wmplay - was soll das sein?

[MartinKaltenbach]

minimo / wmplay.exe

Total fieser Virus /Trojaner (minimo)
"minimo" (wmplay.exe - nicht zu verwechseln mit wmplayer.exe) infiziert innerhalb weniger Minuten alle .exe-Dateien des Rechners und macht diese unbrauchbar, es geht dann überhaupt nichts mehr.
Das "wmplay.exe" sitzt im Order "Fonts" von Windows und ist mit dem Explorer oder anderer "normaler" Software damit nicht zu sehen oder zu finden, da in diesem Ordner zu
Schriftarten angezeigt werden.
Außerdem lässt sich minimo in comctl32.dll (windows/WinSxS) und in den index.dat - Dateien des IE nieder. An diese Dateien kommt man im Normalbetrieb überhaupt nicht
ran.
Über den Taskmanager von Windows kann man in der Karteikarte „Prozesse“ wunderschön beobachten, wie sich „wmplay.exe“ immerwieder neu startet – zunächst nur beim Aufruf irgendeines Programmes, nach ein paar Minuten auch völlig selbstständig.
Über WS_FTP kommt man zwar an "wmplay.exe" ran, kann das Teil auch löschen - aber dann ist alles schon zu spät.

Einzige Hilfe: Neuinstallation bzw. Rückspielen eines Backup-Files – vorher Platte formatieren! Minimo zestört zu viele Daten und Verknüpfungen, als das man diese noch von Hand wieder herstellen könnte.
Und: Kein gängiges Virenprogramm warnt vor dem Teil – selbst durch 3 Firewalls (Linuxserver ist doppelt abgesichert, Workstation mit Norton Internet-Security 2004) schlüpft minimo einfach durch.

 

[moelleridf]

minimo / wmplay.exe

Vielen Dank für die vielen Hinweise bzgl. wmplay.exe. Ich hatte mir den Virus ebenfals auf meinem Rechner eingefangen. Zur Beseitigung habe ich folgendes unternommen:

Im Task Manager den Process wmplay.exe stoppen.

regedit aus DOS Fenster starten
HKEY_CLASSES_ROOT
der Schlüssel .exe war nicht mehr vorhanden, dadurch lassen sich keine .exe files mehr ausführen. Folgendes sollte beim einem Windows XP System dort stehen:
Schlüsselname: HKEY_CLASSES_ROOT\.exe
Klassenname: <KEINE KLASSE>
Wert 0
Name: <KEIN NAME>
Typ: REG_SZ
Daten: exefile
Wert 1
Name: Content Type
Typ: REG_SZ
Daten: application/x-msdownload
Schlüsselname: HKEY_CLASSES_ROOT\.exe\PersistentHandler
Klassenname: <KEINE KLASSE>
Wert 0
Name: <KEIN NAME>
Typ: REG_SZ
Daten: {098f2470-bae0-11cd-b579-08002b30bfeb}

Wie bereits in einem vorherigen Hinweis beschrieben:
hkey_local_machine/software/classes/exefile/shell/open/command den Standard Wert "%1" %* wieder setzen.

Unter Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ist wmplay.exe unter Com Services eingetragen. Diesen Einrag löschen.

Unter Schlüsselname:
Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Klassenname: <KEINE KLASSE>
Wert 10
Name: Userinit
Typ: REG_SZ
Daten: C:\WINDOWS\system32\userinit.exe,wmplay.exe,

hier wmplay.exe löschen

Wie bereits dargestellt, versteckt sich die wmplay.exe an zwei Stellen:
a) c:\windows\wmplay.exe
b) c:\windows\fonts\wmplay*.exe

Im Fonts Verzeichnis (b) existiert die wmplay.exe gleich viele Male. Statt dem wildcard Stern werdet ihr dort die Buchstaben a bis z finden. Um alle Varianten zu löschen, müßt ihr ein DOS Fenster öffnen, in das windows Verzeichnis gehen und folgendes eingeben:

dir /a:shr wmplay*.exe

Jetzt wird die versteckte wmplay.exe angezeigt.

del /f /a:shr wmplay.exe

Jetzt wird die versteckte wmplay.exe gelöscht.

cd fonts

dir /a:shr wmplay*.exe

Jetzt werden alle Varianten der wmplay*.exe angezeigt.

del /f /a:shr wmplay*.exe

Jetzt werden alle Varianten der wmplay*.exe gelöscht.

Jetzt solltet ihr eure bereinigte Registry nochmal mit dem Exportbefehl komplett sichern, damit ihr sie bei einem weiterem Problem ganz oder teilweise importieren könnt.