Lücke (Windows Meta File) erst am 10. Januar als Teil des monatlichen Security Bulletins schließen will, ist auf harsche Kritik gestoßen. Bis dahin überlasse man die Anwender ungnädig ihrem Schicksal, werfen Sicherheitsexperten dem Unternehmen vor.

Das Internet Storm Center (ISC) schreibt auf der Kommentarseite Handlers's Diary, die IT-Leiter müssten sich nun fragen, ob sie das riskante Spiel spielen und auf den Patch warten wollten. Sie müssten sich überlegen, ob sie es sich leisten können, noch eine weitere Woche mit einer Lücke zu leben und es darauf ankommen lassen, dass kein Hacker ihr Netz angreift.

Damit muss allerdings gerechnet werden. Eine Vielzahl von Systemen sind derzeit löcherig und deshalb leichte Angriffsziele für Eindringlinge. Und: die Hacker haben die Zeit auf ihrer Seite. Je länger die Schwachstelle besteht, desto mehr erfahren sie über die Lücke und desto ausgebuffter ist dann der Exploit. Es handele sich wohl nur noch um Tage bis es einen Wurm gebe, der sich selbst weiter verbreite und noch mehr Systeme infiziere, sagen Experten. 

Es gibt nunmal keine bessere Alternative.... als der inoffizielle Patch.
Wenn Microsoft das ganze planmaessig faehrt, duerfte es fuer viele
laengst schon zu spaet sein!







Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 21:09

[diddsen]

Es gibt nunmal keine bessere Alternative.... als der inoffizielle Patch.
Wenn Microsoft das ganze planmaessig faehrt, duerfte es fuer viele
laengst schon zu spaet sein!

das denke ich auch.
denn wie ich gelesen habe ist es nicht möglich bei einem "befall" sich wieder clean zu machen davon.
also wer jetzt immer noch auf den 10.1. wartet bis ms den patch bringt..... der ist selber schuld

[Monti]

@Remover

könnte es sein, dass Bitdefender irgendetwas verhindert ? Ich sehe nämlich nach wie vor auch die Miniaturbilder in der Dateienvorschau. Das sollte doch eigentlich das Deregistrieren verhindern, oder ?

Gruß Monti


Das habe ich in der FAQ von hexblog.com gelesen und trau mich da nicht ran,
weil ich nicht sicher bin, ob ich wirklich alles verstehe:


How to check that the hotfix is working on my computer?
Use the checker to verify that the hotfix works. If should report that your system is invulnerable. In it reports that your system is still vulnerable, check the HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs registry key. It should contain a reference to c:\windows\system32\wmfhotfix.dll. There are some programs known to clean up this registry key. The fix will not work in this case. You should find and disable the program which cleans the registry key or uninstall the hotfix.


Der Beitrag wurde von Monti bearbeitet: 04.01.2006, 21:46

[Gast_zipfelklatscher_*]

http://www.eset.com/about/press.htm#media

Kann das hier mal jemand, zumindest den ersten Absatz, übersetzen ?

Domino, wie wär's ?

ESET scheint hier auch etwas als Schutz anzubieten. Ich verstehe allerdings nur Bahnhof. Keine Ahnung also ob man sich diesen Patch installieren soll oder nicht.

Auf der deutschen Seite www.nod32.de ist hierzu leider mal wieder nichts zu finden.

Der Beitrag wurde von zipfelklatscher bearbeitet: 04.01.2006, 23:01

[Domino]

bla bla bla

Als NOD32 Nutzer brauchst du den Patch nicht, alle anderen dürfen ihn aber auch haben.
Was er macht, der Patch, steht da aber nicht.




Domino

[Monti]

ESET, a global provider of security software for enterprises and consumers, announced today that its NOD32 protects against a new Windows Metafile (WMF or .wmf) vulnerability for which Microsoft does not yet have an available resolution. Users running Microsoft Windows ME, 2000, XP and Windows 2003 systems are vulnerable to a “loophole” in WMF which enable cyber criminals to take control of online devices and execute malicious code. With a patch from Microsoft pending for January 10, 2006 at the earliest, ESET has made an interim patch available for both customers and non customers.

Ich versuch's:

ESET, ein weltweiter Anbieter von Sicherheitsprogrammen für Unternehmen und Anwender, hat heute bekannt gegeben, dass sein NOD32 gegen den neuen Windows Metafile... schützt, für den Microsoft noch keine Lösung bereitgestellt hat. Anwender von WinME, 2000, XP und Win2003 sind angreifbar durch ein "Schleifenloch"(???) in WMF, das Cyber Kriminelle in die Lage versetzt, Kontrolle über online devices zu bekommen und schlechte codes auszuführen. Mit einem Patch von Microsoft, der frühestens am 10. Januar zu bekommen ist, hat ESET einen Zwischenlösungs-Patch geschaffen, sowohl für Kunden, als auch Nicht-Kunden (???).

...
Bin mir mit manchen Vokabeln nicht ganz sicher, zumal ich insbesondere der PC-Sprache nicht mächtig bin

Vielleicht hilft es dennoch ein bisserl weiter...

Grß Monti

[diddsen]

http://www.eset.com/about/press.htm#media

ist das nicht der inofizielle patch, nur hat eset den wohl "geklaut"
remover, was meinst du?


Der Beitrag wurde von diddsen bearbeitet: 05.01.2006, 00:26

[Monti]

Bei mir hat ja das Hotfix nicht funktioniert; nun habe ich mal dieses ESET-Teil installiert und siehe da, der Checker sagt nun zumindest(siehe Anlage)




Gruß Monti

Angehängte Datei(en)

 Bild10.jpg ( 16.74KB ) Anzahl der Downloads: 138

 

[Paul Wilders]

ist das nicht der inofizielle patch

Jede patch der nicht von MSoft kommt, ist ja inofizziel...

nur hat eset den wohl "geklaut"
remover, was meinst du?

[right][snapback]126292[/snapback][/right]

Neu....ist nicht geklaut - Paolo Monti ist der author

cheers,

paul