Hallo Leute,
ich bin z.Zt. in den USA und Norton Antivirus auf dem Rechner meines Onkels zeigt eine Virenmeldung eines Trojaners mit der Datei „phqghu.dll“ im Verzeichnis C:\Windows\System32 an.
Die Datei ist, neben einer „phqghua.dll“ auch dort vorhanden.
Wenn ich jetzt die Registry danach durchsuchen lasse, findet er auch 3 Eintraege. Diese kann ich problemlos loeschen. Auf die Datei selber (0 Byte Groesse) habe ich keinen Zugriff, ich kann sie weder loeschen, noch umbenennen.
Wenn ich jetzt Windows neu starte, so sind die Eintraege in der Registry wieder vorhanden.
Norton kann diese Datei auch nicht isolieren.
Meine Idee war nun, ob ich z.B. die erste Diskette von MS-Dos 6.22 einlegen kann und den Rechner von der Floppy aus booten lasse und so „haendisch“ die Datei loeschen kann. Wenn das funktionieren sollte - kann man irgendwo die erste Diskette downloaden ?
Im Internet habe ich 80 Links zu dieser Datei gefunden, es wurde aber keine rechte Loesung beschrieben.
Ich hoffe, es hat jemand einen Tipp fuer mich.
Vielen Dank fuer Eure Antworten.
Gruss, Juergen
Hallo Jürgen
ich bin z.Zt. in den USA und Norton Antivirus auf dem Rechner
meines Onkels zeigt eine Virenmeldung eines Trojaners mit der
Datei „phqghu.dll“ im Verzeichnis C:\Windows\System32 an.
Leider hat auch Google in Deutsch kaum eine Vorstellung davon, was phqghu.dll sein könnte. Da musst du davon ausgehen, das diese Datei Bestandteil einer unbekannten Malware ist! Offensichtlich scheint ein solcher Fund sehr selten zu sein. Nur bei http://www.paules-pc-forum.de/phpBB2/topic,53240,381… konnte ich es nachvollziehen. Die ersten Schritte waren dort richtig. Mache aber nicht die gleichen fehlerhaften Experimente. Eine solche Malware wird man auf diese Art nicht mehr los und das Wiedererscheinen ist nur eine Frage der Zeit. Moderne Malware kann sich aus dem Internet nachladen bzw. sich selbst automatisch regenerieren.
Alle von deinem Onkel selbst angelegten Daten-Dateien , also Textdokumente Exeltabellen etc. auf eine CD brennen und dann wie hier http://faq.jors.net/virus.html beschrieben vorgehen. Glaube mir, es ist sogar vom Zeitaufwand die bessere Lösung.
Erkläre deinem Onkel, wie Malware auf den PC kommt und den Inhalt dieser Page: http://www.avweb.de/Info/IE-Katastrophen.html
Ich habe erst kürzlich diese False-Regeln formuliert:
- öffne jede Mail und deren Anhang mit OE
- besuche jeden angebotenen Link mit IE
- klicke überall auf [Ja], [Yes] und [Ok]
Sie zeigen die schlimmsten Übel. Dein Onkel soll auch so weit wie möglich auf eine externe Firewall verzichten und statt dessen seinen PC mit diesem kleinen Tool von http://www.dingens.org/index.html.en konfigurieren. Erkläre auch, was sich hinter der Trefferquote der Suche mit Google mit Norton „Fehler OR Error“ verbirgt.
Im Allgemeinem ist es auch in .us Standard, das beim Provider die Optionen für die Mailbox geändert werden können. Hier soll alles gelöscht werden, was nach Eintreffen in der Box nach Spam und Infekt riecht. Der Rest kann dann sehr gut mit Brain 1.0 sortiert werden. Im Zweifelsfall kann auch http://www.virustotal.com/flash/index_en.html gefragt werden. Erkläre die Handhabung, insbesonders auch von Brain
)))! Kein Spammer, Malwareversender, Freund, Verwander, Bekannter und Geschäftsfreund hat sich bisher bei mir beschwert, wenn ich seine infizierten Mails oder Spam nicht geöffnet habe.
Zeige deinem Onkel auch dieses Angebot: http://www.partition-manager.com/ Ein solches Tool ist wertvoller als alle Security-Software of the World zusammengenommen.
der hinterwäldler
Hallo hinterwaeldler,
vielen Dank fuer Deine Antwort. Natuerlich habe ich gefragt und ebenso natuerlich hat niemand unbewusst auf irgendeinen Link geklickt oder ein Attachement geoeffnet.
Meine Kernfrage war aber, ob es moeglich ist, mit Hilfe der MS-Dos 6.22 -Diskette den Rechner im Dos-Modus zu starten und so ueber "del " die Datei zu entfernen.
Zuvor muesste die Registry gesaeubert werden und dann die Datei geloescht werden, denn andernfalls geht die ganze Sache wieder von vorne los.
Zu guter letzt bliebe ja immer noch ein „format C:“, aber das moechte ich natuerlich vermeiden…
Vielen Dank nochmals,
Gruss, Juergen
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo Jürgen
vielen Dank fuer Deine Antwort. Natuerlich habe ich gefragt
und ebenso natuerlich hat niemand unbewusst auf irgendeinen
Link geklickt oder ein Attachement geoeffnet. Falls deine
Hahahahah - 90% aller Betroffenen antworten mit: „NO“ Gib Deiner Verwandschaft dies mal zum Studium: http://isc.sans.org/diary.php?date=2004-07-23 Die deutsche Übersetzung dazu gibt es hier: http://www.heise.de/security/suche.shtml?T=Sch%E4dli…
Übrigens hat Mstr. B.G. zum Problem auch keine andere Meinung: http://www.microsoft.com/technet/community/columns/s…
Meine Kernfrage war aber, ob es moeglich ist, mit Hilfe der
MS-Dos 6.22 -Diskette den Rechner im Dos-Modus zu starten und
so ueber "del " die Datei zu entfernen.
Nein! Und wenn die Festplatte NTFS-formatiert ist, überhaupt nicht.
Eine Möglichkeit hast du noch mit einer BartPE von http://pcfreaks.big-clan.net/bartpe/pebuilder.shtml. Aber genau lesen! Die herstellen dauert aber auch ein paar Stunden am Anfang.
Da fällt mir gerade ein, bei uns in D haben manchmal Zeitschriften so eine selbststartende „Security-CD“ mit eigenem kleinen Betriebssystem und Scanner drauf, frage deinen Onkel danach.
Trotzdem hast du keine Chance. Glaube mir, hättest du gestern abend mit der Formatierung angefangen, wäre der PC heute Abend komplett sauber und betriebsfähig.
der hinterwäldler